首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 茶余饭后
    3. 发新帖
[讨论]EAC 新的hypervisor检测方法
发表于: 2022-10-20 01:21 9854

[讨论]EAC 新的hypervisor检测方法

麦瑞鸭 活跃值
2022-10-20 01:21
9854

检测一:

vmread  qword ptr [rdx], rcx
setz    al
setb    cl
adc     al, cl
retn

处理方法:当vmx指令访问时向客户机注入异常


检测二:

mov [rsp+08],rbx
mov [rsp+10],rdi
push rbp
mov rbp,rsp
sub rsp,50
xorps xmm0,xmm0
xor eax,eax
movups [rbp-30],xmm0
mov [rbp-10],rax
movups [rbp-20],xmm0
mov r10d,cr8
mov eax,0000000F
mov cr8,eax
mov [rbp-18],0
xor ebx,ebx
mov r11,[rbp-18]
lea r9d,[rax+55]
mov edi,r9d

reload:
rdtsc
shl rdx,20
or rax,rdx
mov r8,rax
xor ecx,ecx
mov eax,00000001
cpuid
mov [rbp-30],eax
mov [rbp-2C],ebx
mov [rbp-28],ecx
mov [rbp-24],edx
rdtsc
shl rdx,20
or rax,rdx
sub rax,r8
add r11,rax
sub rdi,01
jne reload
mov rbx,[rbp-10]
mov [rbp-18],r11

reload2:
rdtsc
shl rdx,20
or rax,rdx
mov rcx,rax
rdtsc
shl rdx,20
or rax,rdx
sub rax,rcx
add rbx,rax
sub r9,01
jne reload2
mov [rbp-10],rbx
movzx eax,r10l
mov cr8,eax

处理方法:拦截rdtsc减去vmexit周期,减少误差。


检测三:

mov ecx,00000122
rdmsr 
shl rdx,20
or rax,rdx
not al
and al,01
jmp FFFFF809FF716D52
mov al,01
ret 

sub rsp,18
mov qword ptr [rsp],00000000
mov ecx,40000001
rdmsr 
shl rdx,20
or rax,rdx
mov [rsp],rax
jmp FFFFF809FF75E03C
mov rax,[rsp]
add rsp,18
ret

处理方法:当msr读写值无效时向客户机注入异常


听说还会在Nmi中断回调中检测,网上找了禁用Nmi中断的方法,也还是会炸,各位老哥还能丢一下其他的检测方法吗,跪了!


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2022-10-20 12:53 被麦瑞鸭编辑 ,原因:
收藏
免费 4
支持
分享
最新回复 (15)
wonderzdh
雪    币: 62
活跃值: (971)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
https://github.com/HyperDbg/HyperDbg
2022-10-20 11:16
0
boursonjane
雪    币: 2327
活跃值: (3039)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
3
hypervisor
2022-10-20 11:27
0
麦瑞鸭
雪    币: 206
活跃值: (1981)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
boursonjane hypervisor
感谢老哥,你不说我都没发现
2022-10-20 12:52
0
麦瑞鸭
雪    币: 206
活跃值: (1981)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
wonderzdh https://github.com/HyperDbg/HyperDbg

然后就死机了

最后于 2022-10-20 13:20 被麦瑞鸭编辑 ,原因:
2022-10-20 13:18
0
wonderzdh
雪    币: 62
活跃值: (971)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
6
麦瑞鸭 wonderzdh https://github.com/HyperDbg/HyperDbg 然后就死机了
好歹改一下服务名驱动名吧
2022-10-20 14:43
0
麦瑞鸭
雪    币: 206
活跃值: (1981)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
wonderzdh 好歹改一下服务名驱动名吧

改成灰他都认得我,哭了。 

2022-10-20 15:39
0
木志本柯
雪    币: 4714
活跃值: (4250)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
这个检测代码是从eac驱动里扣的吗 没有被vm吗?
2022-10-20 15:48
0
麦瑞鸭
雪    币: 206
活跃值: (1981)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
木志本柯 这个检测代码是从eac驱动里扣的吗 没有被vm吗?
被vm的找不出来,发出来的都是没有被vm的
2022-10-20 15:53
0
小希希
雪    币: 1802
活跃值: (4000)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
麦瑞鸭 wonderzdh https://github.com/HyperDbg/HyperDbg 然后就死机了
你还能运行起来,这驱动我机器里加载不起来,搞不明白什么情况

D:\drv>DrvLoader.exe hprdbghv.sys
StartService failed : 2(0x00000002) : 系统找不到指定的文件。
LoadDriver failed : 2(0x00000002) : 系统找不到指定的文件。
2022-10-20 17:12
0
麦瑞鸭
雪    币: 206
活跃值: (1981)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
小希希 你还能运行起来,这驱动我机器里加载不起来,搞不明白什么情况 D:\drv>DrvLoader.exe hprdbghv.sys StartService failed : 2(0x000 ...
不用试了,改名运行起来,保护全开,也会被检测的
2022-10-20 17:41
0
麦瑞鸭
雪    币: 206
活跃值: (1981)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
@hzqst 大表哥
2022-10-20 18:04
0
小希希
雪    币: 1802
活跃值: (4000)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
麦瑞鸭 不用试了,改名运行起来,保护全开,也会被检测的
我不是调试这个游戏,我是测试下这个调试器怎么用,编译什么的都很顺利,就是加载不了驱动
你做了什么特殊操作么?
2022-10-20 18:28
0
麦瑞鸭
雪    币: 206
活跃值: (1981)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
小希希 我不是调试这个游戏,我是测试下这个调试器怎么用,编译什么的都很顺利,就是加载不了驱动 你做了什么特殊操作么?

看我的7楼;

Build & Install - HyperDbg Documentation 这里有你想要的一切

最后于 2022-10-20 18:34 被麦瑞鸭编辑 ,原因:
2022-10-20 18:32
0
小希希
雪    币: 1802
活跃值: (4000)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
麦瑞鸭 小希希 我不是调试这个游戏,我是测试下这个调试器怎么用,编译什么的都很顺利,就是加载不了驱动 你做了什么特殊操作么? 看我的7楼;Build ...
你要调试游戏我给你出个注意,加载后删除驱动文件
已经按照Build & install 测试过了,驱动还是运行不起来....
2022-10-21 09:55
0
麻里麻里红
雪    币: 26
活跃值: (218)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
我也测试了hyperdbg 一样被检测。
2024-9-29 13:17
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//