首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]VT EPT 无痕挂钩的问题
发表于: 2020-3-29 17:37 7039

[求助]VT EPT 无痕挂钩的问题

Lyxk 活跃值
2020-3-29 17:37
7039
最近研究 利用 VT EPT技术 来无痕挂钩一定的系统API 遇到一个问题

此函数为 gdi32.dll 里面的 CreateFontA 函数, 头五个字节 做JMP HOOK

当我为某个程序 成功利用EPT 进行的PAGE页替换之后  

其他程序调用  CreateFontA 也会进入到 我的做的JMP 里面去 从而出现报错

我知道 这个函数 其实只是一个映射 映射到程序内部的 实际运行代码 在系统内核里面 

但是我现在 必须要在 R3程序里 HOOK 并且不影响别的程序调用这个函数  求有没有大神指点我一下

我应该怎么样处理 才能完美的 让我指定的程序执行HOOK 代码页  而让其他的程序走原版的代码页 互相不干扰!!

联系 QQ 11937014   完美解决必有重谢!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 1
支持
分享
最新回复 (9)
不对
雪    币: 7065
活跃值: (3106)
能力值: ( LV4,RANK:52 )
在线值:
发帖
回帖
粉丝
私信
2
需要考虑的问题很多,物理地址并不是一个进程单独用的,建议在Hook的函数中,自行判断,例如GetModuleHandle(NULL)
2020-3-29 19:44
0
Lyxk
雪    币: 147
活跃值: (871)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
JMP的地址 是在某的进程内部的  别的进程使用 CreateFontA 也会触发那个JMP 从而发生别的程序保护 被挂钩程序正常
2020-3-29 19:49
0
はつゆき
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
私信
4
修改内存属性以后再去寻找,寻到的地址就不是和其他进程同一个物理页面了
2020-3-29 19:52
0
Lyxk
雪    币: 147
活跃值: (871)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
修改内存的哪个属性 摆脱指导下
2020-3-29 19:58
0
神雕大侠X
雪    币: 3
活跃值: (48)
能力值: ( LV4,RANK:49 )
在线值:
发帖
回帖
粉丝
私信
6
我记得系统dll有个写时复制机制,你试下在r3里面先修改掉,让系统复制一份那个进程独有的内存,然后再改回来,再在内核里用vt hook呢?
2020-3-29 20:25
1
Lyxk
雪    币: 147
活跃值: (871)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
能不能发个QQ交流下~楼上各位!
2020-3-29 20:41
0
luskyc
雪    币: 248
活跃值: (3789)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
先在R3写Hook,再加载驱动VT EPT隐藏
而不是直接加载驱动Hook
2020-3-29 22:21
0
Lyxk
雪    币: 147
活跃值: (871)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
已经解决 兄弟们 3Q
2020-3-30 13:54
0
shuwoa
雪    币: 35
活跃值: (1796)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
熊伟Sys 已经解决 兄弟们 3Q
怎么解决的
2022-5-10 12:10
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//