[求助]如何隐藏Vt特征?自己写的Vt驱动EAC启动秒蓝屏,hyper-v VMware为啥不会蓝屏?-付费问答-看雪-安全社区|安全招聘|kanxue.com

[已解决] [求助]如何隐藏Vt特征?自己写的Vt驱动EAC启动秒蓝屏,hyper-v VMware为啥不会蓝屏? 50.00雪花

发表于: 2022-9-18 19:31 16894

[已解决] [求助]如何隐藏Vt特征?自己写的Vt驱动EAC启动秒蓝屏,hyper-v VMware为啥不会蓝屏? 50.00雪花

麦瑞鸭

2022-9-18 19:31

16894

编译了很多Vt驱动,只要加载成功后,启动EAC=BOOM!

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・6

免费・0

支持

最新回复 (44) 1 2 ▶
qj111111 雪币： 1558 活跃值： (3442) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 2 楼没做过eac,猜测可能是你签名问题/被特征了? 2022-9-18 22:41 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 3 楼 qj111111 没做过eac,猜测可能是你签名问题/被特征了? 这个应该不会，试过uefi启动无驱加载也会导致蓝屏，应该是检测了当前是不是在VT环境中，但是我开启hyper-v按道理也是在vt环境中，hyper-v不会导致他蓝屏 2022-9-18 23:16 0
Chords 雪币： 1519 活跃值： (2122) 能力值： ( LV3，RANK：35 ) 在线值：发帖 3 回帖 50 粉丝 18 关注私信	Chords (+10.00雪花) 4 楼自己写的玩具hypervisor很容易爆炸,比如host 和 guest 共用cr3 备份一份cr3 并替换备份的cr3 这时把老cr3 清空玩具hypervisor 就炸了最后于 2022-9-19 00:05 被Chords编辑，原因： 2022-9-19 00:04 (+10.00雪花) 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 5 楼你能问出“hyper-v VMware为啥不会蓝屏”这种问题，说明你完全不知道什么是虚拟化 2022-9-19 00:16 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 6 楼はつゆき你能问出“hyper-v VMware为啥不会蓝屏”这种问题，说明你完全不知道什么是虚拟化不至于不至于，难道开启hyper-v后 windows不是运行在虚拟机中吗？ 2022-9-19 01:02 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 7 楼麦瑞鸭不至于不至于，难道开启hyper-v后 windows不是运行在虚拟机中吗？是什么让你产生了这种错觉？ 2022-9-19 12:29 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 8 楼はつゆき是什么让你产生了这种错觉？这个，你要是能解决那你就好好说话，你要是不懂又还要装个逼呢，那你哪里凉快待哪里去好吧，大佬？是大佬吗？ 2022-9-19 16:08 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 9 楼 Chords 自己写的玩具hypervisor很容易爆炸,比如host 和 guest 共用cr3 备份一份cr3 并替换备份的cr3 这时把 ... 大哥意思是他压根儿没检测vt，是host 和 guest 共用CR3导致他炸的对吗？ 2022-9-19 16:12 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 10 楼 2022-9-19 18:19 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 11 楼 2022-9-19 19:27 0
X-Blades 雪币： 45 活跃值： (2480) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 5 关注私信	X-Blades 12 楼 2022-9-19 19:32 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 (+20.00雪花) 13 楼 https://bbs.pediy.com/thread-269751.htm 2022-9-19 19:49 (+20.00雪花) 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 14 楼 vt有那么好吗？能隐藏吗？老老实实买个硬件调试器不香吗？ 2022-9-19 19:57 0
DemonJames 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 10 关注私信	DemonJames 15 楼はつゆき是什么让你产生了这种错觉？我也不太懂，你解释下什么才是对的？ 2022-9-19 23:16 1
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 16 楼这样是对的捏 2022-9-19 23:23 0
DemonJames 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 10 关注私信	DemonJames (+10.00雪花) 17 楼はつゆき这样是对的捏知道就好 2022-9-19 23:34 (+10.00雪花) 1
淡然他徒弟雪币： 6166 活跃值： (4937) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 18 楼 2022-9-20 00:25 0
Chords 雪币： 1519 活跃值： (2122) 能力值： ( LV3，RANK：35 ) 在线值：发帖 3 回帖 50 粉丝 18 关注私信	Chords 19 楼麦瑞鸭大哥意思是他压根儿没检测vt，是host 和 guest 共用CR3导致他炸的对吗？他就是检测你虚拟机,只不过我这里只是举一个例子 2022-9-20 01:40 0
V__ 雪币： 24 活跃值： (505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	V__ (+10.00雪花) 20 楼方案1 不拦截写CR3 方案2 根据英特尔手册处理不规范的写CR3 注入异常方案3 直接躺平 2022-9-20 05:34 (+10.00雪花) 0
V__ 雪币： 24 活跃值： (505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	V__ 21 楼其次主题并不仅限于CR3 开源的VT有十多种方法能检测到 2022-9-20 05:39 1
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 22 楼 yy虫子yy vt有那么好吗？能隐藏吗？老老实实买个硬件调试器不香吗？如果解决好了，不省一大笔费用吗 2022-9-20 13:10 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 23 楼 V__ 方案1 不拦截写CR3 方案2 根据英特尔手册处理不规范的写CR3 注入异常方案3 直接躺平收到，这就去试试，有用回来结帖 2022-9-20 13:12 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 24 楼 V__ 方案1 不拦截写CR3 方案2 根据英特尔手册处理不规范的写CR3 注入异常方案3 直接躺平方案一：按照intel手册规范，不拦截肯定不得行。方案二：在手册里面只找到了这些,也按照规范修改了,还是会炸，检测点应该不在这里。 If CR4.PCIDE = 1, bit 63 of the source operand to MOV to CR3 determines whether the instruction invalidates entries in the TLBs and the paging-structure caches (see Section 4.10.4.1, “Operations that Invalidate TLBs and Paging-Structure Caches,” in the Intel® 64 and IA-32 Architectures Software Developer’s Manual, Volume 3A). The instruction does not modify bit 63 of CR3, which is reserved and always 0. 最后于 2022-9-20 15:20 被麦瑞鸭编辑，原因： 2022-9-20 15:19 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 25 楼 dump不了蓝屏指令集 nt!NtQuerySystemInformation 是他吗，到底是给他了啥参数导致蓝屏？ 2022-9-20 18:06 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

麦瑞鸭

发帖

105

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (44) 1 2 ▶
qj111111 雪币： 1558 活跃值： (3442) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 2 楼没做过eac,猜测可能是你签名问题/被特征了? 2022-9-18 22:41 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 3 楼 qj111111 没做过eac,猜测可能是你签名问题/被特征了? 这个应该不会，试过uefi启动无驱加载也会导致蓝屏，应该是检测了当前是不是在VT环境中，但是我开启hyper-v按道理也是在vt环境中，hyper-v不会导致他蓝屏 2022-9-18 23:16 0
Chords 雪币： 1519 活跃值： (2122) 能力值： ( LV3，RANK：35 ) 在线值：发帖 3 回帖 50 粉丝 18 关注私信	Chords (+10.00雪花) 4 楼自己写的玩具hypervisor很容易爆炸,比如host 和 guest 共用cr3 备份一份cr3 并替换备份的cr3 这时把老cr3 清空玩具hypervisor 就炸了最后于 2022-9-19 00:05 被Chords编辑，原因： 2022-9-19 00:04 (+10.00雪花) 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 5 楼你能问出“hyper-v VMware为啥不会蓝屏”这种问题，说明你完全不知道什么是虚拟化 2022-9-19 00:16 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 6 楼はつゆき你能问出“hyper-v VMware为啥不会蓝屏”这种问题，说明你完全不知道什么是虚拟化不至于不至于，难道开启hyper-v后 windows不是运行在虚拟机中吗？ 2022-9-19 01:02 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 7 楼麦瑞鸭不至于不至于，难道开启hyper-v后 windows不是运行在虚拟机中吗？是什么让你产生了这种错觉？ 2022-9-19 12:29 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 8 楼はつゆき是什么让你产生了这种错觉？这个，你要是能解决那你就好好说话，你要是不懂又还要装个逼呢，那你哪里凉快待哪里去好吧，大佬？是大佬吗？ 2022-9-19 16:08 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 9 楼 Chords 自己写的玩具hypervisor很容易爆炸,比如host 和 guest 共用cr3 备份一份cr3 并替换备份的cr3 这时把 ... 大哥意思是他压根儿没检测vt，是host 和 guest 共用CR3导致他炸的对吗？ 2022-9-19 16:12 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 10 楼 2022-9-19 18:19 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 11 楼 2022-9-19 19:27 0
X-Blades 雪币： 45 活跃值： (2480) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 5 关注私信	X-Blades 12 楼 2022-9-19 19:32 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 (+20.00雪花) 13 楼 https://bbs.pediy.com/thread-269751.htm 2022-9-19 19:49 (+20.00雪花) 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 14 楼 vt有那么好吗？能隐藏吗？老老实实买个硬件调试器不香吗？ 2022-9-19 19:57 0
DemonJames 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 10 关注私信	DemonJames 15 楼はつゆき是什么让你产生了这种错觉？我也不太懂，你解释下什么才是对的？ 2022-9-19 23:16 1
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 16 楼这样是对的捏 2022-9-19 23:23 0
DemonJames 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 10 关注私信	DemonJames (+10.00雪花) 17 楼はつゆき这样是对的捏知道就好 2022-9-19 23:34 (+10.00雪花) 1
淡然他徒弟雪币： 6166 活跃值： (4937) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 18 楼 2022-9-20 00:25 0
Chords 雪币： 1519 活跃值： (2122) 能力值： ( LV3，RANK：35 ) 在线值：发帖 3 回帖 50 粉丝 18 关注私信	Chords 19 楼麦瑞鸭大哥意思是他压根儿没检测vt，是host 和 guest 共用CR3导致他炸的对吗？他就是检测你虚拟机,只不过我这里只是举一个例子 2022-9-20 01:40 0
V__ 雪币： 24 活跃值： (505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	V__ (+10.00雪花) 20 楼方案1 不拦截写CR3 方案2 根据英特尔手册处理不规范的写CR3 注入异常方案3 直接躺平 2022-9-20 05:34 (+10.00雪花) 0
V__ 雪币： 24 活跃值： (505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	V__ 21 楼其次主题并不仅限于CR3 开源的VT有十多种方法能检测到 2022-9-20 05:39 1
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 22 楼 yy虫子yy vt有那么好吗？能隐藏吗？老老实实买个硬件调试器不香吗？如果解决好了，不省一大笔费用吗 2022-9-20 13:10 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 23 楼 V__ 方案1 不拦截写CR3 方案2 根据英特尔手册处理不规范的写CR3 注入异常方案3 直接躺平收到，这就去试试，有用回来结帖 2022-9-20 13:12 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 24 楼 V__ 方案1 不拦截写CR3 方案2 根据英特尔手册处理不规范的写CR3 注入异常方案3 直接躺平方案一：按照intel手册规范，不拦截肯定不得行。方案二：在手册里面只找到了这些,也按照规范修改了,还是会炸，检测点应该不在这里。 If CR4.PCIDE = 1, bit 63 of the source operand to MOV to CR3 determines whether the instruction invalidates entries in the TLBs and the paging-structure caches (see Section 4.10.4.1, “Operations that Invalidate TLBs and Paging-Structure Caches,” in the Intel® 64 and IA-32 Architectures Software Developer’s Manual, Volume 3A). The instruction does not modify bit 63 of CR3, which is reserved and always 0. 最后于 2022-9-20 15:20 被麦瑞鸭编辑，原因： 2022-9-20 15:19 0
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 25 楼 dump不了蓝屏指令集 nt!NtQuerySystemInformation 是他吗，到底是给他了啥参数导致蓝屏？ 2022-9-20 18:06 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复