==== 本段更新于20170919 ====

1.感谢hzqst、v校在这一过程中提供的帮助

2.问题根源在于,检测进程将我HOOK的内存页映射到自己的内存空间;

不同VA映射相同PA时,然后被XXOO

所以 在处理EptViolation的时候,唯一靠谱的就是Lock之后的GuestPhysicalAddress

我之前使用GuestLinerAddress进行判断,所以就悲剧了。

==== 本段更新于20170905 ====

根据1L V校提供的思路,我又做了如下两种测试:

0. 备份Hook页面,原始页面为RW页,备份页面为X页,备份页不进行任何修改(不做HOOK仅测试);

响应EPT Violation时,如果是从RW切换到X,则将RW页面拷贝到X页面;

这样从理论上讲, 如果遇到  xor [code + offset], XX 之类,直接自己X自己代码的情况,可以保证读写页和执行页相同;

我自己用Demo程序测试,确认无论如果自身修改自己的代码,RW页面的修改可以同步到X页面上。

然而结果,直接扑街,依旧被检测到;

1. 不进行备份,只对EptEntry的WriteAccess、ReadAccess进行修改;

进一步缩小可能存在检测的范围,无论读写还是执行,均返回同一个页面;

只是在相应EPT Violation的时候,修改WriteAccess、ReadAccess;

结果依然扑街。。。

So,这个问题更加神奇了,百思不得其解,求大佬助攻。

=====================================================================================前段时间重写了自己的VT框架,弄了一下R3的EPTHOOK,效果良好。

但是在测试中遇到一个问题,R3的EPT HOOK竟然被XX程序应用层检测到了。

我做了如下测试:

0.检查EPT隐藏效果(确认自身功能正确)

原始页面作为读写页面给检测者去读写,申请新页面作为hook后的执行页面;

无论是程序内按指针读取,还是其他程序ReadProcessMemory,读取到的都是原始页面(读写页)

执行结果确认是Hook过的执行页面

1.检查VirtualQuery/NtQueryVirtualMemory的返回值

经过检查,只要保证触发CopyOnWrite后,改回原来的Protect属性,query的结果还是正常的,不会出现一个0x1000的页面;

2.Hook NtQueryVirtualMemory/NtReadVirtualMemory/NtProtectVirtualMemory

均为发现包含我Hook点范围的操作

3.检测程序驱动

PCHunter查看 不存在驱动

So,想了两天这个问题,没有头绪,求助看雪诸位大佬,求指点

ept技术_[讨论]R3检测EPT方式HOOK页面的方案(20170919更新-已解决)相关推荐

  1. omv检查硬盘坏道_用MHDD检测到硬盘出现X坏道时最佳的解决方法!

    原标题:用MHDD检测到硬盘出现X坏道时最佳的解决方法! 硬盘作为电脑的外存,好比人的肚子,系统.文件等都是存在了硬盘里面,当硬盘出现坏道了的话非常影响电脑速度,因此当你的电脑越来越慢了,而且重新安装 ...

  2. 于殿泓 图像检测与处理技术_二手图像检测与处理技术 于殿泓 计算机 西安电子科大学出版社...

    基本信息 书名:图像检测与处理技术 原价:18.(咨询特价) 作者:于殿泓 出版社:西安电子科技大学 出版日期:2006年12月1日 ISBN(咨询特价) 字数: 页码:231 版次:第1版 装帧:装 ...

  3. ept技术_EPT技术在压载水处理中的运用

    EPT 技术在压载水处理中的运用 庞继宁 [摘 要] 摘要:远洋船舶为了确保船舶结构安全的目的,在实际营运过程中需 利用调整货物配载或注入.排出压载水来提高船舶稳性.节能减排,确保船舶 航行安全.船舶 ...

  4. 聚类技术---复杂网络社团检测_自然场景中交通标志牌检测~文末送书

    导读:近年来,交通标志牌检测技术已经成为智能驾驶公交车辆视觉导航系统和计算机视觉领域的热点之一. 本文为6月份刚出版的新书<智能驾驶技术:路径规划与导航控制>节选,探讨基于视觉协同显著性的 ...

  5. 内存虚拟化EPT技术简介

    1. 内存虚拟化 现代多任务操作系统设计,一般进程之间使用不同的虚拟地址空间相互隔离, 在实现上: 操作系统负责维护进程页表,映射虚拟地址到物理地址的关系 CPU的内存管理单元(MMU)负责执行地址转 ...

  6. 综述类_网络入侵检测技术综述

    文章目录 网络入侵检测技术综述 大纲 一.入侵检测系统分类 1.基于数据来源划分 2.基于检测技术划分 二.基于传统机器学习的入侵检测 1.入侵数据处理 2.监督机器学习技术 3.无监督机器学习技术 ...

  7. 对象检测目标小用什么模型好_小目标检测技术分析

    小目标检测技术分析 小目标检测及跟踪系统分为四个模块: · 硬件模块 该模块基于标准PCI总线,并配以超大规模可编程芯片(DSP.FPGA),具有极强的运算.处理能力. · DSP 程序模块 其功能主 ...

  8. ping 不通容器 宿主_使用容器的正确方式,Docker在雪球的技术实践

    " 雪球目前拥有一千多个容器,项目数量大概有一百多个,规模并不是很大.但是得益于容器技术,雪球部署的效率非常高,雪球的开发人员只有几十个,但是每个月的发布次数高达两千多次. 2018 年 5 ...

  9. 营销大数据分析 关键技术_营销分析的3个最关键技能

    营销大数据分析 关键技术 Perhaps more than any other field, marketing, especially digital marketing, revolves al ...

  10. 人脸脸部识别技术_面部识别技术的道德安全问题

    人脸脸部识别技术 Terminator and similar movies depict a world that is controlled by AI and robots. For the m ...

最新文章

  1. layui 多个文件上传控件 整合缩减代码
  2. java 字节输出流_Java IO详解(三)------字节输入输出流
  3. 特殊教育学校计算机教学计划,2021年特殊教育学校教学计划
  4. 洛谷P1288 取数游戏II[博弈论]
  5. linux系统关于mysql的命令_[操作系统]Linux 操作MySql命令
  6. 超级强大的鼠标手势工具
  7. 使用gulp+browser-sync搭建Sass自动化编译以及自动刷新所需要的插件
  8. 《学生快捷记账系统》——个人博客04——星期四
  9. java 输入输出 函数对象构造
  10. 算法-无向图(深度优先搜索和广度优先搜索)
  11. 关于同时安装Keil4MDK与C51问题
  12. C++ 求指定函数的定积分问题
  13. 如何使用在线MP3工具简单剪切音乐
  14. Ubuntu下给U盘分区
  15. 全面比较Aptos和Sui:Aptos已上线 来看看Sui
  16. 目前住院病人主要由护士护理,这样不仅需要大量护士,而且由于不能随时观察病人的病情变化,还可能会延误抢救时机。某医院打算开发一个以计算机为中心的监护系统,写出问题定义和分析系统可行性(软件工程导论)
  17. STL——STL简介、STL六大组件
  18. 关于ioctl幻数构造
  19. Hibernate_3_客户实例_数据库中自动生成主从表
  20. 【 rbx1翻译 第七章、控制移动基座】第三节、用ROS扭转

热门文章

  1. 阿里达摩院(研究型实习生)
  2. rap开发与rcp开发_使用RAP将RCP应用程序转换为Web应用程序
  3. ipv6测试工具-支持ipv6的web压力测试工具curl-load
  4. 最新android版本叫什么,Android版本今年将大更新,迈入10.0时代,新特性曝光
  5. 盘点≠走过场,哪些功能可以进行高效库存盘点?
  6. cdn刷新api_阿里云cdn刷新api
  7. w ndows无法完成格式化,硬盘无法格式化-windows无法完成格式化怎么办
  8. java poi word bookmarks_poi根据word/excel模板(书签)创建导出word/excel文档
  9. 修正蹩脚的Scratch汉化
  10. WPF界面设计工具---Blend学习(一)