[求助]VT保护进程为什么要Keunstack之后重新Kestack-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
萌克力雪币： 433 活跃值： (1900) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 2 楼 111 最后于 2021-9-30 01:12 被萌克力编辑，原因： 1111 2021-9-27 23:06 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 3 楼在vmmhandler里面调kernel API尤其是涉及上下文切换、内存分配等高危API的，有一个算一个不用看全都是玩具，看个乐子就行，真上生产环境了你会发现除了你自己能用别人都是蓝屏。 2021-9-28 09:19 1
sanqiu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 41 粉丝 5 关注私信	sanqiu 4 楼萌克力 __writecr3(NowCr3);        & ... 我感觉不unstack，只切换cr3的话，应该也不会蓝屏吧，反而调用这三个API(包括Getxxx)会消耗性能 2021-9-30 00:52 0
sanqiu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 41 粉丝 5 关注私信	sanqiu 5 楼 hzqst 在vmmhandler里面调kernel API尤其是涉及上下文切换、内存分配等高危API的，有一个算一个不用看全都是玩具，看个乐子就行，真上生产环境了你会发现除了你自己能用别人都是蓝屏。嗯是的，我想实现一个不使用ept就可以保护三环进程的方法，毕竟ept太消耗性能了，用着一卡一卡的，有什么好的思路吗 2021-9-30 00:54 0
萌克力雪币： 433 活跃值： (1900) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 6 楼 sanqiu 我感觉不unstack，只切换cr3的话，应该也不会蓝屏吧，反而调用这三个API(包括Getxxx)会消耗性能当我没说 2021-9-30 01:11 0
萌克力雪币： 433 活跃值： (1900) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 7 楼 hzqst 在vmmhandler里面调kernel API尤其是涉及上下文切换、内存分配等高危API的，有一个算一个不用看全都是玩具，看个乐子就行，真上生产环境了你会发现除了你自己能用别人都是蓝屏。饭都快吃完了 2021-9-30 01:15 0
mataoyong 雪币： 220 活跃值： (611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	mataoyong 8 楼我试了一下vmmhandler里面切换进程会蓝屏。尝试了一下KPROCESS->DirectoryTableBase，然后用x64页表解析方式把虚拟地址对应到物理地址，直接对物理地址进行操作。不需要切换进程这种东西。但是有个问题mmmapiospace这个狗屎听说在win10高一点的宝贝下，用去映射cr3里面的这些物理地址会失败，这个没尝试过 2022-4-25 07:30 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 9 楼 mataoyong 我试了一下vmmhandler里面切换进程会蓝屏。尝试了一下KPROCESS->DirectoryTableBase，然后用x64页表解析方式把虚拟地址对应到物理地址，直接对物理地址进行操作。不 ... 论坛上有文章对 mmmapiospace 映射 cr3 失败有办法 2022-11-21 08:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
萌克力雪币： 433 活跃值： (1900) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 2 楼 111 最后于 2021-9-30 01:12 被萌克力编辑，原因： 1111 2021-9-27 23:06 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 3 楼在vmmhandler里面调kernel API尤其是涉及上下文切换、内存分配等高危API的，有一个算一个不用看全都是玩具，看个乐子就行，真上生产环境了你会发现除了你自己能用别人都是蓝屏。 2021-9-28 09:19 1
sanqiu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 41 粉丝 5 关注私信	sanqiu 4 楼萌克力 __writecr3(NowCr3);        & ... 我感觉不unstack，只切换cr3的话，应该也不会蓝屏吧，反而调用这三个API(包括Getxxx)会消耗性能 2021-9-30 00:52 0
sanqiu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 41 粉丝 5 关注私信	sanqiu 5 楼 hzqst 在vmmhandler里面调kernel API尤其是涉及上下文切换、内存分配等高危API的，有一个算一个不用看全都是玩具，看个乐子就行，真上生产环境了你会发现除了你自己能用别人都是蓝屏。嗯是的，我想实现一个不使用ept就可以保护三环进程的方法，毕竟ept太消耗性能了，用着一卡一卡的，有什么好的思路吗 2021-9-30 00:54 0
萌克力雪币： 433 活跃值： (1900) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 6 楼 sanqiu 我感觉不unstack，只切换cr3的话，应该也不会蓝屏吧，反而调用这三个API(包括Getxxx)会消耗性能当我没说 2021-9-30 01:11 0
萌克力雪币： 433 活跃值： (1900) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 7 楼 hzqst 在vmmhandler里面调kernel API尤其是涉及上下文切换、内存分配等高危API的，有一个算一个不用看全都是玩具，看个乐子就行，真上生产环境了你会发现除了你自己能用别人都是蓝屏。饭都快吃完了 2021-9-30 01:15 0
mataoyong 雪币： 220 活跃值： (611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	mataoyong 8 楼我试了一下vmmhandler里面切换进程会蓝屏。尝试了一下KPROCESS->DirectoryTableBase，然后用x64页表解析方式把虚拟地址对应到物理地址，直接对物理地址进行操作。不需要切换进程这种东西。但是有个问题mmmapiospace这个狗屎听说在win10高一点的宝贝下，用去映射cr3里面的这些物理地址会失败，这个没尝试过 2022-4-25 07:30 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 9 楼 mataoyong 我试了一下vmmhandler里面切换进程会蓝屏。尝试了一下KPROCESS->DirectoryTableBase，然后用x64页表解析方式把虚拟地址对应到物理地址，直接对物理地址进行操作。不 ... 论坛上有文章对 mmmapiospace 映射 cr3 失败有办法 2022-11-21 08:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复