[讨论]Vt-x的那些事~-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]Vt-x的那些事~

发表于: 2011-9-10 17:17 21813

[讨论]Vt-x的那些事~

cvcvxk

2011-9-10 17:17

21813

VT-x主要的问题是不是什么处理IDT,page啊~主要是怎么和谐兼容windows原有调试机制的东西，比如双机~比如OD~
1.Page问题，xxx代码里那个IsPageOut SendPageFault
2.IDT问题，要freezecpus,然后ShowDbg,在Disasm过程里判断IsPageOut,然后SendPageFault~

但是如果要重定向IDT,就会遇到一个问题，DPL=0的中断比如int1，在重定向时会发生很多纠结的事情，于是DBVM里使用了emulateCSEIP去执行中断,但是dbvm那个模拟貌似会死机~

3.Tss切换，如果不需要emulateExcuteInterrupt，则不需要TSS切换的处理也可以活的很好~

4.CR切换，如果不保护内核内存纯净性，则不需要在CR切换做什么手脚~

5.RealMode问题，很多保护，牛X有驱动的壳，ARK,RK都会通过SwitchV86的方式检测VMM的存在~

6.IOAccess问题，其实主要是检测直接写XX端口防止重启,别的没啥了~

7.Cpuid等特别**的指令，要防止检测VT-x支持等，

8.RDSTC指令则是要防止**的时间检测

9.VMCALL,这个在Key不对的时候要Inject个错误给系统~否则那些**使用VEH+VMCALL骚扰你的东西会让你心碎~

[课程]Android-CTF解题方法汇总！

收藏・14

免费・0

支持

最新回复 (22)
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 2 楼补充一下：当然如果写个R3+R0配合模式的调试器，则根本需要考虑pagefault真的不用~~ 2011-9-10 17:22 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 3 楼欢迎积极讨论~ 2011-9-10 17:24 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 4 楼不懂，杀花，路过，围观，膜拜 2011-9-10 17:25 0
joker陈雪币： 10726 活跃值： (2730) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 5 楼完全不懂难道v大要放agp了 2011-9-10 21:16 0
三寸法师雪币： 475 活跃值： (59) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 6 楼还要保护一下drx寄存器的说。下次avalon升级的时候大概会加上的说。 2011-9-10 21:24 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 7 楼 drx保护意味着你需要自己实现GetThreadContext和SetThreadContext,具体参考CE和DBVM~ 2011-9-11 03:04 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 8 楼补充一下吧：对于trap_int1,swbp_int3的更加简单的一种处理方式构造StateFrame后直接以插入一个软中断(如int 0x56)的形式来工作~然后int 0x56里ENTRE_TRAP CALL YourProc EXIT_TRAP xxx;YourProc里就可以直接ForwardExceptions了，然后你懂得~ 普通内存断点比较难实现——...抑郁~ 2011-9-11 08:14 0
crjswyf 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	crjswyf 9 楼禁止以后文章中出现"xxx",邪恶的V大 2011-9-11 13:30 0
hackerxina 雪币： 263 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	hackerxina 10 楼郁闷VMX exception bitmap 范围才0-31 我还指望它干掉0x22 0x23 2011-9-11 15:38 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 11 楼 V，看了下你的AGP，基本是抄了wrk异常分发。和reload os 抄得太疯狂了。 PS：函数地址竟然还用.db文件来存放。？？？！！！！！ 2011-9-11 15:50 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼话说可以修改guest idt啊~然后通过NMI异常或者DTrap,TTrap来~ 2011-9-11 17:16 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 13 楼话说，老版本吧~新版本比这个更疯狂~抄WRK是为了让一个不是我写的调试器通过API能工作~ 2011-9-11 17:17 0
天地唯心雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	天地唯心 14 楼看不懂,留名~ 2011-9-11 21:18 0
hackerxina 雪币： 263 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	hackerxina 15 楼在哪里可以观赏到V大的AGP 2011-9-11 22:49 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 16 楼没有地方观赏，AGP是个半免费的收费项目 2011-9-11 23:31 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 17 楼 v神,那扯淡群咋散了?求内幕... 2011-9-12 02:14 0
huyuanhk 雪币： 76 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 241 粉丝 0 关注私信	huyuanhk 18 楼说的些啥啊？？VT支持滴水。。 2011-9-12 17:09 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 19 楼滴水什么的，我不懂~ 我只会看手册，看代码，IDA里逆代码~ 2011-9-13 00:02 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 20 楼原来V校在用int 0x56，暴露了啊 2011-9-14 10:19 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 21 楼 V大的AGP 学习啊 2011-9-14 11:27 0
体验雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	体验 22 楼求教，什么是VEH+VMCALL 2011-9-22 12:56 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 23 楼旁听.... 2011-9-22 13:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

[分享]很有时间系列：不用inf安装ndis filter驱动 14987

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 2 楼补充一下：当然如果写个R3+R0配合模式的调试器，则根本需要考虑pagefault真的不用~~ 2011-9-10 17:22 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 3 楼欢迎积极讨论~ 2011-9-10 17:24 0
demoscene 雪币： 1981 活跃值： (771) 能力值： ( LV13，RANK：420 ) 在线值：发帖 30 回帖 355 粉丝 27 关注私信	demoscene 7 4 楼不懂，杀花，路过，围观，膜拜 2011-9-10 17:25 0
joker陈雪币： 10726 活跃值： (2730) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 5 楼完全不懂难道v大要放agp了 2011-9-10 21:16 0
三寸法师雪币： 475 活跃值： (59) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 6 楼还要保护一下drx寄存器的说。下次avalon升级的时候大概会加上的说。 2011-9-10 21:24 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 7 楼 drx保护意味着你需要自己实现GetThreadContext和SetThreadContext,具体参考CE和DBVM~ 2011-9-11 03:04 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 8 楼补充一下吧：对于trap_int1,swbp_int3的更加简单的一种处理方式构造StateFrame后直接以插入一个软中断(如int 0x56)的形式来工作~然后int 0x56里ENTRE_TRAP CALL YourProc EXIT_TRAP xxx;YourProc里就可以直接ForwardExceptions了，然后你懂得~ 普通内存断点比较难实现——...抑郁~ 2011-9-11 08:14 0
crjswyf 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	crjswyf 9 楼禁止以后文章中出现"xxx",邪恶的V大 2011-9-11 13:30 0
hackerxina 雪币： 263 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	hackerxina 10 楼郁闷VMX exception bitmap 范围才0-31 我还指望它干掉0x22 0x23 2011-9-11 15:38 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 11 楼 V，看了下你的AGP，基本是抄了wrk异常分发。和reload os 抄得太疯狂了。 PS：函数地址竟然还用.db文件来存放。？？？！！！！！ 2011-9-11 15:50 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼话说可以修改guest idt啊~然后通过NMI异常或者DTrap,TTrap来~ 2011-9-11 17:16 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 13 楼话说，老版本吧~新版本比这个更疯狂~抄WRK是为了让一个不是我写的调试器通过API能工作~ 2011-9-11 17:17 0
天地唯心雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	天地唯心 14 楼看不懂,留名~ 2011-9-11 21:18 0
hackerxina 雪币： 263 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	hackerxina 15 楼在哪里可以观赏到V大的AGP 2011-9-11 22:49 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 16 楼没有地方观赏，AGP是个半免费的收费项目 2011-9-11 23:31 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 17 楼 v神,那扯淡群咋散了?求内幕... 2011-9-12 02:14 0
huyuanhk 雪币： 76 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 241 粉丝 0 关注私信	huyuanhk 18 楼说的些啥啊？？VT支持滴水。。 2011-9-12 17:09 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 19 楼滴水什么的，我不懂~ 我只会看手册，看代码，IDA里逆代码~ 2011-9-13 00:02 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 20 楼原来V校在用int 0x56，暴露了啊 2011-9-14 10:19 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 21 楼 V大的AGP 学习啊 2011-9-14 11:27 0
体验雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	体验 22 楼求教，什么是VEH+VMCALL 2011-9-22 12:56 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 23 楼旁听.... 2011-9-22 13:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复