VT EPT原理解析和进阶——绕过pg检测,无视目前任何内核检测工具的检测如PCHander检测不到HOOK
-
[原创]驱动级VT技术EPT实现无痕HOOK保护指定进程----VT EPT原理解析和进阶https://bbs.kanxue.com/thread-269303.htm
驱动级VT虚拟化技术EPT实现无痕HOOK保护指定进程。
懂VT的内核安全逆向人员,可以秒杀不懂VT的人员,VT学习交流群244684999
VT EPT原理解析和进阶.VT开启EPT后。绕过pg检测,无视目前任何内核检测工具的检测如PCHander检测不到HOOK.
本次案例实现欺骗系统达到无痕HOOK SSDT中的NtOpenprocess保护calc程序的内存,让OD,CE工具无法附加搜索。
- EPT的概念
EPT(Extend Page Table)扩展页表机制,可以让Guest机使用一份自己构建的页表
GPA(Guest-Physical Address)、HPA(Host-Physical Address)
当Guest访问内存时,其最终会生成一个GPA,其EPT的页表定义在Host端,处理器在收到guest传递过来的之后,通过EPT页表转换为HPA,从而访问物理内存。
2.构建EPT并开启的代码实现
3.EPT下HOOK SSDT NTOpenProcess的代码实现
4.WIN7X64系统下的EPT HOOK SSDT演示
4.核心源码分享,看反应公开源码,见附件
标签:
安全分析
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· DeepSeek 开源周回顾「GitHub 热点速览」
2022-01-18 Osquery检测入侵痕迹——这玩意适合在agent端侧使用啊
2021-01-18 SSRF——和远程文件包含的区别在于远程文件包含多是包含攻击者的主机文件,SSRF是内网主机的文件
2021-01-18 SSRF中的绕过手段——字节总结得比较好,如何绕过SSRF的保护机制,DNS欺骗,使用IPV6地址,十六进制编码、八进制编码、双字编码、URL编码和混合编码等
2021-01-18 SSRF——服务端请求伪造,根因是file_get_contents,fsockopen,curl_exec函数调用,类似远程文件包含,不过是内网机器
2021-01-18 文件包含——本地文件包含和远程文件包含
2021-01-18 文件包含和目录遍历区别——目标都是信息泄露,但手段一个是利用函数来包含web目录以外的文件,另外一个是对web路径访问权限设置不严格导致
2021-01-18 目录遍历漏洞——本质上是因为php这样的后端代码实现中使用了include这样的模板函数导致