[原创]一种简单屏蔽nmi中断的方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]一种简单屏蔽nmi中断的方法

发表于: 2022-9-19 23:32 6688

[原创]一种简单屏蔽nmi中断的方法

DemonJames 活跃值

2022-9-19 23:32

6688

一种非常简单的屏蔽方法
NMI处理例程为KiProcessNMI

其中有对当前核NMI是否正在处理的判断，如判断为真则直接返回

将该变量对应的每个核都置位则nmi回调不会被调用，实现代码如下

uint8_t* KiNmiInProgress = NULL;
        if (dwBuildNumber < 22000) //win10
        {
            KiNmiInProgress = reinterpret_cast<uint8_t*>(FindPatternInSectionAtKernel((char*)".text", ntoskrnlAddr, (PUCHAR)"\x81\x25\x00\x00\x00\x00\x00\x00\x00\x00\xB9\x00\x00\x00\x00", (char*)"xx????????x????"));
        }
        else //win11
        {
            KiNmiInProgress = reinterpret_cast<uint8_t*>(FindPatternInSectionAtKernel((char*)".text", ntoskrnlAddr, (PUCHAR)"\x81\x25\x00\x00\x00\x00\x00\x00\x00\x00\x8D\x00\x00", (char*)"xx????????x??"));
        }
        if (KiNmiInProgress)
        {
            uint8_t uTemp = this->read_virtual<uint8_t>((void*)KiNmiInProgress);
 
            while (uTemp != 0x48)
            {
                ++KiNmiInProgress;
                uTemp = this->read_virtual<uint8_t>((void*)KiNmiInProgress);
            }
 
            KiNmiInProgress = reinterpret_cast<uint8_t*>(ResolveRelativeAddress(KiNmiInProgress, 3, 7));
            ULONG nCoreNum = this->v_ctx->kn_KeQueryActiveProcessorCountEx(0);
            if (nCoreNum)
            {
                for (int i = 0; i < nCoreNum; i++)
                {
                    this->v_ctx->kn_KeInterlockedSetProcessorAffinityEx((__int64)KiNmiInProgress, i);
                }
            }
            return true;
        }
        return false;

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向 #系统底层

收藏・9

免费・2

支持

最新回复 (6)
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 2 楼 EAC：学到了，下个版本加入校验 2022-9-20 09:47 0
DemonJames 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 10 关注私信	DemonJames 3 楼 hzqst EAC：学到了，下个版本加入校验 EAC:很遗憾，我已经校验了把握好打开和关闭的时机仍然有用 2022-9-20 15:43 0
syser 雪币： 3545 活跃值： (4679) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 4 楼 hzqst EAC：学到了，下个版本加入校验早加了这样操作会被flag 封不封看心情 2022-9-20 15:46 0
DemonJames 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 10 关注私信	DemonJames 5 楼 syser 早加了这样操作会被flag 封不封看心情然鹅你为什么要全时段所有核屏蔽呢 2022-9-20 15:55 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 6 楼屏蔽NMI中断，时间长了不出问题吗？ 2022-9-21 02:41 0
小希希雪币： 1795 活跃值： (3995) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 335 粉丝 18 关注私信	小希希 7 楼屏蔽NMI中断,学习了，谢谢 2022-9-21 22:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

DemonJames

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 2 楼 EAC：学到了，下个版本加入校验 2022-9-20 09:47 0
DemonJames 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 10 关注私信	DemonJames 3 楼 hzqst EAC：学到了，下个版本加入校验 EAC:很遗憾，我已经校验了把握好打开和关闭的时机仍然有用 2022-9-20 15:43 0
syser 雪币： 3545 活跃值： (4679) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 4 楼 hzqst EAC：学到了，下个版本加入校验早加了这样操作会被flag 封不封看心情 2022-9-20 15:46 0
DemonJames 雪币： 9 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 10 关注私信	DemonJames 5 楼 syser 早加了这样操作会被flag 封不封看心情然鹅你为什么要全时段所有核屏蔽呢 2022-9-20 15:55 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 6 楼屏蔽NMI中断，时间长了不出问题吗？ 2022-9-21 02:41 0
小希希雪币： 1795 活跃值： (3995) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 335 粉丝 18 关注私信	小希希 7 楼屏蔽NMI中断,学习了，谢谢 2022-9-21 22:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复