[求助]VT保护进程为什么要Keunstack之后重新Kestack-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
萌克力雪币： 433 活跃值： (1805) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 605 粉丝 29 关注私信	萌克力 2021-9-27 23:06 2 楼 0 111 最后于 2021-9-30 01:12 被萌克力编辑，原因： 1111
hzqst 雪币： 12837 活跃值： (8993) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2021-9-28 09:19 3 楼 1 在vmmhandler里面调kernel API尤其是涉及上下文切换、内存分配等高危API的，有一个算一个不用看全都是玩具，看个乐子就行，真上生产环境了你会发现除了你自己能用别人都是蓝屏。
sanqiu 雪币： 89 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 38 粉丝 4 关注私信	sanqiu 2021-9-30 00:52 4 楼 0 萌克力 __writecr3(NowCr3);        & ... 我感觉不unstack，只切换cr3的话，应该也不会蓝屏吧，反而调用这三个API(包括Getxxx)会消耗性能
sanqiu 雪币： 89 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 38 粉丝 4 关注私信	sanqiu 2021-9-30 00:54 5 楼 0 hzqst 在vmmhandler里面调kernel API尤其是涉及上下文切换、内存分配等高危API的，有一个算一个不用看全都是玩具，看个乐子就行，真上生产环境了你会发现除了你自己能用别人都是蓝屏。嗯是的，我想实现一个不使用ept就可以保护三环进程的方法，毕竟ept太消耗性能了，用着一卡一卡的，有什么好的思路吗
萌克力雪币： 433 活跃值： (1805) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 605 粉丝 29 关注私信	萌克力 2021-9-30 01:11 6 楼 0 sanqiu 我感觉不unstack，只切换cr3的话，应该也不会蓝屏吧，反而调用这三个API(包括Getxxx)会消耗性能当我没说
萌克力雪币： 433 活跃值： (1805) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 605 粉丝 29 关注私信	萌克力 2021-9-30 01:15 7 楼 0 hzqst 在vmmhandler里面调kernel API尤其是涉及上下文切换、内存分配等高危API的，有一个算一个不用看全都是玩具，看个乐子就行，真上生产环境了你会发现除了你自己能用别人都是蓝屏。饭都快吃完了
mataoyong 雪币： 220 活跃值： (526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	mataoyong 2022-4-25 07:30 8 楼 0 我试了一下vmmhandler里面切换进程会蓝屏。尝试了一下KPROCESS->DirectoryTableBase，然后用x64页表解析方式把虚拟地址对应到物理地址，直接对物理地址进行操作。不需要切换进程这种东西。但是有个问题mmmapiospace这个狗屎听说在win10高一点的宝贝下，用去映射cr3里面的这些物理地址会失败，这个没尝试过
caolinkai 雪币： 3624 活跃值： (3783) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 808 粉丝 1 关注私信	caolinkai 2022-11-21 08:58 9 楼 0 mataoyong 我试了一下vmmhandler里面切换进程会蓝屏。尝试了一下KPROCESS->DirectoryTableBase，然后用x64页表解析方式把虚拟地址对应到物理地址，直接对物理地址进行操作。不 ... 论坛上有文章对 mmmapiospace 映射 cr3 失败有办法
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (8)
萌克力雪币： 433 活跃值： (1805) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 605 粉丝 29 关注私信	萌克力 2021-9-27 23:06 2 楼 0 111 最后于 2021-9-30 01:12 被萌克力编辑，原因： 1111
hzqst 雪币： 12837 活跃值： (8993) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2021-9-28 09:19 3 楼 1 在vmmhandler里面调kernel API尤其是涉及上下文切换、内存分配等高危API的，有一个算一个不用看全都是玩具，看个乐子就行，真上生产环境了你会发现除了你自己能用别人都是蓝屏。
sanqiu 雪币： 89 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 38 粉丝 4 关注私信	sanqiu 2021-9-30 00:52 4 楼 0 萌克力 __writecr3(NowCr3);        & ... 我感觉不unstack，只切换cr3的话，应该也不会蓝屏吧，反而调用这三个API(包括Getxxx)会消耗性能
sanqiu 雪币： 89 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 38 粉丝 4 关注私信	sanqiu 2021-9-30 00:54 5 楼 0 hzqst 在vmmhandler里面调kernel API尤其是涉及上下文切换、内存分配等高危API的，有一个算一个不用看全都是玩具，看个乐子就行，真上生产环境了你会发现除了你自己能用别人都是蓝屏。嗯是的，我想实现一个不使用ept就可以保护三环进程的方法，毕竟ept太消耗性能了，用着一卡一卡的，有什么好的思路吗
萌克力雪币： 433 活跃值： (1805) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 605 粉丝 29 关注私信	萌克力 2021-9-30 01:11 6 楼 0 sanqiu 我感觉不unstack，只切换cr3的话，应该也不会蓝屏吧，反而调用这三个API(包括Getxxx)会消耗性能当我没说
萌克力雪币： 433 活跃值： (1805) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 605 粉丝 29 关注私信	萌克力 2021-9-30 01:15 7 楼 0 hzqst 在vmmhandler里面调kernel API尤其是涉及上下文切换、内存分配等高危API的，有一个算一个不用看全都是玩具，看个乐子就行，真上生产环境了你会发现除了你自己能用别人都是蓝屏。饭都快吃完了
mataoyong 雪币： 220 活跃值： (526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	mataoyong 2022-4-25 07:30 8 楼 0 我试了一下vmmhandler里面切换进程会蓝屏。尝试了一下KPROCESS->DirectoryTableBase，然后用x64页表解析方式把虚拟地址对应到物理地址，直接对物理地址进行操作。不需要切换进程这种东西。但是有个问题mmmapiospace这个狗屎听说在win10高一点的宝贝下，用去映射cr3里面的这些物理地址会失败，这个没尝试过
caolinkai 雪币： 3624 活跃值： (3783) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 808 粉丝 1 关注私信	caolinkai 2022-11-21 08:58 9 楼 0 mataoyong 我试了一下vmmhandler里面切换进程会蓝屏。尝试了一下KPROCESS->DirectoryTableBase，然后用x64页表解析方式把虚拟地址对应到物理地址，直接对物理地址进行操作。不 ... 论坛上有文章对 mmmapiospace 映射 cr3 失败有办法
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复