[求助]VThook内存读写 ~与执行后依然可以读取到内存被修改-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]VThook内存读写 ~与执行后依然可以读取到内存被修改

发表于: 2018-8-20 19:51 6114

[求助]VThook内存读写 ~与执行后依然可以读取到内存被修改

兔oO

活跃值

2018-8-20 19:51

6114

hook 地址的读写与执行~程序能正常运行并且PChunter 检测不出被钩挂~但是我发现用一种方法去读取被我HOOK 掉的内存依然能检测出内存被改写因为得到的值是错误的

下面是读取到的值

这个值是错误的
求大佬指点为什么会出现这种状况我HOOK 的PsCreateSystemThread 函数的第一个字节

[峰会]看雪.第八届安全开发者峰会10月23日上海龙之梦大酒店举办！

收藏・2

免费・0

支持

分享

最新回复 (17)
hzqst 雪币： 12848 活跃值： (9133) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 565 关注私信	hzqst 3 2 楼 ddimon? 2018-8-20 19:55 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 3 楼对是的为什么会出现这种状况？ 2018-8-20 20:54 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 4 楼 hzqst ddimon? 求大佬指点 2018-8-20 20:54 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 5 楼貌似我搞错了是 PCHUNTER 在检测HOOK的时候会卡住一直在检测内核HOOK 不能返回不知道为啥不是检测不出来 2018-8-20 21:15 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 6 楼找到原因了我这赋值错误了？？我用一个*puchar=0x8bff 2018-8-20 21:25 0
hzqst 雪币： 12848 活跃值： (9133) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 565 关注私信	hzqst 3 7 楼兔oO 貌似我搞错了是 PCHUNTER 在检测HOOK的时候会卡住一直在检测内核HOOK 不能返回不知道为啥不是检测不出来 pch好像有bug，跟ddimon不兼容，不晓得为啥 2018-8-21 08:57 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 8 楼 hzqst pch好像有bug，跟ddimon不兼容，不晓得为啥我还有个问题求教前辈就是多核情况下如果我在 Host内恢复 HOOK 点然后去跑会不会被发现？因为进入host 后使用的CR3 跟其他在Guest跑的CPU 用的还是同一个CR3啊~~~这里有疑问 2018-8-21 17:12 0
hzqst 雪币： 12848 活跃值： (9133) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 565 关注私信	hzqst 3 9 楼兔oO 我还有个问题求教前辈就是多核情况下如果我在 Host内恢复 HOOK 点然后去跑会不会被发现？因为进入host 后使用的CR3 跟其他在Guest跑的CPU 用的还是同一个CR3啊~~~这里 ... 恢复hook一般不是要配合NMI把hook设置回去的吗？这个时间窗口里别的核心又跑不了代码 2018-8-21 18:15 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 10 楼 hzqst 恢复hook一般不是要配合NMI把hook设置回去的吗？这个时间窗口里别的核心又跑不了代码我的意思是在多核情况下一个核心进入了HOST 其他的核心是否还在正常运行？？？？如果其他核心在运行那么进入host 内的核心修改内存会不会被其他核心的检测线程发现~~~~~~~~~~~因为即使进入了HOST ，，他所使用的分页起始还是在Guest中的CR3分页只是不能切换了（我以为是这样的） 2018-8-21 19:03 0
hzqst 雪币： 12848 活跃值： (9133) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 565 关注私信	hzqst 3 11 楼兔oO 我的意思是在多核情况下一个核心进入了HOST 其他的核心是否还在正常运行？？？？如果其他核心在运行那么进入host 内的核心修改内存会不会被其他核心的检测线程发现~~~~~~~~~~ ... 1、一个核心vmexit不会影响到其他核心 2、不建议在任何非必要的情况下于host os环境访问/修改guest虚拟内存 3、不建议在vm root模式下切换任何真实寄存器，包括cr3 4、非要在host访问guest内存，并且需要于发生vmexit的cpu所处上下文执行的话：可以注入一个异常比如int1 int3，然后接管idt，于idt 01/03 entry里进行内存读写操作。最后于 2018-8-22 08:58 被hzqst编辑，原因： 2018-8-22 08:55 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 12 楼 hzqst 兔oO 我的意思是在多核情况下一个核心进入了HOST 其他的核心是否还在正常运行？？？？如果其他核心在运行那么进入host 内的核心修改内存 ... 大佬你太厉害了 2018-8-22 14:19 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 13 楼 hzqst 兔oO 我的意思是在多核情况下一个核心进入了HOST 其他的核心是否还在正常运行？？？？如果其他核心在运行那么进入host 内的核心修改内存 ... 我咋没早点认识你、 2018-8-22 14:19 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 14 楼如果我创建一个空壳进程然后把其他程序进程的内存页映射到我的进程内这样可行？ 2018-8-22 14:44 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 15 楼 hzqst 兔oO 我的意思是在多核情况下一个核心进入了HOST 其他的核心是否还在正常运行？？？？如果其他核心在运行那么进入host 内的核心修改内存 ... 我QQ 314588566 大佬求加好友 2018-8-22 14:44 0
兔oO 雪币： 177 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 51 粉丝 1 关注私信	兔oO 16 楼 hzqst 兔oO 我的意思是在多核情况下一个核心进入了HOST 其他的核心是否还在正常运行？？？？如果其他核心在运行那么进入host 内的核心修改内存 ... 映射到我的进程或可以 OD附加调试？ 2018-8-22 14:45 0
hzqst 雪币： 12848 活跃值： (9133) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 565 关注私信	hzqst 3 17 楼最后于 2018-8-23 13:35 被hzqst编辑，原因： 2018-8-22 15:19 0
xYzhou 雪币： 705 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	xYzhou 18 楼分配一块新内存修改ept映射 2018-8-23 12:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

兔oO

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//