首页
论坛
课程
招聘
分享一下基于Nmi Callback 检测hypervisor
2021-10-12 14:19 5020

分享一下基于Nmi Callback 检测hypervisor

2021-10-12 14:19
5020

只试了一下hyperplatform,别的估计也行。

 

主要原理就是Nmi的不可屏蔽特性,首先A核向B核发送一个ipicall,让B核vm-exit,然后A核马上利用local apic,发送一个消息让B核去执行Nmi中断,然后Nmi中断后执行我们预先注册的callback,我们的callback就拿到了host的权限。下面代码是一个测试,有虚拟化就不会蓝屏,没虚拟化就出非法指令,然后蓝屏。

 

核心代码:
图片描述

 

图片描述

 

图片描述

 

图片描述


[公告] 欢迎大家踊跃尝试高研班11月试题,挑战自己的极限!

最后于 2021-10-12 14:21 被ookkaa编辑 ,原因:
收藏
点赞2
打赏
分享
最新回复 (1)
雪    币: 4041
活跃值: 活跃值 (849)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
syser 活跃值 2021-10-12 21:59
2
0
EAC: 好家伙,我的回溯也在这呢。
游客
登录 | 注册 方可回帖
返回