首页
论坛
课程
招聘
[原创]驱动级VT技术EPT实现无痕HOOK保护指定进程----VT EPT原理解析和进阶
5天前 2892

[原创]驱动级VT技术EPT实现无痕HOOK保护指定进程----VT EPT原理解析和进阶

5天前
2892

驱动级VT虚拟化技术EPT实现无痕HOOK保护指定进程。

 

懂VT的内核安全逆向人员,可以秒杀不懂VT的人员,VT学习交流群244684999

 

VT EPT原理解析和进阶.VT开启EPT后。绕过pg检测,无视目前任何内核检测工具的检测如PCHander检测不到HOOK.
本次案例实现欺骗系统达到无痕HOOK SSDT中的NtOpenprocess保护calc程序的内存,让OD,CE工具无法附加搜索。

  1. EPT的概念
      EPT(Extend Page Table)扩展页表机制,可以让Guest机使用一份自己构建的页表
      GPA(Guest-Physical Address)、HPA(Host-Physical Address)
      当Guest访问内存时,其最终会生成一个GPA,其EPT的页表定义在Host端,处理器在收到guest传递过来的之后,通过EPT页表转换为HPA,从而访问物理内存。
       图片描述
    2.构建EPT并开启的代码实现
    图片描述
    3.EPT下HOOK SSDT NTOpenProcess的代码实现
    图片描述
    4.WIN7X64系统下的EPT HOOK SSDT演示
    图片描述
    图片描述
    4.核心源码分享,看反应公开源码,见附件

[注意]中秋好礼,诚意满满——你提意见,我送月饼!!

上传的附件:
收藏
点赞4
打赏
分享
最新回复 (23)
雪    币: 9
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_acurqfhn 活跃值 5天前
2
0
楼主好人,谢谢分享
雪    币: 1334
活跃值: 活跃值 (764)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
はつゆき 活跃值 5天前
3
0
好秒
雪    币: 1769
活跃值: 活跃值 (636)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
iamasbcx 活跃值 5天前
4
0
等抄
雪    币: 432
活跃值: 活跃值 (964)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
萌克力 活跃值 5天前
5
0
有屌用
雪    币: 9
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_acurqfhn 活跃值 5天前
6
0
vt可以干任何事情。啥叫没用?原理弄懂挺难,要有高手指点
雪    币: 4751
活跃值: 活跃值 (473)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
DemonsEllen 活跃值 5天前
7
0
mark  谢谢分享
雪    币: 1988
活跃值: 活跃值 (777)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
大鲤鱼 活跃值 5天前
8
0
win7的,一个单独sys啊……
雪    币: 206
活跃值: 活跃值 (954)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yy虫子yy 活跃值 5天前
9
0
可以让读写页和执行页处于两个不同的页,直接都无视pg了
雪    币: 152
活跃值: 活跃值 (650)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
huojier 活跃值 5天前
10
0
打开任何大于1803的内核文件,搜KiErrata671Present
雪    币: 0
活跃值: 活跃值 (35)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
曲风 活跃值 5天前
11
0
我也有源码找我