|
|
|---|---|
|
|
|
|
|
|
|
|
研究生搞搞Intel vt,用vt来管理中断的退出事件。Windows x64下做IDT(Interrupt Descriptor Table) HOOK,也就是你说的记录ISR处理表,如果你直接替换或者inlinehook了这些地址,你可以理解为只读权限,不允许做任何添加和替换,不然Win下PG Crc检测会失败系统蓝屏。
最后于 2022-12-4 08:35
被一半人生编辑
,原因:
|
|
|
感谢大佬回复  我补充下问题哈,我想要做的是 给硬件中断注册ISR;再详细点就是,在windows驱动里,我通过写msr寄存器的方式给某个cpu发送硬中断,然后为该硬中断注册ISR,现在的问题就是,不知道怎么为这个硬中断注册ISR; 请教下哈,您说的“为IDT添加中断门”,是可以为硬中断注册ISR的吧?这个我在驱动里添加代码就能实现的么?还有就是,我不使用0-31号中断也可能触发PatchGuard么?请大佬指点 
|
|
|
为中断注册ISR,指的就是为IDT添加条目,具体可以参考Intel手册卷3A的第6章 PatchGuard只在Windows x64下开启,保护的应该是整个IDT范围,也就是IDTR的Base~Limit 在不考虑使用VT-x的情况下,可以选择使用32位操作系统,或者双机调试下进行修改也不会触发PatchGuard |
|
|
感谢大佬回复 大佬您好,我搞的这个课题因为驱动里的一些需求特性,关掉了vt(您说的vt是Virtualization Technology虚拟化技术吧?),那还能“用vt来管理中断的退出事件”么?vt管理中断退出事件,意思是可以通过vt实现ISR的注册么? 请教下哈,“不允许做任何添加和替换,不然Win下PG Crc检测会失败系统蓝屏”,意思是,不能直接在IDT中添加自己的ISR么?请大佬指点
|
|
|
OK大佬 我学习下intel文档  那我想在windows驱动里,直接给IDT添加条目,来注册自己的ISR,可行不? |
|
|
不考虑patchguard的情况下可行 |
|
|
我的开发环境是windows x64,按照您的意思 应该是会触发PatchGuard的; 那我如何合法得添加IDT条目呢?就是不会触发PatchGuard的、注册的ISR受系统保护的那种,大佬有思路没? |
|
|
挂上内核调试器就不会触发PatchGuard了 |
|
|
|
|
|
我需要在通用环境下注册ISR,在每台环境上都挂上内核调试器不太能实现 那我还有个疑问,windows那些合法的硬中断ISR是怎么注册上去的呢
最后于 2022-12-5 10:01
被迷人的win编辑
,原因:
|
|
|
|
|
|
windows能注册ISR是因为在系统引导过程就注册了呀,PG也是进行校验引导之后的ISR有没有改变。 我可以x64环境下合法注册ISR,但是有缺陷,无法全局影响Idt表,你感兴趣我可以给你说下 |
|
|
怕不是典中典之伪造页表 
|
|
|
具体是要怎么做的呀大佬?我就是想给某个硬中断号注册ISR,共享entry是怎么实现的呢 |
|
|
大佬求指导,如何在x64下合法注册ISR,展开说说可以不? “但是有缺陷,无法全局影响Idt表”,这个缺陷是啥,会影响ISR的执行么?
|
|
|
 伪造页表可以实现注册ISR么,难度大不大呀?
|
|
|
感谢大佬提醒 ,确实是需要在通用环境下、使用常规合法的技术手段实现,才有意义
|
|
|
这也不叫合法,不想上VT的话就挂上内核调试器 |
|
|
对 
|
|
|
就是只能单个程序注册isr 其他都不受影响 无法全局注册 |
|
|
可以可以,单个程序注册ISR 能响应中断就可以,具体要怎么做呢? |
|
|
大佬,这个合法注册ISR的方法能展开说说不,万分感谢
|
