-
-
[求助]VT-x 下 MSR HOOK 问题
-
发表于:
2016-11-14 14:03
10471
-
最近正在研究 VT 技术
看了一些代码 也 逆向了下 卡巴斯基2017 的 驱动代码
发现 x64 通过VT 实现的保护,都是通过 “VT级SSDT HOOK” 普通的MSR HOOK(修改MSR[0xC0000082]的值指向自己的代理函数,然后 VT 中处理 RDMSR-- MSR[0xC0000082]的原始值骗过PG的检查
我有个疑问,正常情况下 Guest 的R3 进程在进行API 调用时 会调用 syscall指令,这个指令也会 read MSR 寄存器,这种行为 VT 是无法捕获么?
如果 VT 能够捕获 按照上面所说的 VT 也会返回 原始的MSR值啊
请求大神 解释下~~
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)