[原创]XCON2010 - 基于硬件虚拟化的反调试技术-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]XCON2010 - 基于硬件虚拟化的反调试技术

发表于: 2010-7-19 22:51 14065

[原创]XCON2010 - 基于硬件虚拟化的反调试技术

superymk

2010-7-19 22:51

14065

侥幸中XCON2010一篇，希望与各位大牛讨论，任何方面均可
个人网址:57eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4F1j5X3I4G2k6%4y4Q4x3X3g2U0L8$3#2Q4x3V1k6e0N6i4m8W2M7Y4W2E0K9H3`.`.

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

presentation .rar （648.27kb，202次下载）
presentation(中文) .rar （647.27kb，409次下载）

收藏・10

免费・7

支持

最新回复 (21)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼如何保证伟哥不是被debugger吃了 2010-7-19 23:28 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 3 楼先顶了再看，硬件虚拟化慢慢成气候了新手区也发了同样的文章哈 2010-7-19 23:52 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 4 楼伟哥是啥？int么？先被hypervisor拦啦，然后再给上去的 2010-7-20 00:02 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 5 楼欢迎讨论！任何相关问题均可 2010-7-20 00:06 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 6 楼辉瑞 [LEFT] 一盒台湾市场专用版的四粒100mg装万艾可药锭[/LEFT] 万艾可是辉瑞公司出品的枸橼酸西地那非片，由于辉瑞在全世界绝大多数国家对西地那非享有专利权，因此万艾可是目前市场上唯一合法的西地那非制剂。万艾可为蓝色菱形薄膜包衣片剂，表面有凹陷的辉瑞公司标识，目前市场上共有三种剂量的万艾可，分别为25mg、50mg和100mg。 2010-7-20 00:06 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 7 楼 forgot大大的意思是debugger先占坑vt调试... 2010-7-20 00:07 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 8 楼伟哥这种东西也属于敏感范畴，所以无论是伟哥还是int，硬件虚拟化规定敏感的东西都要先给hypervisor尝尝，然后hypervisor想给debugger尝就尝，不想给就自己藏起来debugger也就尝不到了 2010-7-20 00:10 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 9 楼伟哥这种东西也属于敏感范畴，所以无论是伟哥还是int，硬件虚拟化规定敏感的东西都要先给hypervisor尝尝，然后hypervisor想给debugger尝就尝，不想给就自己藏起来debugger也就尝不到了。不过验证的时候hypervisor收不收伟哥就不知道啦 2010-7-20 00:12 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 10 楼如此的话，就是猫和老鼠的游戏了，谁占地利谁赢，所以对于滴水那种debugger无效。不过可以通过做嵌套虚拟化允许滴水的加载，然后骗之。如果滴水先加载则这种反调试就很容易被骗了 2010-7-20 00:15 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 11 楼如果电脑是cracker的，cracker会让谁占地利呢？ 2010-7-20 00:19 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 12 楼对于这种情况，这篇论文确实无法解决。这篇论文只能anti掉传统的ring3，ring0和softice这种调试器，像纯二进制翻译这种模拟器也无法反掉，最后一点限于还没有找到它的敏感陷入。我觉得，无论是Ring0/3的隔离还是现在引入的硬件虚拟化，本质上只是提供了更高level的资源访问权限，而具体里面运行什么程序，是debugger还是anti-debugger，则是这些硬件机制所无法了解的，换句话说，在这些方面，硬件目前无法知道软件的语义，所以对于同级的debugger和anti-debugger，我觉得是谁先运行谁就占据了一切 2010-7-20 00:25 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 13 楼放下anti，立地成佛 2010-7-20 00:29 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 14 楼为了国产游戏不易被破解，加个anti 2010-7-20 00:32 0
Bughoho 雪币： 1946 活跃值： (303) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 15 楼之前有想过用虚拟化做保护，可惜应用场景十分极其以及非常有限。况且用虚拟化做ANTI，简直就是杀鸡用牛刀啊。 2010-7-20 05:41 0
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 16 楼很好，能否多讲讲硬件虚拟方面的内容 2010-7-20 10:21 0
adomore 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 481 粉丝 0 关注私信	adomore 17 楼伟哥很好吗？不用伟哥不是更好！虚拟化再强也还不是要被QJ！人脑的混沌思想才是最强的！ 2010-7-20 19:16 0
三寸法师雪币： 475 活跃值： (74) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 18 楼哎，这么早就发了，搞的我都来不及应援你了。顺便膜拜发哥B哥。 2010-7-20 23:24 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 19 楼如果我遇到用利用VT Anti. 我立马就把VT给关了. 用VT来Anti-Anti还有点用.用来Anti毫无用处... 2010-7-20 23:32 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 20 楼 CPU关闭VT的路过~ 用ROR的表示压力不大~ 2010-7-20 23:57 0
helyna 雪币： 105 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 21 楼不开VT它怎么反压？ 2010-7-21 00:34 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 22 楼文档里有这句话就更好了期待你的新书,介绍虚拟机就好,反调试意义不大.. NewBluePill：深入理解硬件虚拟机 2010-7-21 03:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

superymk

发帖

回帖

RANK

关注

私信

他的文章

[原创]XCON2010 - 基于硬件虚拟化的反调试技术 14066

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼如何保证伟哥不是被debugger吃了 2010-7-19 23:28 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 3 楼先顶了再看，硬件虚拟化慢慢成气候了新手区也发了同样的文章哈 2010-7-19 23:52 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 4 楼伟哥是啥？int么？先被hypervisor拦啦，然后再给上去的 2010-7-20 00:02 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 5 楼欢迎讨论！任何相关问题均可 2010-7-20 00:06 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 6 楼辉瑞 [LEFT] 一盒台湾市场专用版的四粒100mg装万艾可药锭[/LEFT] 万艾可是辉瑞公司出品的枸橼酸西地那非片，由于辉瑞在全世界绝大多数国家对西地那非享有专利权，因此万艾可是目前市场上唯一合法的西地那非制剂。万艾可为蓝色菱形薄膜包衣片剂，表面有凹陷的辉瑞公司标识，目前市场上共有三种剂量的万艾可，分别为25mg、50mg和100mg。 2010-7-20 00:06 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 7 楼 forgot大大的意思是debugger先占坑vt调试... 2010-7-20 00:07 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 8 楼伟哥这种东西也属于敏感范畴，所以无论是伟哥还是int，硬件虚拟化规定敏感的东西都要先给hypervisor尝尝，然后hypervisor想给debugger尝就尝，不想给就自己藏起来debugger也就尝不到了 2010-7-20 00:10 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 9 楼伟哥这种东西也属于敏感范畴，所以无论是伟哥还是int，硬件虚拟化规定敏感的东西都要先给hypervisor尝尝，然后hypervisor想给debugger尝就尝，不想给就自己藏起来debugger也就尝不到了。不过验证的时候hypervisor收不收伟哥就不知道啦 2010-7-20 00:12 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 10 楼如此的话，就是猫和老鼠的游戏了，谁占地利谁赢，所以对于滴水那种debugger无效。不过可以通过做嵌套虚拟化允许滴水的加载，然后骗之。如果滴水先加载则这种反调试就很容易被骗了 2010-7-20 00:15 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 11 楼如果电脑是cracker的，cracker会让谁占地利呢？ 2010-7-20 00:19 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 12 楼对于这种情况，这篇论文确实无法解决。这篇论文只能anti掉传统的ring3，ring0和softice这种调试器，像纯二进制翻译这种模拟器也无法反掉，最后一点限于还没有找到它的敏感陷入。我觉得，无论是Ring0/3的隔离还是现在引入的硬件虚拟化，本质上只是提供了更高level的资源访问权限，而具体里面运行什么程序，是debugger还是anti-debugger，则是这些硬件机制所无法了解的，换句话说，在这些方面，硬件目前无法知道软件的语义，所以对于同级的debugger和anti-debugger，我觉得是谁先运行谁就占据了一切 2010-7-20 00:25 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 13 楼放下anti，立地成佛 2010-7-20 00:29 0
superymk 雪币： 74 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	superymk 1 14 楼为了国产游戏不易被破解，加个anti 2010-7-20 00:32 0
Bughoho 雪币： 1946 活跃值： (303) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 15 楼之前有想过用虚拟化做保护，可惜应用场景十分极其以及非常有限。况且用虚拟化做ANTI，简直就是杀鸡用牛刀啊。 2010-7-20 05:41 0
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 16 楼很好，能否多讲讲硬件虚拟方面的内容 2010-7-20 10:21 0
adomore 雪币： 189 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 481 粉丝 0 关注私信	adomore 17 楼伟哥很好吗？不用伟哥不是更好！虚拟化再强也还不是要被QJ！人脑的混沌思想才是最强的！ 2010-7-20 19:16 0
三寸法师雪币： 475 活跃值： (74) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 56 粉丝 2 关注私信	三寸法师 1 18 楼哎，这么早就发了，搞的我都来不及应援你了。顺便膜拜发哥B哥。 2010-7-20 23:24 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 19 楼如果我遇到用利用VT Anti. 我立马就把VT给关了. 用VT来Anti-Anti还有点用.用来Anti毫无用处... 2010-7-20 23:32 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 20 楼 CPU关闭VT的路过~ 用ROR的表示压力不大~ 2010-7-20 23:57 0
helyna 雪币： 105 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 21 楼不开VT它怎么反压？ 2010-7-21 00:34 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 22 楼文档里有这句话就更好了期待你的新书,介绍虚拟机就好,反调试意义不大.. NewBluePill：深入理解硬件虚拟机 2010-7-21 03:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复