-
-
[求助]VT-x 下 MSR HOOK 问题
-
发表于:
2016-11-14 14:03
10470
-
最近正在研究 VT 技术
看了一些代码 也 逆向了下 卡巴斯基2017 的 驱动代码
发现 x64 通过VT 实现的保护,都是通过 “VT级SSDT HOOK” 普通的MSR HOOK(修改MSR[0xC0000082]的值指向自己的代理函数,然后 VT 中处理 RDMSR-- MSR[0xC0000082]的原始值骗过PG的检查
我有个疑问,正常情况下 Guest 的R3 进程在进行API 调用时 会调用 syscall指令,这个指令也会 read MSR 寄存器,这种行为 VT 是无法捕获么?
如果 VT 能够捕获 按照上面所说的 VT 也会返回 原始的MSR值啊
请求大神 解释下~~
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!