[讨论]请教下win10 20分钟左右自动嗝屁ept-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]请教下win10 20分钟左右自动嗝屁ept

发表于: 2018-12-19 19:32 4966

[讨论]请教下win10 20分钟左右自动嗝屁ept

杨开银

2018-12-19 19:32

4966

请教下win10 20分钟左右自动嗝屁ept,log无不良记录，不卡死，不蓝屏，蒸发一样的退出页目录翻译，奶疼至极

[课程]Linux pwn 探索篇！

最后于 2018-12-19 19:36 被杨开银编辑，原因：

上传的附件：

TIM图片20181219193102.png （108.70kb，1次下载）

收藏・0

免费・0

支持

最新回复 (21)
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 2 楼我这边17134还开了EPT随机10~90分钟 0x109 1d蓝屏呢鬼知道微软做了什么 2018-12-19 19:40 0
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 263 关注私信	xiaofu 8 3 楼嘿嘿。不可说，不可说 2018-12-19 19:43 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 4 楼 hzqst 我这边17134还开了EPT随机10~90分钟 0x109 1d蓝屏呢鬼知道微软做了什么 EPT && 随机10~90分钟，有可能是初始化VMCS期间您动了XX寄存器的OO bit，然后触发PG，最后您翻译页目录是ok了，蛋：还是发生了，我猜是这样 PS：1809迎来了传说已久的内核隔离，别的隔离暂时还没怼上，就SYSCALL来说，无法占坑的锅晕，还好inline 和IDT还僵硬 PS2:ida 1809发现，SSDT竟然有callback 最后于 2018-12-19 19:55 被杨开银编辑，原因： 2018-12-19 19:52 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 5 楼杨开银 hzqst 我这边17134还开了EPT随机10~90分钟 0x109 1d蓝屏呢鬼知道微软做了什么 EPT &&a ... 应该不是XX寄存器的问题，109 1d的说明是Executive callback object modification，我查了一下Executive callback object是指ExRegisterCallback的那些东西顺便一提，我用的魔改版ddimon，vmcs初始化的地方没碰过 2018-12-19 20:50 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 6 楼 hzqst 应该不是XX寄存器的问题，109 1d的说明是Executive callback object modification，我查了一下Executive callback object是指ExRegi ... 一直很好奇hvpp中提到的vmx 进/退这个时间戳内调用nt api有副作用的说法，我看了一通有3个dpc相关的api和申请非分页内存api，共4个，用了别的框架很久一直没看到他说的副作用，您可以重现一波嘛？老师最后于 2018-12-19 22:08 被杨开银编辑，原因： 2018-12-19 21:52 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 7 楼说明PG加强了 2018-12-19 22:01 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 8 楼 yy虫子yy 说明PG加强了有没有发现1809忽然爆卡，呵呵 2018-12-19 22:21 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 9 楼杨开银有没有发现1809忽然爆卡，呵呵 1803还好，没升1809 2018-12-19 23:22 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 10 楼 yy虫子yy 1803还好，没升1809 1809之前的都没隔离，印象中老v说了个内核隔离是故事片，但1809把童话变成了现实，ms搞这一出，实在不知怎么占坑vmm。 ps:有趣的是仅仅发现的syscall64页表交换就卡得一B,如果ms对单个内核api所在的物理地址页面也交换一波，那真是swap成好朋友了，估计会卡死，另外一些硬件信息区域我想不可能隔离，太卡了就废了。最后于 2018-12-19 23:33 被杨开银编辑，原因： 2018-12-19 23:28 0
pureGavin 雪币： 13921 活跃值： (17032) 能力值： ( LV12，RANK：290 ) 在线值：发帖 83 回帖 1381 粉丝 240 关注私信	pureGavin 3 11 楼我想说我的Windows10如果开了移动热点就会有很高的几率蓝屏。。。有没有大佬解释一下的 ps：我经常更新系统 2018-12-20 08:28 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 12 楼 pureGavin 我想说我的Windows10如果开了移动热点就会有很高的几率蓝屏。。。有没有大佬解释一下的 ps：我经常更新系统 dump，pdb，方便的话源码一波，靠猜也解决不了问题 2018-12-20 11:49 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 13 楼杨开银 hzqst 应该不是XX寄存器的问题，109 1d的说明是Executive callback object modification，我查了一下Execut ... 本来host就不应该调用guestapi的且不说调用内存分配函数可能会发ipicall 突然被时钟中断打断了咋办 2018-12-20 15:24 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 14 楼 hzqst 本来host就不应该调用guestapi的且不说调用内存分配函数可能会发ipicall 突然被时钟中断打断了咋办那倒也是，看来hvpp是比较细心的框架 2018-12-20 17:15 0
pureGavin 雪币： 13921 活跃值： (17032) 能力值： ( LV12，RANK：290 ) 在线值：发帖 83 回帖 1381 粉丝 240 关注私信	pureGavin 3 15 楼杨开银 dump，pdb，方便的话源码一波，靠猜也解决不了问题不好意思兄弟，我是新手，并没有接触过内核的调试，方便的话能不能说的详细一些（dump和pdb是什么意思？系统的dump文件么？？） 2018-12-20 18:50 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 16 楼 pureGavin 不好意思兄弟，我是新手，并没有接触过内核的调试，方便的话能不能说的详细一些（dump和pdb是什么意思？系统的dump文件么？？）我也是新手，就是那东西，不过很多时候莫名其妙截获不到异常代码，我一般都是逐个模块测试 2018-12-20 19:36 0
不对雪币： 6974 活跃值： (2941) 能力值： ( LV4，RANK：52 ) 在线值：发帖 4 回帖 109 粉丝 29 关注私信	不对 17 楼 HyperGuard?上次听说的时候，还是听说要开发，这就出来了？ 2018-12-20 20:03 0
qdjytony 雪币： 665 活跃值： (1046) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 18 楼奶疼可以友情帮揉..需要的M. 2018-12-21 02:01 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 19 楼昨晚已经遇到了那个问题wow靠，在ept初始化pml1-4层水表期间申请和释放非分页内存那一对api，纠结的是别的框架依然是用那俩api来干这个，并不会引起中断等级error。然后我吧进出vmm时间戳内用到那俩的全部位置均调整为apc level，ok了，卸载ojbk了，wow靠的是，加载30秒后页面翻译error，很明显是前面的操作中断级别引起这个问题，这就尴尬了。 ps:这似乎可以用编译器优化解决 ps2:设置影子页面或其他不可思议的xxoo页面在vmm 退出ept事件的函数里面去操作申请释放非分页内存api是相当稳定的；反过来假如你在初始化vmm并设置ept翻译页目录的时候，在“翻译”模块里面你去调用相关的内核api，不可思议的问题接二连三，why? 这问题已亲测最后于 2018-12-21 10:57 被杨开银编辑，原因： 2018-12-21 10:42 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 20 楼 qdjytony 奶疼可以友情帮揉..需要的M. 哦 2018-12-21 10:44 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 21 楼不对 HyperGuard?[em_35]上次听说的时候，还是听说要开发，这就出来了？ intel公司都公布了intel内核防护源代码了，不过，太冗余，只可远观不可亵玩耶 2018-12-21 10:46 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 22 楼杨开银昨晚已经遇到了那个问题wow靠，在ept初始化pml1-4层水表期间申请和释放非分页内存那一对api，纠结的是别的框架依然是用那俩api来干这个，并不会引起中断等级error。然后我 ... 都说了host就不应该调用guestapi，你看人家hvpp两套内存分配器 2018-12-21 11:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

杨开银

发帖

166

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 2 楼我这边17134还开了EPT随机10~90分钟 0x109 1d蓝屏呢鬼知道微软做了什么 2018-12-19 19:40 0
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 263 关注私信	xiaofu 8 3 楼嘿嘿。不可说，不可说 2018-12-19 19:43 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 4 楼 hzqst 我这边17134还开了EPT随机10~90分钟 0x109 1d蓝屏呢鬼知道微软做了什么 EPT && 随机10~90分钟，有可能是初始化VMCS期间您动了XX寄存器的OO bit，然后触发PG，最后您翻译页目录是ok了，蛋：还是发生了，我猜是这样 PS：1809迎来了传说已久的内核隔离，别的隔离暂时还没怼上，就SYSCALL来说，无法占坑的锅晕，还好inline 和IDT还僵硬 PS2:ida 1809发现，SSDT竟然有callback 最后于 2018-12-19 19:55 被杨开银编辑，原因： 2018-12-19 19:52 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 5 楼杨开银 hzqst 我这边17134还开了EPT随机10~90分钟 0x109 1d蓝屏呢鬼知道微软做了什么 EPT &&a ... 应该不是XX寄存器的问题，109 1d的说明是Executive callback object modification，我查了一下Executive callback object是指ExRegisterCallback的那些东西顺便一提，我用的魔改版ddimon，vmcs初始化的地方没碰过 2018-12-19 20:50 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 6 楼 hzqst 应该不是XX寄存器的问题，109 1d的说明是Executive callback object modification，我查了一下Executive callback object是指ExRegi ... 一直很好奇hvpp中提到的vmx 进/退这个时间戳内调用nt api有副作用的说法，我看了一通有3个dpc相关的api和申请非分页内存api，共4个，用了别的框架很久一直没看到他说的副作用，您可以重现一波嘛？老师最后于 2018-12-19 22:08 被杨开银编辑，原因： 2018-12-19 21:52 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 7 楼说明PG加强了 2018-12-19 22:01 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 8 楼 yy虫子yy 说明PG加强了有没有发现1809忽然爆卡，呵呵 2018-12-19 22:21 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 9 楼杨开银有没有发现1809忽然爆卡，呵呵 1803还好，没升1809 2018-12-19 23:22 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 10 楼 yy虫子yy 1803还好，没升1809 1809之前的都没隔离，印象中老v说了个内核隔离是故事片，但1809把童话变成了现实，ms搞这一出，实在不知怎么占坑vmm。 ps:有趣的是仅仅发现的syscall64页表交换就卡得一B,如果ms对单个内核api所在的物理地址页面也交换一波，那真是swap成好朋友了，估计会卡死，另外一些硬件信息区域我想不可能隔离，太卡了就废了。最后于 2018-12-19 23:33 被杨开银编辑，原因： 2018-12-19 23:28 0
pureGavin 雪币： 13921 活跃值： (17032) 能力值： ( LV12，RANK：290 ) 在线值：发帖 83 回帖 1381 粉丝 240 关注私信	pureGavin 3 11 楼我想说我的Windows10如果开了移动热点就会有很高的几率蓝屏。。。有没有大佬解释一下的 ps：我经常更新系统 2018-12-20 08:28 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 12 楼 pureGavin 我想说我的Windows10如果开了移动热点就会有很高的几率蓝屏。。。有没有大佬解释一下的 ps：我经常更新系统 dump，pdb，方便的话源码一波，靠猜也解决不了问题 2018-12-20 11:49 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 13 楼杨开银 hzqst 应该不是XX寄存器的问题，109 1d的说明是Executive callback object modification，我查了一下Execut ... 本来host就不应该调用guestapi的且不说调用内存分配函数可能会发ipicall 突然被时钟中断打断了咋办 2018-12-20 15:24 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 14 楼 hzqst 本来host就不应该调用guestapi的且不说调用内存分配函数可能会发ipicall 突然被时钟中断打断了咋办那倒也是，看来hvpp是比较细心的框架 2018-12-20 17:15 0
pureGavin 雪币： 13921 活跃值： (17032) 能力值： ( LV12，RANK：290 ) 在线值：发帖 83 回帖 1381 粉丝 240 关注私信	pureGavin 3 15 楼杨开银 dump，pdb，方便的话源码一波，靠猜也解决不了问题不好意思兄弟，我是新手，并没有接触过内核的调试，方便的话能不能说的详细一些（dump和pdb是什么意思？系统的dump文件么？？） 2018-12-20 18:50 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 16 楼 pureGavin 不好意思兄弟，我是新手，并没有接触过内核的调试，方便的话能不能说的详细一些（dump和pdb是什么意思？系统的dump文件么？？）我也是新手，就是那东西，不过很多时候莫名其妙截获不到异常代码，我一般都是逐个模块测试 2018-12-20 19:36 0
不对雪币： 6974 活跃值： (2941) 能力值： ( LV4，RANK：52 ) 在线值：发帖 4 回帖 109 粉丝 29 关注私信	不对 17 楼 HyperGuard?上次听说的时候，还是听说要开发，这就出来了？ 2018-12-20 20:03 0
qdjytony 雪币： 665 活跃值： (1046) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 18 楼奶疼可以友情帮揉..需要的M. 2018-12-21 02:01 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 19 楼昨晚已经遇到了那个问题wow靠，在ept初始化pml1-4层水表期间申请和释放非分页内存那一对api，纠结的是别的框架依然是用那俩api来干这个，并不会引起中断等级error。然后我吧进出vmm时间戳内用到那俩的全部位置均调整为apc level，ok了，卸载ojbk了，wow靠的是，加载30秒后页面翻译error，很明显是前面的操作中断级别引起这个问题，这就尴尬了。 ps:这似乎可以用编译器优化解决 ps2:设置影子页面或其他不可思议的xxoo页面在vmm 退出ept事件的函数里面去操作申请释放非分页内存api是相当稳定的；反过来假如你在初始化vmm并设置ept翻译页目录的时候，在“翻译”模块里面你去调用相关的内核api，不可思议的问题接二连三，why? 这问题已亲测最后于 2018-12-21 10:57 被杨开银编辑，原因： 2018-12-21 10:42 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 20 楼 qdjytony 奶疼可以友情帮揉..需要的M. 哦 2018-12-21 10:44 0
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 21 楼不对 HyperGuard?[em_35]上次听说的时候，还是听说要开发，这就出来了？ intel公司都公布了intel内核防护源代码了，不过，太冗余，只可远观不可亵玩耶 2018-12-21 10:46 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 22 楼杨开银昨晚已经遇到了那个问题wow靠，在ept初始化pml1-4层水表期间申请和释放非分页内存那一对api，纠结的是别的框架依然是用那俩api来干这个，并不会引起中断等级error。然后我 ... 都说了host就不应该调用guestapi，你看人家hvpp两套内存分配器 2018-12-21 11:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复