[讨论]TP检测VMM？？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
wang王雪币： 4950 活跃值： (1979) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 255 粉丝 0 关注私信	wang王 2 楼顶一下 2016-11-13 00:57 0
ugvjewxf 雪币： 615 活跃值： (765) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 360 粉丝 11 关注私信	ugvjewxf 3 楼很多软件都会开启VT呀，你看下腾讯的ＶＴ和其他ＶＴ是否兼容呀，比如这个VMware软件也会开启ＶＴ，你看下腾讯的软件和其他有ＶＴ或者的软件是否会兼容呀，360也会开启ＶＴ 2016-11-13 08:32 0
hzqst 雪币： 12876 活跃值： (9357) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 4 楼把vmm lock占掉即可，实测跟*f可以同时跑顺便，某p的那个驱动只是个Driver Loader，真正的代码是ring3传进去的 2016-11-13 09:34 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 5 楼兼容的试过了在虚拟机中将CPU设置为不支持VT 游戏是正常启动的先开虚拟机再开*F也是正常的 2016-11-15 01:18 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 6 楼 vmm lock 试过了我将Ia32FeatureControlMsr的lock设为true 与DXF无法同时跑 2016-11-15 01:19 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 7 楼你在关了VT的机器上把CR4和VMX等东西记录一下，然后TP请求时，原样返回就行了。 cpuid不用管，cpuid不要动！vt指令支持，但是VT-x关闭，应该是cpuid正常，vmxlocked,cr4的值也是0 2016-11-15 01:46 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 8 楼除了CPUID的信息外其他的信息模仿不支持VT的内容是吧晚上回家就试试 2016-11-15 16:51 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 9 楼 - - 结果是失败了我判断eax==1 则将准备好的数据返回结果依然是无法运行其他的CPUID请求没动 2016-11-16 10:35 0
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 10 楼在老外的blog看到过一个把戏，用SEH配合cpuid检测hypervisor: 执行cpuid前设置EFLAGS.TF位。如果你的hypervisor模拟并跳过cupid,从int1异常地址可以发现问题。解法是注入int1。 2016-11-16 19:06 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 11 楼 - - EFLAGS没去研究能详细说下吗还有注入int1 的意思是用vmm拦截int1去处理吗 2016-11-16 23:57 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 12 楼 VT-x关闭时的cr4和locked 2016-11-17 00:41 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 13 楼你是说CR4的vme与vmxe吗 2016-11-17 15:41 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 14 楼 VT占坑 2016-11-17 16:15 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 15 楼占坑意义不大理想状态是让TP认为不支持VT 2016-11-17 22:39 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 16 楼自己nested掉它就好了，这样子在经过它的vm-exit-handler前需要经过你，你可以做很多事情.... 2016-11-18 12:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
wang王雪币： 4950 活跃值： (1979) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 255 粉丝 0 关注私信	wang王 2 楼顶一下 2016-11-13 00:57 0
ugvjewxf 雪币： 615 活跃值： (765) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 360 粉丝 11 关注私信	ugvjewxf 3 楼很多软件都会开启VT呀，你看下腾讯的ＶＴ和其他ＶＴ是否兼容呀，比如这个VMware软件也会开启ＶＴ，你看下腾讯的软件和其他有ＶＴ或者的软件是否会兼容呀，360也会开启ＶＴ 2016-11-13 08:32 0
hzqst 雪币： 12876 活跃值： (9357) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 4 楼把vmm lock占掉即可，实测跟*f可以同时跑顺便，某p的那个驱动只是个Driver Loader，真正的代码是ring3传进去的 2016-11-13 09:34 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 5 楼兼容的试过了在虚拟机中将CPU设置为不支持VT 游戏是正常启动的先开虚拟机再开*F也是正常的 2016-11-15 01:18 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 6 楼 vmm lock 试过了我将Ia32FeatureControlMsr的lock设为true 与DXF无法同时跑 2016-11-15 01:19 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 7 楼你在关了VT的机器上把CR4和VMX等东西记录一下，然后TP请求时，原样返回就行了。 cpuid不用管，cpuid不要动！vt指令支持，但是VT-x关闭，应该是cpuid正常，vmxlocked,cr4的值也是0 2016-11-15 01:46 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 8 楼除了CPUID的信息外其他的信息模仿不支持VT的内容是吧晚上回家就试试 2016-11-15 16:51 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 9 楼 - - 结果是失败了我判断eax==1 则将准备好的数据返回结果依然是无法运行其他的CPUID请求没动 2016-11-16 10:35 0
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 10 楼在老外的blog看到过一个把戏，用SEH配合cpuid检测hypervisor: 执行cpuid前设置EFLAGS.TF位。如果你的hypervisor模拟并跳过cupid,从int1异常地址可以发现问题。解法是注入int1。 2016-11-16 19:06 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 11 楼 - - EFLAGS没去研究能详细说下吗还有注入int1 的意思是用vmm拦截int1去处理吗 2016-11-16 23:57 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 12 楼 VT-x关闭时的cr4和locked 2016-11-17 00:41 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 13 楼你是说CR4的vme与vmxe吗 2016-11-17 15:41 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 14 楼 VT占坑 2016-11-17 16:15 0
机械瞑衍雪币： 457 活跃值： (218) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 140 粉丝 9 关注私信	机械瞑衍 15 楼占坑意义不大理想状态是让TP认为不支持VT 2016-11-17 22:39 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 16 楼自己nested掉它就好了，这样子在经过它的vm-exit-handler前需要经过你，你可以做很多事情.... 2016-11-18 12:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复