设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 我想请教一下SYSCALL能否通过VT来拦截?
返回列表 发新帖
查看: 4779|回复: 3

我想请教一下SYSCALL能否通过VT来拦截?

[复制链接]
gfw

28

主题

116

回帖

0

精华

铜牌会员

积分
273
发表于 2015-5-3 13:13:16 | 显示全部楼层 |阅读模式
常听大大们说用VT来拦截这个拦截那个,请问SYSCALL能否用VT来拦截?
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2015-5-3 17:13:29 | 显示全部楼层
不可以。VT只能拦截所有的VT指令,以及一部分X86指令(比如SYSCALL、MOV等就不可以)。

所谓的“VT级SSDT HOOK”,其实就是普通的MSR HOOK(修改MSR[0xC0000082]的值指向自己的代理函数),外加“HOOK” RDMSR返回MSR[0xC0000082]的原始值(骗过PG的检查)而已。
回复

举报

gfw

28

主题

116

回帖

0

精华

铜牌会员

积分
273
 楼主| 发表于 2015-6-20 08:39:26 | 显示全部楼层
Tesla.Angela 发表于 2015-5-3 17:13
不可以。VT只能拦截所有的VT指令,以及一部分X86指令(比如SYSCALL、MOV等就不可以)。

所谓的“VT级SSDT  ...

谢谢
回复

举报

flappy

0

主题

24

回帖

0

精华

初来乍到

积分
33
发表于 2020-5-13 18:06:46 | 显示全部楼层
Tesla.Angela 发表于 2015-5-3 17:13
不可以。VT只能拦截所有的VT指令,以及一部分X86指令(比如SYSCALL、MOV等就不可以)。

所谓的“VT级SSDT  ...

有一种间接通过拦截EFER来拦截syscall的  https://revers.engineering/syscall-hooking-via-extended-feature-enable-register-efer/
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表