[讨论]EPT hook后，物理机上很卡，虚拟机中正常-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
mengerlin 雪币： 176 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	mengerlin 2 楼问题补充：发现物理机上很卡，并不是因为Hook了 ObReferenceObjectByPointerWithTag 的原因，而是因为Hook前，将这个函数所在的2M页面，拆分成4K页面了，拆分后既使不Hook，物理机也变得十分卡。问题仍然没解决：为什么就这样拆分2M为4K，物理机就很卡了呢？为什么vmware虚拟机中就不卡呢？我系统上并没有Hyper-V，应该不是冲突起发的。 2025-5-23 16:44 0
mengerlin 雪币： 176 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	mengerlin 3 楼具体点说，就是执行了 EptSplitLargePage 这个函数，将 EPT表中，ObReferenceObjectByPointerWithTag 所在的PML2，从2M的大页，分成了4K的小页，方便后续做Hook。拆分后，既使不进行后续hook操作，物理机也很卡。原因就在这里，但是为什么会这要，怎么解决？求助。 2025-5-23 16:51 0
恒大雪币： 105 活跃值： (2903) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 6 关注私信	恒大 4 楼好像是内存类型没有设置... 之前也踩过坑 2025-5-23 17:29 0
恒大雪币： 105 活跃值： (2903) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 6 关注私信	恒大 (+8雪币) 5 楼恒大好像是内存类型没有设置... 之前也踩过坑太久远了，好像是这里 2025-5-23 17:31 (+8雪币) 0
mengerlin 雪币： 176 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	mengerlin 6 楼感谢恒大老哥，你的出现真是一场及时雨，确实是这里的问题，缺少代码。我没想到是内存属性的问题，你不说，我应该很多天都无法解决。万分感谢！ 2025-5-23 20:44 0
yazigegeda 雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 107 粉丝 0 关注私信	yazigegeda 7 楼为啥是因为这个内存属性就很卡没明白 2025-5-23 23:56 0
mengerlin 雪币： 176 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	mengerlin 8 楼如果是普通的内存页，影响就没这么大，但这个函数所在的页，需要非常高频的执行，系统中很多操作都要调用这个内存页中的函数。当开启EPT身份映身后，内存缓存策略不对，就很拖速度了。【个人浅显的理解】 2025-5-24 07:48 0
沧海一声笑_812543 雪币： 1022 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	沧海一声笑_812543 9 楼学习了 2025-6-9 09:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
mengerlin 雪币： 176 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	mengerlin 2 楼问题补充：发现物理机上很卡，并不是因为Hook了 ObReferenceObjectByPointerWithTag 的原因，而是因为Hook前，将这个函数所在的2M页面，拆分成4K页面了，拆分后既使不Hook，物理机也变得十分卡。问题仍然没解决：为什么就这样拆分2M为4K，物理机就很卡了呢？为什么vmware虚拟机中就不卡呢？我系统上并没有Hyper-V，应该不是冲突起发的。 2025-5-23 16:44 0
mengerlin 雪币： 176 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	mengerlin 3 楼具体点说，就是执行了 EptSplitLargePage 这个函数，将 EPT表中，ObReferenceObjectByPointerWithTag 所在的PML2，从2M的大页，分成了4K的小页，方便后续做Hook。拆分后，既使不进行后续hook操作，物理机也很卡。原因就在这里，但是为什么会这要，怎么解决？求助。 2025-5-23 16:51 0
恒大雪币： 105 活跃值： (2903) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 6 关注私信	恒大 4 楼好像是内存类型没有设置... 之前也踩过坑 2025-5-23 17:29 0
恒大雪币： 105 活跃值： (2903) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 6 关注私信	恒大 (+8雪币) 5 楼恒大好像是内存类型没有设置... 之前也踩过坑太久远了，好像是这里 2025-5-23 17:31 (+8雪币) 0
mengerlin 雪币： 176 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	mengerlin 6 楼感谢恒大老哥，你的出现真是一场及时雨，确实是这里的问题，缺少代码。我没想到是内存属性的问题，你不说，我应该很多天都无法解决。万分感谢！ 2025-5-23 20:44 0
yazigegeda 雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 107 粉丝 0 关注私信	yazigegeda 7 楼为啥是因为这个内存属性就很卡没明白 2025-5-23 23:56 0
mengerlin 雪币： 176 活跃值： (145) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	mengerlin 8 楼如果是普通的内存页，影响就没这么大，但这个函数所在的页，需要非常高频的执行，系统中很多操作都要调用这个内存页中的函数。当开启EPT身份映身后，内存缓存策略不对，就很拖速度了。【个人浅显的理解】 2025-5-24 07:48 0
沧海一声笑_812543 雪币： 1022 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	沧海一声笑_812543 9 楼学习了 2025-6-9 09:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[已解决] [讨论]EPT hook后，物理机上很卡，虚拟机中正常 10雪币