- [原创]驱动级VT技术EPT实现无痕HOOK保护指定进程----VT EPT原理解析和进阶 https://bbs.kanxue.com/thread-269303.htm
驱动级VT虚拟化技术EPT实现无痕HOOK保护指定进程。
懂VT的内核安全逆向人员,可以秒杀不懂VT的人员,VT学习交流群244684999
VT EPT原理解析和进阶.VT开启EPT后。绕过pg检测,无视目前任何内核检测工具的检测如PCHander检测不到HOOK.
本次案例实现欺骗系统达到无痕HOOK SSDT中的NtOpenprocess保护calc程序的内存,让OD,CE工具无法附加搜索。
- EPT的概念
EPT(Extend Page Table)扩展页表机制,可以让Guest机使用一份自己构建的页表
GPA(Guest-Physical Address)、HPA(Host-Physical Address)
当Guest访问内存时,其最终会生成一个GPA,其EPT的页表定义在Host端,处理器在收到guest传递过来的之后,通过EPT页表转换为HPA,从而访问物理内存。
2.构建EPT并开启的代码实现
3.EPT下HOOK SSDT NTOpenProcess的代码实现
4.WIN7X64系统下的EPT HOOK SSDT演示
4.核心源码分享,看反应公开源码,见附件
