vt接管#PF异常时出错，wrmsr，接着系统崩溃-逆向工程-看雪安全社区

最新回复 (15)
hzqst 雪币： 12907 活跃值： (9547) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1800 粉丝 634 关注私信	hzqst 3 2 楼所以你接管那些msr干嘛？ 2023-5-4 15:13 0
ALwalker 雪币： 4944 活跃值： (7875) 能力值： ( LV6，RANK：80 ) 在线值：发帖 33 回帖 90 粉丝 45 关注私信	ALwalker 1 3 楼 hzqst 所以你接管那些msr干嘛？我置位use_msr_bitmaps，照样会出现上图奇怪的msr寄存器编号导致系统崩溃 2023-5-4 16:06 0
hzqst 雪币： 12907 活跃值： (9547) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1800 粉丝 634 关注私信	hzqst 3 4 楼你既然要用msrbitmaps你就把MSR_BITMAP好好填上啊，不该捕获的填0，该捕获的填1就完事了 2023-5-4 16:28 0
ALwalker 雪币： 4944 活跃值： (7875) 能力值： ( LV6，RANK：80 ) 在线值：发帖 33 回帖 90 粉丝 45 关注私信	ALwalker 1 5 楼问题是出现系统崩溃时的msr参数很奇怪，没有这个编号吧？ 2023-5-4 16:34 0
xxxark 雪币： 4068 活跃值： (6057) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	xxxark 6 楼这应该是hyperv用保留msr来通信，而且还有2d2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2#2L8X3E0F1L8%4N6F1j5$3S2W2j5i4c8K6i4K6u0W2L8h3g2Q4x3V1k6X3L8%4u0#2L8g2)9J5c8U0x3@1x3U0f1@1y4U0y4Q4x3X3c8H3L8%4y4@1x3e0g2Q4x3X3g2Z5N6r3#2D9 2023-5-4 17:17 0
ALwalker 雪币： 4944 活跃值： (7875) 能力值： ( LV6，RANK：80 ) 在线值：发帖 33 回帖 90 粉丝 45 关注私信	ALwalker 1 7 楼是否出现该报错取决于我是否接管#PF异常 2023-5-4 17:26 0
ALwalker 雪币： 4944 活跃值： (7875) 能力值： ( LV6，RANK：80 ) 在线值：发帖 33 回帖 90 粉丝 45 关注私信	ALwalker 1 8 楼当我开启拦截 #PF 并设置 PFEC_MASK & PFEX_MATCH 时可以规避掉一些#PF，并且此时并不会出现上边的奇怪msr编号（此时虽然设置了use_msr_bitmaps，但是没有填充 MSR_BITMAP）。这却决于我所设置的过滤规则，比如0x15，用户态的代码引发的缺页异常。 2023-5-4 19:34 0
ALwalker 雪币： 4944 活跃值： (7875) 能力值： ( LV6，RANK：80 ) 在线值：发帖 33 回帖 90 粉丝 45 关注私信	ALwalker 1 9 楼 ALwalker 当我开启拦截 #PF 并设置 PFEC_MASK & PFEX_MATCH 时可以规避掉一些#PF，并且此时并不会出现上边的奇怪msr编号（此时虽然设置了use_msr_bitmaps，但是 ... 如果过滤规则过于放松，仍然会引发上述的问题；再者，如果不设置#PF并不会出现上述问题。感觉是 #PF 拦截引起的，但是又不知道原因。如果不设置MSR_BITMAP，即该域全部为0，就是在 0-0x1fff, 0xc0000000-0xc000001fff 任何对msr的读写都不会产生 vm-exit？ 2023-5-4 19:41 0
lgjlps 雪币： 4 活跃值： (759) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 1 关注私信	lgjlps 10 楼你这多半是PF处理部分的问题，好好检查一下寄存器的保存和恢复，以及注入时类型和RIP。 2023-5-5 08:14 0
clestor 雪币： 2 活跃值： (1194) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 4 关注私信	clestor 11 楼 __forceinline bool IsMicrosoftSyntheticMsr(UINT64 Msr) { return (Msr >> 30) == 1; } 这个只有在虚拟机下才会传递，自己的VM遇到这个VmExit后直接交给上层VMM处理就行。实机的话可以注入个#GP之类的 2023-5-5 13:42 0
n00bzx 雪币： 1564 活跃值： (2858) 能力值： ( LV12，RANK：236 ) 在线值：发帖 4 回帖 27 粉丝 6 关注私信	n00bzx 1 12 楼 hyper-v的msr 2026-2-22 16:31 0
n00bzx 雪币： 1564 活跃值： (2858) 能力值： ( LV12，RANK：236 ) 在线值：发帖 4 回帖 27 粉丝 6 关注私信	n00bzx 1 13 楼正常处理即可 2026-2-22 16:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
hzqst 雪币： 12907 活跃值： (9547) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1800 粉丝 634 关注私信	hzqst 3 2 楼所以你接管那些msr干嘛？ 2023-5-4 15:13 0
ALwalker 雪币： 4944 活跃值： (7875) 能力值： ( LV6，RANK：80 ) 在线值：发帖 33 回帖 90 粉丝 45 关注私信	ALwalker 1 3 楼 hzqst 所以你接管那些msr干嘛？我置位use_msr_bitmaps，照样会出现上图奇怪的msr寄存器编号导致系统崩溃 2023-5-4 16:06 0
hzqst 雪币： 12907 活跃值： (9547) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1800 粉丝 634 关注私信	hzqst 3 4 楼你既然要用msrbitmaps你就把MSR_BITMAP好好填上啊，不该捕获的填0，该捕获的填1就完事了 2023-5-4 16:28 0
ALwalker 雪币： 4944 活跃值： (7875) 能力值： ( LV6，RANK：80 ) 在线值：发帖 33 回帖 90 粉丝 45 关注私信	ALwalker 1 5 楼问题是出现系统崩溃时的msr参数很奇怪，没有这个编号吧？ 2023-5-4 16:34 0
xxxark 雪币： 4068 活跃值： (6057) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	xxxark 6 楼这应该是hyperv用保留msr来通信，而且还有2d2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2#2L8X3E0F1L8%4N6F1j5$3S2W2j5i4c8K6i4K6u0W2L8h3g2Q4x3V1k6X3L8%4u0#2L8g2)9J5c8U0x3@1x3U0f1@1y4U0y4Q4x3X3c8H3L8%4y4@1x3e0g2Q4x3X3g2Z5N6r3#2D9 2023-5-4 17:17 0
ALwalker 雪币： 4944 活跃值： (7875) 能力值： ( LV6，RANK：80 ) 在线值：发帖 33 回帖 90 粉丝 45 关注私信	ALwalker 1 7 楼是否出现该报错取决于我是否接管#PF异常 2023-5-4 17:26 0
ALwalker 雪币： 4944 活跃值： (7875) 能力值： ( LV6，RANK：80 ) 在线值：发帖 33 回帖 90 粉丝 45 关注私信	ALwalker 1 8 楼当我开启拦截 #PF 并设置 PFEC_MASK & PFEX_MATCH 时可以规避掉一些#PF，并且此时并不会出现上边的奇怪msr编号（此时虽然设置了use_msr_bitmaps，但是没有填充 MSR_BITMAP）。这却决于我所设置的过滤规则，比如0x15，用户态的代码引发的缺页异常。 2023-5-4 19:34 0
ALwalker 雪币： 4944 活跃值： (7875) 能力值： ( LV6，RANK：80 ) 在线值：发帖 33 回帖 90 粉丝 45 关注私信	ALwalker 1 9 楼 ALwalker 当我开启拦截 #PF 并设置 PFEC_MASK & PFEX_MATCH 时可以规避掉一些#PF，并且此时并不会出现上边的奇怪msr编号（此时虽然设置了use_msr_bitmaps，但是 ... 如果过滤规则过于放松，仍然会引发上述的问题；再者，如果不设置#PF并不会出现上述问题。感觉是 #PF 拦截引起的，但是又不知道原因。如果不设置MSR_BITMAP，即该域全部为0，就是在 0-0x1fff, 0xc0000000-0xc000001fff 任何对msr的读写都不会产生 vm-exit？ 2023-5-4 19:41 0
lgjlps 雪币： 4 活跃值： (759) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 1 关注私信	lgjlps 10 楼你这多半是PF处理部分的问题，好好检查一下寄存器的保存和恢复，以及注入时类型和RIP。 2023-5-5 08:14 0
clestor 雪币： 2 活跃值： (1194) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 4 关注私信	clestor 11 楼 __forceinline bool IsMicrosoftSyntheticMsr(UINT64 Msr) { return (Msr >> 30) == 1; } 这个只有在虚拟机下才会传递，自己的VM遇到这个VmExit后直接交给上层VMM处理就行。实机的话可以注入个#GP之类的 2023-5-5 13:42 0
n00bzx 雪币： 1564 活跃值： (2858) 能力值： ( LV12，RANK：236 ) 在线值：发帖 4 回帖 27 粉丝 6 关注私信	n00bzx 1 12 楼 hyper-v的msr 2026-2-22 16:31 0
n00bzx 雪币： 1564 活跃值： (2858) 能力值： ( LV12，RANK：236 ) 在线值：发帖 4 回帖 27 粉丝 6 关注私信	n00bzx 1 13 楼正常处理即可 2026-2-22 16:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复