VT 调试器 X64 原码分享【转】

“ 

VT 是指 Intel 的硬件辅助虚拟化技术(Virtualization Technology),起初是为了提高 VMWare 之类的软件虚拟化的性能,但很快安全爱好者发现,由于 VT 技术引入了一个新的 CPU层级 Ring -1,在安全方面也增加了很多应用,可以做很多出格的事情,功能异常强大,相当于一款核武器。

想了很久还是发上来吧,烂在硬盘里面没用,共享既是进步~
前排感谢在我学习 Intel-VT 技术困难的时候各位朋友的帮助
Tesla.Angela
cvcvxk
viphack
sxpp
Kalong 以及国外友人asamy
以上排名不分先后
这份代码在 WIN7 64 打了补丁的情况下能正常工作 不打补丁需要对 THREAD的结构体做个修改 才可以正常运行
代码部分:
这份代码使用了 HyperBone 这份 VT 代码作为隐藏内核以及应用层内存断点的框架
R3EptHieMemPage.c
R3EptHideMem.h
窗口保护
ProtectWindow.c
过 PG(实际里面已经实现了利用EPT无伤过PG但是由于这份VT代码过于影响效率所以还是保留了)
DisablePG.c PS:使用了 VXK 公布的代码
重建 WIN7X64 调试流程
dbgk1to2.c
反反调试 &检测:
AntiAntiDebugALL.c
比较重要的头文件
KernelStruct.h (WIN7X64调试系统所需的结构体)

目前已经实现的功能:
使用 EPT 技术过 PG(本来框架就有)
使用 EPT 技术隐藏 OD 的 INT3 断点~稳定运行无视各种 CRC
使用 shadow SSDT HOOK 保护调试器窗口
使用自己构建的调试对象调试进程。

此条目发表在经验技术分类目录。将固定链接加入收藏夹。

发表评论