Tesla.Angela
发表于 2015-5-2 14:06:35
[思路]暂时无法检测的VT级内核后门
普通的内核后门要么是内核HOOK,要么是内核回调,要么是劫持特定驱动的对象——这些方式都能被检测到。
换句话说,容易检测就等于容易失去。况且,WIN64上因为PATCHGUARD的原因,基本只能使用内核回调来实现后门了。
但用VT实现后门,那就不一样了。目前来说基本很难检测到。下面说说方法。
**** Hidden Message *****重点:去哪里找一个可以在WIN64上运行的VT模板呢?
**** Hidden Message *****还有一个问题:VT是不是独占性质的?比如运行了“VT后门”,其它使用VT的程序(如VMWARE)是否无法运行?
**** Hidden Message *****
rice19
发表于 2015-5-2 14:29:40
先回复看看是啥
0xAA55
发表于 2015-5-2 14:37:05
滋瓷楼组!
陌路人
发表于 2015-5-2 14:38:25
看看,到现在 不知道vt 是什么东西 只晓得 它是虚拟化 什么的
wird0r
发表于 2015-5-2 15:25:23
要学的东西好多, 前排支持下
KOK20141001
发表于 2015-5-2 15:37:59
看看学习谢谢
laomaotx
发表于 2015-5-2 16:38:39
顶起!!!!学习了。。。。。
菜鸟痕迹
发表于 2015-5-2 18:02:45
不知道这个vt是什么呢,看起来很高端,先回复瞅瞅
道尘
发表于 2015-5-2 18:08:49
先看看 学习学习/cy
andylau004
发表于 2015-5-2 20:21:58
回复下 ,学习下 。。。
wonderzdh
发表于 2015-5-2 21:16:09
VT很热门的说,Intel还说不会提供检测vt的接口
Yecate
发表于 2015-5-2 22:00:13
貌似很屌的样子
lcoys
发表于 2015-5-3 12:39:10
学习啊
dagangwood
发表于 2015-5-3 22:39:35
!学习谢谢!
baggiowangyu
发表于 2015-5-4 08:35:36
看看
bqrm_521
发表于 2015-5-4 08:37:06
看看...
Tesla.Angela
发表于 2015-5-4 10:14:40
correy 发表于 2015-5-4 08:54
以前网上搜索:有个大学的论文是:在物理内存搜索特征码。
使用“内存隐藏”技术,让你访问那个地址时抛出异常,换句话说,就是一个地址,明明可以执行,但你读的时候,让你以为是无效地址。具体可以看MIK的那本书。
oksbsb
发表于 2015-5-4 16:17:00
思路很好,具体实现呢
upring
发表于 2015-5-7 20:21:44
学习无止境
pclzh
发表于 2015-5-14 17:47:35
暂时无法检测的VT级内核后门
luqi_44
发表于 2015-5-14 21:10:22
看看学习
likaisqsq
发表于 2015-5-14 22:34:19
这个要学习一下
284406022
发表于 2015-5-15 09:28:09
来看看VT怎么搞
huangchao209
发表于 2015-5-16 07:55:47
{:soso_e144:}先看看,学习下
dhc83749787
发表于 2015-5-18 15:59:00
学习ING~~~~
kovipp
发表于 2015-5-19 10:20:33
看看了解下,对这一块疑点挺多
极点寸芒
发表于 2015-5-19 23:31:19
看看是什么
qq295593362
发表于 2015-6-5 21:34:57
回复我看看
xiangyan_555
发表于 2015-6-8 17:38:25
哇,VT技术。。。。
yxwsbobo
发表于 2015-6-9 00:27:01
学习
dumingqiao
发表于 2015-6-25 09:55:18
看看 吧
upring
发表于 2015-6-25 10:20:18
好贴必须顶