[求助]VT-x 下 MSR HOOK 问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 2 楼 kaba2017没用vt吧,还是我记错了.. 至于你这个问题..找一个框架自己看看就明白了。。 2016-11-14 14:55 0
LTears 雪币： 111 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	LTears 3 楼 klhk.sys 这个驱动有关于 VT的代码~ 2016-11-14 14:58 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 4 楼 cpu执行到syscall会直接使用msr_lstar的值作为切换到内核之后的eip，不会执行rdmsr，自然不会有vmexit，注意“使用msr_lstar”和“rdmsr msr_lstar”的区别 2016-11-14 15:48 0
LTears 雪币： 111 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	LTears 5 楼 Thanks 2016-11-14 16:32 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 6 楼 [QUOTE=LTears;1452889] 最近正在研究 VT 技术看了一些代码也逆向了下卡巴斯基2017 的驱动代码发现 x64 通过VT 实现的保护，都是通过 “VT级SSDT HOOK” 普通的MSR HOOK（修改MSR[0xC0000082]的值指向自己的代理函数，然后 VT 中处理 RDMSR-- ...[/QUOTE] 虚拟化技术么？ 2016-11-15 22:40 0
LTears 雪币： 111 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	LTears 7 楼嗯嗯是啊 ~~~ 2016-11-16 12:35 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 8 楼呵呵，搞xen么 2016-11-16 13:14 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 9 楼 syscall直接使用msr的值，不会rdmsr 2016-11-17 00:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 2 楼 kaba2017没用vt吧,还是我记错了.. 至于你这个问题..找一个框架自己看看就明白了。。 2016-11-14 14:55 0
LTears 雪币： 111 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	LTears 3 楼 klhk.sys 这个驱动有关于 VT的代码~ 2016-11-14 14:58 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 4 楼 cpu执行到syscall会直接使用msr_lstar的值作为切换到内核之后的eip，不会执行rdmsr，自然不会有vmexit，注意“使用msr_lstar”和“rdmsr msr_lstar”的区别 2016-11-14 15:48 0
LTears 雪币： 111 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	LTears 5 楼 Thanks 2016-11-14 16:32 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 6 楼 [QUOTE=LTears;1452889] 最近正在研究 VT 技术看了一些代码也逆向了下卡巴斯基2017 的驱动代码发现 x64 通过VT 实现的保护，都是通过 “VT级SSDT HOOK” 普通的MSR HOOK（修改MSR[0xC0000082]的值指向自己的代理函数，然后 VT 中处理 RDMSR-- ...[/QUOTE] 虚拟化技术么？ 2016-11-15 22:40 0
LTears 雪币： 111 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 28 粉丝 0 关注私信	LTears 7 楼嗯嗯是啊 ~~~ 2016-11-16 12:35 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 8 楼呵呵，搞xen么 2016-11-16 13:14 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 9 楼 syscall直接使用msr的值，不会rdmsr 2016-11-17 00:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复