[求助]EPT实现无限硬断的原理是什么？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]EPT实现无限硬断的原理是什么？

发表于: 2017-2-10 13:23 9454

[求助]EPT实现无限硬断的原理是什么？

plstclies

活跃值

2017-2-10 13:23

9454

如果是执行硬断那直接写入int3 再hook读写就行了
但读写硬断这方法行不通了因为一改就是改一个页啊大牛们是怎么实现的只想求个原理啦

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・4

免费

支持

分享

最新回复 (14)
FadeTrack 雪币： 56 活跃值： (82) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 84 粉丝 1 关注私信	FadeTrack 1 2 楼就是改一个页，和内存断点原理很像，对页内地址做匹配 2017-2-10 16:18 0
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 3 楼论坛有科普文章 2017-2-10 17:15 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 4 楼 VT下可以有针对内存读写的事件回调，也就是访问内存时（读写执行），会会陷入到根模式，此时做处理自然就可以了 2017-2-10 17:59 0
plstclies 雪币： 41 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 106 粉丝 0 关注私信	plstclies 5 楼给个链接我去看看 2017-2-10 18:08 0
plstclies 雪币： 41 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 106 粉丝 0 关注私信	plstclies 6 楼我现在是执行访问和读写访问轮流切换这样hook 那触发了EptViolation后不处理要怎么才能跳出啊无访问权会一直触发EptViolation 2017-2-10 18:14 0
plstclies 雪币： 41 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 106 粉丝 0 关注私信	plstclies 7 楼要怎么处理啊如果是我要hook内存地址就说可以强行转到中断但不是我要hook地址的要怎么才能无视EPT跳出？因为EPT无读写权限啊会一直触发EptViolation 要怎么搞 ... 2017-2-10 18:18 0
hzqst 雪币： 12871 活跃值： (9322) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 597 关注私信	hzqst 3 8 楼设置可访问，设置MTF，在MTF exit中恢复不可访问 2017-2-10 19:26 0
plstclies 雪币： 41 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 106 粉丝 0 关注私信	plstclies 9 楼还有没有其它方法呢这消耗太大了之前看过小宝的PFhook 就是这做法吧 2017-2-10 19:42 0
hzqst 雪币： 12871 活跃值： (9322) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 597 关注私信	hzqst 3 10 楼用EPTP_SWITCHING，需要skylake以上cpu 2017-2-10 20:34 0
plstclies 雪币： 41 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 106 粉丝 0 关注私信	plstclies 11 楼谢谢了 2017-2-11 03:57 0
dsjflw 雪币： 125 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 56 粉丝 2 关注私信	dsjflw 12 楼就是你把指定地址的页属性改了，当读、写、执行到这个页面的时候就会出现一般保护异常或载入页，然后截获#PF或#GP两个异常，在里面判断cr2寄存器等于指定的地址就抛出调试信息。。。。。怎么说的呢，这东西理论很好理解，但是国内浮夸风吹了半个多世纪了，说无限硬件断点简单的人多如牛毛，可眼下是真真的找不到实现的代码，你要想自己实现需要大量的探索，就算你把这个论坛的所有精华都看遍也够呛能做到。。。。。反正我是没从精华帖中找到最后补充：我是没有实现出来，你还是等真真遇到实现过的人在说把 2017-3-2 18:04 0
coolboyme 雪币： 3398 活跃值： (1295) 能力值： ( LV13，RANK：335 ) 在线值：发帖 27 回帖 112 粉丝 29 关注私信	coolboyme 5 13 楼 mark 2017-3-6 10:05 0
coolboyme 雪币： 3398 活跃值： (1295) 能力值： ( LV13，RANK：335 ) 在线值：发帖 27 回帖 112 粉丝 29 关注私信	coolboyme 5 14 楼 hzqst 设置可访问，设置MTF，在MTF exit中恢复不可访问这位说对了。但是少打了一个字。设置不可访问，设置MTF，在MTF exit中恢复不可访问。 2017-3-6 10:16 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 68 关注私信	落笔飞花 1 15 楼实现不是实现不了，因为要做到模拟INT1的所有特性有些麻烦涉及的面比较多，总之会的不想做，不会的不知道怎么做。 2017-3-6 12:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

plstclies

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区