[原创]过EAC HV检测-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]过EAC HV检测

发表于: 2022-10-23 16:28 30555

[原创]过EAC HV检测

麦瑞鸭

2022-10-23 16:28

30555

检测代码：

之前通过拦截vmread 向客户及注入异常发现无济于事（vmread后还有代码在检测HV），由于本人能力有限，跟不到后面的检测代码，于是就想出了一个办法过掉检测，这里给大家分享一下：

host拦截到vmread指令后，直接修改guest 的rip到自己的驱动代码里面让他一直循环，这样检测HV的这条线程就到vmread不会继续往下执行了。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2022-10-29 03:50 被麦瑞鸭编辑，原因：错别字

#系统内核 #驱动开发 #虚拟化

收藏・25

免费・8

支持

最新回复 (23)
麦瑞鸭雪币： 206 活跃值： (2371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 107 粉丝 27 关注私信	麦瑞鸭 2 楼 FFFFF807D247DFC0 - C7 F8030000 - xbegin FFFFF807D247DFC8 FFFFF807D247DFC5 - 00 0F - add [rdi],cl FFFFF807D247DFC7 - 01 D5 - add ebp,edx FFFFF807D247DFC9 - C3 - ret FFFFF807D247DFCA - C7 F80A0000 - xbegin FFFFF807D247DFD9 FFFFF807D247DFCF - 00 8A 01FFD10F - add [rdx+0FD1FF01],cl FFFFF807D247DFD5 - 01 D5 - add ebp,edx FFFFF807D247DFD7 - B0 01 - mov al,01 FFFFF807D247DFD9 - C3 - ret FFFFF807D247DFDA - 32 C0 - xor al,al FFFFF807D247DFDC - C3 - ret 这几处检测 vmread 似乎是最后面执行的，至于TSX cpuid invplg 这几处也搞不懂在检测个啥，原理是什么？最后于 2022-10-23 16:40 被麦瑞鸭编辑，原因： 2022-10-23 16:39 0
~时光荏苒雪币： 5865 活跃值： (5417) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 169 粉丝 5 关注私信	~时光荏苒 3 楼 vmread 直接返回不支持这个功能注入异常不可以吗?还有包括一些别的VMxxx都是直接回返让它显示此计算机不支持VT 最后于 2022-10-23 17:15 被~时光荏苒编辑，原因： 2022-10-23 17:14 0
麦瑞鸭雪币： 206 活跃值： (2371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 107 粉丝 27 关注私信	麦瑞鸭 4 楼 ~时光荏苒 vmread 直接返回不支持这个功能注入异常不可以吗?还有包括一些别的VMxxx都是直接回返让它显示此计算机不支持VT 可以啊，但是你注入异常后只能过掉 vmx指令的检测，他后面还有检测。 2022-10-23 17:20 0
麦瑞鸭雪币： 206 活跃值： (2371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 107 粉丝 27 关注私信	麦瑞鸭 5 楼 ~时光荏苒 vmread 直接返回不支持这个功能注入异常不可以吗?还有包括一些别的VMxxx都是直接回返让它显示此计算机不支持VT 除非你能把后面的检测HV的代码找到，否则你注入异常了也无济于事。最后于 2022-10-23 17:22 被麦瑞鸭编辑，原因： 2022-10-23 17:20 0
~时光荏苒雪币： 5865 活跃值： (5417) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 169 粉丝 5 关注私信	~时光荏苒 6 楼 95eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6k6h3y4J5k6i4c8Q4x3X3g2U0L8s2g2T1i4K6u0r3x3U0l9J5x3q4)9J5c8U0l9@1i4K6u0r3x3e0y4Q4x3V1k6Z5L8%4N6Q4x3X3c8S2L8Y4c8A6i4K6u0V1j5$3S2W2j5i4c8K6i4K6u0V1k6r3g2@1k6h3y4@1i4K6u0V1M7%4W2K6N6r3g2E0i4K6u0V1k6h3#2#2L8r3q4@1K9h3!0F1i4K6u0W2K9s2c8E0L8q4)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4c8e0c8Q4b7V1c8Q4b7e0m8Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0k6Q4z5f1k6Q4b7e0g2Q4c8e0S2Q4z5o6m8Q4z5o6y4Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0c8Q4b7U0S2Q4b7f1p5`. 2022-10-23 17:28 0
Chords 雪币： 1527 活跃值： (2202) 能力值： ( LV3，RANK：35 ) 在线值：发帖 3 回帖 50 粉丝 18 关注私信	Chords 7 楼 tsx 是4 代到9代酷睿的一个多线程协同指令默认关闭用这个指令检测是因为这个指令触发handle的编号不同没办法捕获 2022-10-23 21:13 0
麦瑞鸭雪币： 206 活跃值： (2371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 107 粉丝 27 关注私信	麦瑞鸭 8 楼 Chords tsx 是4 代到9代酷睿的一个多线程协同指令默认关闭用这个指令检测是因为这个指令触发handle的编号不同没办法捕获原来如此，怪不得我在正常模式和vt模式跑出的结果都一样，12代 2022-10-23 22:25 0
小希希雪币： 2257 活跃值： (4520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 343 粉丝 18 关注私信	小希希 9 楼 mark 2022-10-24 10:11 0
mb_uarifven 雪币： 192 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_uarifven 10 楼麦瑞鸭 FFFFF807D247DFC0 - C7 F8030000    &am ... 给个联系方式我也在处理vt检测 2023-1-10 21:29 0
fengyunabc 雪币： 4064 活跃值： (4397) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 548 粉丝 27 关注私信	fengyunabc 1 11 楼感谢分享 2023-1-21 11:46 0
漆黑火焰魔法使雪币： 0 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	漆黑火焰魔法使 12 楼 HV是啥? 2023-2-3 09:11 0
baggiowo 雪币： 541 活跃值： (2323) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 0 关注私信	baggiowo 13 楼 EASYANTICHEAT.SYS是怎么提取出来的?大神 2023-4-18 19:06 0
mb_punpkihu 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	mb_punpkihu 14 楼大佬有群吗 VT学习萌新 2023-4-29 01:13 0
mb_punpkihu 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	mb_punpkihu 15 楼不循环的话能直接让这条线程结束吗 2023-4-29 01:44 0
秋狝雪币： 5531 活跃值： (31866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 16 楼 mark 2023-4-29 12:24 0
麦瑞鸭雪币： 206 活跃值： (2371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 107 粉丝 27 关注私信	麦瑞鸭 17 楼 mb_punpkihu 不循环的话能直接让这条线程结束吗我也在找组织唉，没有群，新手。直接结束驱动就会卸载，应用层没有通讯也会一起结束。 2023-5-8 17:22 0
mb_punpkihu 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	mb_punpkihu 18 楼创建个群呗，然后往评论区发，我拉人进去 2023-5-14 17:09 0
AlexLoNe 雪币： 265 活跃值： (1355) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 10 粉丝 25 关注私信	AlexLoNe 19 楼思路清奇 2023-5-24 00:11 0
麻里麻里红雪币： 28 活跃值： (476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 2 关注私信	麻里麻里红 20 楼大佬怎么拦截vmread指令呢，您能指点一下嘛，我也是用的hv 2024-9-29 12:30 0
麻里麻里红雪币： 28 活跃值： (476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 2 关注私信	麻里麻里红 21 楼麦瑞鸭 FFFFF807D247DFC0 - C7 F8030000    &am ... 大佬可以加个联系方式嘛 2024-9-29 12:34 0
麻里麻里红雪币： 28 活跃值： (476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 2 关注私信	麻里麻里红 22 楼是这么干吗？但貌似还是被检测。。这个vmread指令是不是在最后才调，在这之前还有别的检测 2024-9-29 13:09 0
wx_空空雪币： 33 活跃值： (526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 1 关注私信	wx_空空 23 楼麻里麻里红是这么干吗？但貌似还是被检测。。这个vmread指令是不是在最后才调，在这之前还有别的检测留个Q一起研究呀 2024-10-30 21:42 0
git_2736 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	git_2736 24 楼买了一个镜像，可以过EAC。不知道怎么实现的。镜像太大了65GB。求查找思路。 2025-3-27 18:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

麦瑞鸭

发帖

107

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
麦瑞鸭雪币： 206 活跃值： (2371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 107 粉丝 27 关注私信	麦瑞鸭 2 楼 FFFFF807D247DFC0 - C7 F8030000 - xbegin FFFFF807D247DFC8 FFFFF807D247DFC5 - 00 0F - add [rdi],cl FFFFF807D247DFC7 - 01 D5 - add ebp,edx FFFFF807D247DFC9 - C3 - ret FFFFF807D247DFCA - C7 F80A0000 - xbegin FFFFF807D247DFD9 FFFFF807D247DFCF - 00 8A 01FFD10F - add [rdx+0FD1FF01],cl FFFFF807D247DFD5 - 01 D5 - add ebp,edx FFFFF807D247DFD7 - B0 01 - mov al,01 FFFFF807D247DFD9 - C3 - ret FFFFF807D247DFDA - 32 C0 - xor al,al FFFFF807D247DFDC - C3 - ret 这几处检测 vmread 似乎是最后面执行的，至于TSX cpuid invplg 这几处也搞不懂在检测个啥，原理是什么？最后于 2022-10-23 16:40 被麦瑞鸭编辑，原因： 2022-10-23 16:39 0
~时光荏苒雪币： 5865 活跃值： (5417) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 169 粉丝 5 关注私信	~时光荏苒 3 楼 vmread 直接返回不支持这个功能注入异常不可以吗?还有包括一些别的VMxxx都是直接回返让它显示此计算机不支持VT 最后于 2022-10-23 17:15 被~时光荏苒编辑，原因： 2022-10-23 17:14 0
麦瑞鸭雪币： 206 活跃值： (2371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 107 粉丝 27 关注私信	麦瑞鸭 4 楼 ~时光荏苒 vmread 直接返回不支持这个功能注入异常不可以吗?还有包括一些别的VMxxx都是直接回返让它显示此计算机不支持VT 可以啊，但是你注入异常后只能过掉 vmx指令的检测，他后面还有检测。 2022-10-23 17:20 0
麦瑞鸭雪币： 206 活跃值： (2371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 107 粉丝 27 关注私信	麦瑞鸭 5 楼 ~时光荏苒 vmread 直接返回不支持这个功能注入异常不可以吗?还有包括一些别的VMxxx都是直接回返让它显示此计算机不支持VT 除非你能把后面的检测HV的代码找到，否则你注入异常了也无济于事。最后于 2022-10-23 17:22 被麦瑞鸭编辑，原因： 2022-10-23 17:20 0
~时光荏苒雪币： 5865 活跃值： (5417) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 169 粉丝 5 关注私信	~时光荏苒 6 楼 95eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6k6h3y4J5k6i4c8Q4x3X3g2U0L8s2g2T1i4K6u0r3x3U0l9J5x3q4)9J5c8U0l9@1i4K6u0r3x3e0y4Q4x3V1k6Z5L8%4N6Q4x3X3c8S2L8Y4c8A6i4K6u0V1j5$3S2W2j5i4c8K6i4K6u0V1k6r3g2@1k6h3y4@1i4K6u0V1M7%4W2K6N6r3g2E0i4K6u0V1k6h3#2#2L8r3q4@1K9h3!0F1i4K6u0W2K9s2c8E0L8q4)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4c8e0c8Q4b7V1c8Q4b7e0m8Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0k6Q4z5f1k6Q4b7e0g2Q4c8e0S2Q4z5o6m8Q4z5o6y4Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0c8Q4b7U0S2Q4b7f1p5`. 2022-10-23 17:28 0
Chords 雪币： 1527 活跃值： (2202) 能力值： ( LV3，RANK：35 ) 在线值：发帖 3 回帖 50 粉丝 18 关注私信	Chords 7 楼 tsx 是4 代到9代酷睿的一个多线程协同指令默认关闭用这个指令检测是因为这个指令触发handle的编号不同没办法捕获 2022-10-23 21:13 0
麦瑞鸭雪币： 206 活跃值： (2371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 107 粉丝 27 关注私信	麦瑞鸭 8 楼 Chords tsx 是4 代到9代酷睿的一个多线程协同指令默认关闭用这个指令检测是因为这个指令触发handle的编号不同没办法捕获原来如此，怪不得我在正常模式和vt模式跑出的结果都一样，12代 2022-10-23 22:25 0
小希希雪币： 2257 活跃值： (4520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 343 粉丝 18 关注私信	小希希 9 楼 mark 2022-10-24 10:11 0
mb_uarifven 雪币： 192 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_uarifven 10 楼麦瑞鸭 FFFFF807D247DFC0 - C7 F8030000    &am ... 给个联系方式我也在处理vt检测 2023-1-10 21:29 0
fengyunabc 雪币： 4064 活跃值： (4397) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 548 粉丝 27 关注私信	fengyunabc 1 11 楼感谢分享 2023-1-21 11:46 0
漆黑火焰魔法使雪币： 0 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	漆黑火焰魔法使 12 楼 HV是啥? 2023-2-3 09:11 0
baggiowo 雪币： 541 活跃值： (2323) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 0 关注私信	baggiowo 13 楼 EASYANTICHEAT.SYS是怎么提取出来的?大神 2023-4-18 19:06 0
mb_punpkihu 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	mb_punpkihu 14 楼大佬有群吗 VT学习萌新 2023-4-29 01:13 0
mb_punpkihu 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	mb_punpkihu 15 楼不循环的话能直接让这条线程结束吗 2023-4-29 01:44 0
秋狝雪币： 5531 活跃值： (31866) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 16 楼 mark 2023-4-29 12:24 0
麦瑞鸭雪币： 206 活跃值： (2371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 107 粉丝 27 关注私信	麦瑞鸭 17 楼 mb_punpkihu 不循环的话能直接让这条线程结束吗我也在找组织唉，没有群，新手。直接结束驱动就会卸载，应用层没有通讯也会一起结束。 2023-5-8 17:22 0
mb_punpkihu 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	mb_punpkihu 18 楼创建个群呗，然后往评论区发，我拉人进去 2023-5-14 17:09 0
AlexLoNe 雪币： 265 活跃值： (1355) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 10 粉丝 25 关注私信	AlexLoNe 19 楼思路清奇 2023-5-24 00:11 0
麻里麻里红雪币： 28 活跃值： (476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 2 关注私信	麻里麻里红 20 楼大佬怎么拦截vmread指令呢，您能指点一下嘛，我也是用的hv 2024-9-29 12:30 0
麻里麻里红雪币： 28 活跃值： (476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 2 关注私信	麻里麻里红 21 楼麦瑞鸭 FFFFF807D247DFC0 - C7 F8030000    &am ... 大佬可以加个联系方式嘛 2024-9-29 12:34 0
麻里麻里红雪币： 28 活跃值： (476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 2 关注私信	麻里麻里红 22 楼是这么干吗？但貌似还是被检测。。这个vmread指令是不是在最后才调，在这之前还有别的检测 2024-9-29 13:09 0
wx_空空雪币： 33 活跃值： (526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 1 关注私信	wx_空空 23 楼麻里麻里红是这么干吗？但貌似还是被检测。。这个vmread指令是不是在最后才调，在这之前还有别的检测留个Q一起研究呀 2024-10-30 21:42 0
git_2736 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	git_2736 24 楼买了一个镜像，可以过EAC。不知道怎么实现的。镜像太大了65GB。求查找思路。 2025-3-27 18:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复