-
-
[求助]Intel VT虚拟机如何实现内存写保护和防篡改GDT/IDT?(不启用EPT的情况)
-
发表于: 2009-8-1 18:22
-
最近偷窥http://rootkit.com/newsread.php?newsid=758的虚拟机框架写了个VT虚拟机
希望能进行WINDOWS内核保护,当然是不开启EPT扩展页表的情况下,太复杂
目前可以实现禁止修改CR0寄存器的WP位,以及阻止修改SYSENTER相关MSR实现SYSENTER HOOK (其实就是改了CR0 host/guest mask和设置一下CR0 read shadow,MSR是必然会引起VM EXIT的)。
但众所周知,绕过内存写保护还有一种常规方法是创建MDL,这种方式不会产生VM EXIT,难道用HOOK做,但HOOK在RING0总有办法绕过,大不了自己实现API。
HyperSight这款软件(http://northsecuritylabs.com/testing.aspx下载 号称世界上第一款VIPS)号称是实现了如下的功能:(引用自官方白皮书http://northsecuritylabs.com/downloads/whitepaper-html/)
Hypersight Rootkit Detector monitors and intercepts the following actions classified as being potentially dangerous:
Hypersight监视和拦截以下的危险行为,大概是这个意思吧 我鸟语不行
· Attempts to modify page table. This activity is typical for ‘shadow walker’ rootkits that hide themselves in the computer memory.
尝试篡改页表,这一行为时典型的'shadow walker' rootkits在内存中隐藏自己的方式
· Attempts to modify read-only kernel modules. Most rootkits exhibit this behavior.
尝试修改只读的内核模块,大多数rootkits有这种行为
· Attempts to modify GDT and IDT. Typical for ‘shadow walker’ and other rootkits.
尝试修改GDT/IDT,'shadow walker'和其他rootkits的典型特征
然后又说内存写保护的东西
Rootkits are performing the following activities to circumvent memory write-protection:
rootkits用一下的方式绕过内存写保护
· Resetting write-protection bit (CR0.WP)
重置CR0的WP位
· Mapping memory sections with write privileges (calls to MmMapLockedPages, MmMapLockedPagesSpecifyCache)
以写权限映射内存
· Accessing physical system memory via \Device\PhysicalDrive object
访问物理内存对象
Hypersight Rootkit Detector kernel intercepts all attempts to circumvent memory write-protection
Hypersight Rootkit Detector 内核拦截一些尝试绕过内存写保护的行为。
我测试了一下,在Intel VT的CPU下,根本没实现内存写保护,而且他初始化VMCS的时候跟我赋的值是基本一样的(同样没有开启EPT扩展页表)。
08年的Black Hat上日本人Murakami发表议题:基于硬件虚拟化的主机防御系统(反正就这意思),PPT可以到Black Hat官网下载
里面的VIPS是基于一个www.SecureVM.org的BitVisor得日本开源虚拟机的,貌似该虚拟机并没有使用EPT,而是使用软件虚拟机使用的影子页表进行的内存虚拟化,文中叫SPT,作者的内存写保护是通过设置SPT的W/R位实现的,GUEST OS无法修改影子页表。但我总不能去用影子页表,那复杂,而且性能开销很大。其实是我不会。
去年的XCON徐昊也说了类似的东西,可以我没钱参加,也没拿到任何相关资料 悲哀
Intel手册3B卷翻了N遍(我E文不行只能走马观花),也没找到能够实现内存写保护的机制,除了启用EPT,至于修改IDT/GDT似乎也不会产生VM EXIT。实在是黔驴技穷啊!
还有一个奇怪的事情:开启虚拟化后,GUEST OS的程序修改CR0.WP位即使失败也能成功修改SSDT而不蓝屏,可能是我没处理#GP异常(General Protection 应该是这个异常把)。
大牛帮帮忙啊!
希望能进行WINDOWS内核保护,当然是不开启EPT扩展页表的情况下,太复杂
目前可以实现禁止修改CR0寄存器的WP位,以及阻止修改SYSENTER相关MSR实现SYSENTER HOOK (其实就是改了CR0 host/guest mask和设置一下CR0 read shadow,MSR是必然会引起VM EXIT的)。
但众所周知,绕过内存写保护还有一种常规方法是创建MDL,这种方式不会产生VM EXIT,难道用HOOK做,但HOOK在RING0总有办法绕过,大不了自己实现API。
HyperSight这款软件(http://northsecuritylabs.com/testing.aspx下载 号称世界上第一款VIPS)号称是实现了如下的功能:(引用自官方白皮书http://northsecuritylabs.com/downloads/whitepaper-html/)
Hypersight Rootkit Detector monitors and intercepts the following actions classified as being potentially dangerous:
Hypersight监视和拦截以下的危险行为,大概是这个意思吧 我鸟语不行
· Attempts to modify page table. This activity is typical for ‘shadow walker’ rootkits that hide themselves in the computer memory.
尝试篡改页表,这一行为时典型的'shadow walker' rootkits在内存中隐藏自己的方式
· Attempts to modify read-only kernel modules. Most rootkits exhibit this behavior.
尝试修改只读的内核模块,大多数rootkits有这种行为
· Attempts to modify GDT and IDT. Typical for ‘shadow walker’ and other rootkits.
尝试修改GDT/IDT,'shadow walker'和其他rootkits的典型特征
然后又说内存写保护的东西
Rootkits are performing the following activities to circumvent memory write-protection:
rootkits用一下的方式绕过内存写保护
· Resetting write-protection bit (CR0.WP)
重置CR0的WP位
· Mapping memory sections with write privileges (calls to MmMapLockedPages, MmMapLockedPagesSpecifyCache)
以写权限映射内存
· Accessing physical system memory via \Device\PhysicalDrive object
访问物理内存对象
Hypersight Rootkit Detector kernel intercepts all attempts to circumvent memory write-protection
Hypersight Rootkit Detector 内核拦截一些尝试绕过内存写保护的行为。
我测试了一下,在Intel VT的CPU下,根本没实现内存写保护,而且他初始化VMCS的时候跟我赋的值是基本一样的(同样没有开启EPT扩展页表)。
08年的Black Hat上日本人Murakami发表议题:基于硬件虚拟化的主机防御系统(反正就这意思),PPT可以到Black Hat官网下载
里面的VIPS是基于一个www.SecureVM.org的BitVisor得日本开源虚拟机的,貌似该虚拟机并没有使用EPT,而是使用软件虚拟机使用的影子页表进行的内存虚拟化,文中叫SPT,作者的内存写保护是通过设置SPT的W/R位实现的,GUEST OS无法修改影子页表。但我总不能去用影子页表,那复杂,而且性能开销很大。其实是我不会。
去年的XCON徐昊也说了类似的东西,可以我没钱参加,也没拿到任何相关资料 悲哀
Intel手册3B卷翻了N遍(我E文不行只能走马观花
),也没找到能够实现内存写保护的机制,除了启用EPT,至于修改IDT/GDT似乎也不会产生VM EXIT。实在是黔驴技穷啊!还有一个奇怪的事情:开启虚拟化后,GUEST OS的程序修改CR0.WP位即使失败也能成功修改SSDT而不蓝屏,可能是我没处理#GP异常(General Protection 应该是这个异常把)。
大牛帮帮忙啊!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
