我想请教一下SYSCALL能否通过VT来拦截?
常听大大们说用VT来拦截这个拦截那个,请问SYSCALL能否用VT来拦截? 不可以。VT只能拦截所有的VT指令,以及一部分X86指令(比如SYSCALL、MOV等就不可以)。所谓的“VT级SSDT HOOK”,其实就是普通的MSR HOOK(修改MSR的值指向自己的代理函数),外加“HOOK” RDMSR返回MSR的原始值(骗过PG的检查)而已。 Tesla.Angela 发表于 2015-5-3 17:13
不可以。VT只能拦截所有的VT指令,以及一部分X86指令(比如SYSCALL、MOV等就不可以)。
所谓的“VT级SSDT...
谢谢 Tesla.Angela 发表于 2015-5-3 17:13
不可以。VT只能拦截所有的VT指令,以及一部分X86指令(比如SYSCALL、MOV等就不可以)。
所谓的“VT级SSDT...
有一种间接通过拦截EFER来拦截syscall的https://revers.engineering/syscall-hooking-via-extended-feature-enable-register-efer/
页:
[1]