[原创]检测虚拟鸡的那些方法-0x00-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]检测虚拟鸡的那些方法-0x00

发表于: 2019-5-20 18:05 10608

[原创]检测虚拟鸡的那些方法-0x00

hzqst

2019-5-20 18:05

10608

天字号杀手第0x00名：利用#VMEXIT会强制刷新TLB

原理：修改页表但是不要刷TLB，发生 #VMEXIT 时hypervisor会帮你刷TLB（intel快出来接锅）

——今天，你刷了吗？

注意事项1：对type-2 hypervisor，即hyperplatfrom ksm hyperbone那类 “我虚拟我自己”的hypervisor无效

原因：“我虚我自己的” hypervisor都会设置VPID=host的ProcessorID，发生#VMEXIT之后host的 ProcessorID 跟guest的VPID仍然相同，因此CPU不会强制刷新TLB

ps：不知什么原因大数字厂的hvm没有设置VPID所以仍然能被这种方法检测到

注意事项2：AMD的L2 cache会在核心之间共享data和code，所以一般来说本方法只适合intel system

代码：没有，so that big hands can not copy-paste

装逼时刻：

——今天，你刷了吗？

注意事项1：对type-2 hypervisor，即hyperplatfrom ksm hyperbone那类 “我虚拟我自己”的hypervisor无效

原因：“我虚我自己的” hypervisor都会设置VPID=host的ProcessorID，发生#VMEXIT之后host的 ProcessorID 跟guest的VPID仍然相同，因此CPU不会强制刷新TLB

ps：不知什么原因大数字厂的hvm没有设置VPID所以仍然能被这种方法检测到

注意事项2：AMD的L2 cache会在核心之间共享data和code，所以一般来说本方法只适合intel system

代码：没有，so that big hands can not copy-paste

装逼时刻：

——今天，你刷了吗？

注意事项1：对type-2 hypervisor，即hyperplatfrom ksm hyperbone那类 “我虚拟我自己”的hypervisor无效

原因：“我虚我自己的” hypervisor都会设置VPID=host的ProcessorID，发生#VMEXIT之后host的 ProcessorID 跟guest的VPID仍然相同，因此CPU不会强制刷新TLB

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2019-5-20 18:05 被hzqst编辑，原因：

收藏・24

免费・4

支持

最新回复 (19)
xjay 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xjay 2 楼大表哥牛批. 2019-5-20 18:12 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 18 关注私信	Lixinist 1 3 楼顶 2019-5-20 18:15 0
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1776 关注私信	Editor 4 楼围观一下 2019-5-20 18:16 0
qdjytony 雪币： 665 活跃值： (1051) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 5 楼单身狗今天加班手札礼记. 2019-5-20 18:16 0
如斯咩咩咩雪币： 4709 活跃值： (1575) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 7 关注私信	如斯咩咩咩 6 楼大表哥牛批。 2019-5-20 18:16 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 7 楼路过围观一下 2019-5-20 19:52 0
UzJu 雪币： 452 活跃值： (6128) 能力值： ( LV12，RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 116 关注私信	UzJu 8 8 楼 1111111111111111111111111111 2019-5-20 20:08 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 9 楼我想cp代码 2019-5-20 20:46 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 10 楼我想cp代码 2019-5-20 20:46 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 11 楼试问谁不想cp代码呢 2019-5-20 22:12 0
Mxixihaha 雪币： 4390 活跃值： (4378) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 593 粉丝 18 关注私信	Mxixihaha 12 楼关注 2019-5-21 07:57 0
whathhh 雪币： 712 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 2 关注私信	whathhh 13 楼 6666 2019-5-21 09:16 0
MsScotch 雪币： 3190 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 14 楼没有代码？刀来！ “锵锵锵，40M已在路上~” 2019-5-21 09:37 0
wbflike 雪币： 1402 活跃值： (341) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 1 关注私信	wbflike 15 楼大表哥牛批 2019-5-21 14:33 0
囧囧雪币： 284 活跃值： (3604) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 337 粉丝 13 关注私信	囧囧 16 楼 mark 2019-5-23 11:15 0
思源欲涩雪币： 331 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 50 粉丝 15 关注私信	思源欲涩 17 楼 2019-6-22 12:03 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 18 楼 MsScotch 没有代码？刀来！ “锵锵锵，40M已在路上~” 刀来是什么梗，难道你想拿大黄狗下酒么：（ 2019-6-27 15:10 0
虚拟机雪币： 26 活跃值： (321) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	虚拟机 19 楼已阅 2019-9-4 16:20 0
lytywg 雪币： 668 活跃值： (1165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 69 粉丝 1 关注私信	lytywg 20 楼 hyperplatfrom和ksm设置VPID = KeGetCurrentProcessorNumberEx(nullptr) + 1应该没问题, 但是hyperbone的VPID应该是全部设置为1吧。这样不会导致TLB刷新吗 2020-8-4 01:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hzqst

发帖

1793

回帖

280

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
xjay 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xjay 2 楼大表哥牛批. 2019-5-20 18:12 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 18 关注私信	Lixinist 1 3 楼顶 2019-5-20 18:15 0
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1776 关注私信	Editor 4 楼围观一下 2019-5-20 18:16 0
qdjytony 雪币： 665 活跃值： (1051) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 5 楼单身狗今天加班手札礼记. 2019-5-20 18:16 0
如斯咩咩咩雪币： 4709 活跃值： (1575) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 7 关注私信	如斯咩咩咩 6 楼大表哥牛批。 2019-5-20 18:16 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 7 楼路过围观一下 2019-5-20 19:52 0
UzJu 雪币： 452 活跃值： (6128) 能力值： ( LV12，RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 116 关注私信	UzJu 8 8 楼 1111111111111111111111111111 2019-5-20 20:08 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 9 楼我想cp代码 2019-5-20 20:46 0
Tennn 雪币： 1176 活跃值： (1264) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 10 楼我想cp代码 2019-5-20 20:46 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 11 楼试问谁不想cp代码呢 2019-5-20 22:12 0
Mxixihaha 雪币： 4390 活跃值： (4378) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 593 粉丝 18 关注私信	Mxixihaha 12 楼关注 2019-5-21 07:57 0
whathhh 雪币： 712 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 2 关注私信	whathhh 13 楼 6666 2019-5-21 09:16 0
MsScotch 雪币： 3190 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 14 楼没有代码？刀来！ “锵锵锵，40M已在路上~” 2019-5-21 09:37 0
wbflike 雪币： 1402 活跃值： (341) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 1 关注私信	wbflike 15 楼大表哥牛批 2019-5-21 14:33 0
囧囧雪币： 284 活跃值： (3604) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 337 粉丝 13 关注私信	囧囧 16 楼 mark 2019-5-23 11:15 0
思源欲涩雪币： 331 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 50 粉丝 15 关注私信	思源欲涩 17 楼 2019-6-22 12:03 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 18 楼 MsScotch 没有代码？刀来！ “锵锵锵，40M已在路上~” 刀来是什么梗，难道你想拿大黄狗下酒么：（ 2019-6-27 15:10 0
虚拟机雪币： 26 活跃值： (321) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	虚拟机 19 楼已阅 2019-9-4 16:20 0
lytywg 雪币： 668 活跃值： (1165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 69 粉丝 1 关注私信	lytywg 20 楼 hyperplatfrom和ksm设置VPID = KeGetCurrentProcessorNumberEx(nullptr) + 1应该没问题, 但是hyperbone的VPID应该是全部设置为1吧。这样不会导致TLB刷新吗 2020-8-4 01:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复