在驱动中为什么无法使用invept指令呢-经典问答-看雪-安全社区|安全招聘|kanxue.com

在驱动中为什么无法使用invept指令呢

2016-2-29 12:57 5618

在驱动中为什么无法使用invept指令呢

一二三六

2016-2-29 12:57

5618

最近在学习VT，需要用Invept刷新cache，看了<处理器虚拟化技术>这本书上，有关于INVEPT指令的使用示例：invept rax, [rsi] ，看了下它的代码，并没有用机器码实现，而是直接用了Invept指令

        ;; 使用 "all-context invalidation" 类型刷新 cache
        ;;
        mov eax, ALL_CONTEXT_INVALIDATION
        invvpid eax, [ebp + PCB.InvDesc]
        invept eax, [ebp + PCB.InvDesc]    // 我用Notepad++搜索，并没有找到关于invept的机器码定义

由于我是32位操作系统然后用了下面的代码


VOID Invept(int Type, int* Descriptor){
		
		_asm{
				PUSHAD
				MOV EAX,1                  // Single-context
				MOV ESI,Descriptor     //  invept 描述符
				invept EAX, [ESI]	  
					POPAD
		}
}

但是我用WDK 7600.16385.1版本的编译后，却出现了如下错误

请问谁能帮忙解答下吗，多谢了

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

invept.png （24.14kb，14次下载）

收藏・1

点赞・0

打赏

最新回复 (2)
zplusplus 雪币： 689 活跃值： (427) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 25 关注私信	zplusplus 1 2016-2-29 16:24 2 楼 0 原因很简单，微软的编译器识别不了invept这条指令，作者在写上一本书时用的编译器是NASM，这本书不知道变了没有，你确定你好好看这本书的最开始部分了吗？顺带,我用NASM帮你编译了一下invept eax,[ESI]这条指令的编码是 66 0F 38 80 06（66是第0个字节）
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 2016-3-3 17:56 3 楼 0 楼上正解，硬编码
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

一二三六

发帖

162

回帖

RANK

关注

私信

他的文章

[求助]现在的驱动都可以盗用微软的签名了吗

[求助]请问EmptyWorkingSet 这个函数到底能不能提升进程的内存呢

[求助]VirtualKd 3.0 无法和Vmware 15一起使用

[求助]关于变速齿轮的检测，有没有朋友有什么好办法啊

[求助]请问为什么在模块回调中，内存注入DLL总是会失败呢

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
zplusplus 雪币： 689 活跃值： (427) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 25 关注私信	zplusplus 1 2016-2-29 16:24 2 楼 0 原因很简单，微软的编译器识别不了invept这条指令，作者在写上一本书时用的编译器是NASM，这本书不知道变了没有，你确定你好好看这本书的最开始部分了吗？顺带,我用NASM帮你编译了一下invept eax,[ESI]这条指令的编码是 66 0F 38 80 06（66是第0个字节）
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 2016-3-3 17:56 3 楼 0 楼上正解，硬编码
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复