前言

记录一下当前思路以及后续的发展分支 预防遗忘

开始

vt分支当前对vt了解大体执行原理与框架实现, vt这个分支上后续为:

• 补充完善 EPT 和 MSR 监控
• 实现 vt 调试器(但前提是先要在 r3 了解调试器的大体实现原理)
• 了解 vt 无痕 hook 实现原理
• 完整阅读 Intel® 64 and IA-32 Architectures Software Developer’s Manual
• 了解 VMware 实现原理(虽然是闭源, 但是网上有不少资料)
• 学习 Xen 工业级vt框架

内核分支内核分支大概率会从之前还剩下的句柄分支开始...

• 继续完善 callback 访存句柄降权保护
• 完善 定期对指定 pid 句柄降权保护
• 完善 检测指定函数字节码反 inlinehook 保护
• 实现WFP、Minifilter、Registry Callback等微软标准化框架demo
• 了解实现 PCHunter (一款很不错的内核工具)
• 实现BYOVD（改CI.dll->g_CiOptions）、BYOVD（手动映射）过签
• 实现自定义 socket 网络通信(自定义协议等, 但刚开始直接明文传入打通流程, 后续可以再上协议)

其实内核分支还有很多可以拓展, 后续会继续补充...

r3分支r3分支大部分都是为了给r0做接口, 主要逻辑会放在r0

• 了解实现 xdbg 调试器(为后续 vt调试器 做准备)
• 了解实现 Cheat Engine 内存搜索算法原理
• 完善对 kernel32.dll \ ntdll.dll \ user32.dll \ gdi32.dll \ ws2_32.dll 等主要系统函数解析了解
• 完善 Code Injection \ DLL Injection \ APC Injection \ Thread Hijacking \ Reflective DLL Injection \ Manual Map Injection \ Shellcode Injection 等主流注入劫持的学习了解

总结

今天突然想到 记录一下 后续也会有所补充...

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！