设为首页收藏本站
切换到窄版

我爱代码 - 专业游戏安全与逆向论坛

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
我爱代码 - 专业游戏安全与逆向论坛»论坛首页 源码 驱动过保护 VT无限硬件中断的代码实现
返回列表 发新帖
查看: 2308|回复: 0

VT无限硬件中断的代码实现

[复制链接]
woaidaima2016

2382

主题

53

回帖

9151

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
9151
QQ
发表于 2025-2-3 18:56:46 | 显示全部楼层 |阅读模式

想要查看内容赶紧注册登陆吧!

您需要 登录 才可以下载或查看,没有账号?立即注册

x
简介

在学习vt时了解到无限硬件断点技术,即不依赖于dr寄存器实现硬件断点。
由于硬件断点依赖于调试寄存器 dr0-dr3,这就意味着只能设置4个硬件断点。

无限硬件断点的原理 :

根据目标地址计算出其PTE地址,设置PTE的 nx/xd 属性,即不可执行属性。
(由于PTE控制着4KB物理页的属性,因此目标代码所属的整个物理页都被设置为不可执行。)
当执行流执行至目标物理页时,由于代码的不可执行属性而触发 #PF 缺页中断。
此时根据触发缺页中断的线性地址判断是否为目标地址?若是,则修改PTE的执行属性并进行事件注入至 #DB,内核异常处理函数将会将该异常派发给调试器。若不是,则仍需要修复PTE的可执行属性,置位rflags.TF以便于下条指令触发 #DB 异常被vmm接管,修复cr2并进行事件注入 #PF。
当vmm接管 #DB 异常时,判断是否为目标进程的目标线性地址,并根据情况进行分类处理。
源码实现

关键函数的源码如下:

  1. void HandleOfInterruption()
  2. {
  3.     Rflags rflags = { 0 };
  4.     VmExitInterruptInformation exit_interrupt_info = { 0 };
  5.     ExitQualification exit_qualification = { 0 };
  6.     IA32_DEBUGCTL_STRUCRION ia32_debugctl = { 0 };

  8.     rflags.all = g_pGuestRegs->rflags;
  9.     asm_vmread32(&g_vmm_handle_config.exit_instruction_length, VM_EXIT_INSTRUCTION_LEN);
  10.     asm_vmread(&exit_qualification, EXIT_QUALIFICATION);
  11.     asm_vmread32(&exit_interrupt_info, VM_EXIT_INTR_INFO);
  12.     asm_vmread32(&ia32_debugctl, IA32_DEBUGCTL);

  14.     if (exit_interrupt_info.Bits.valid)
  15.     {
  16.         /*
  17.         *   中断类型: 0.外部中断, 2.nmi, 3.硬件中断, 6.软中断
  18.         */
  19.         switch (exit_interrupt_info.Bits.vector)
  20.         {

  22.         case 1:  // debug 硬件中断
  23.         {
  24.             // signel-step      exit_qualification.Bits.bs=true
  25.             if (rflags.Bits.tf && !ia32_debugctl.Bits.btf)
  26.             {
  27.                 DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "[+] #DB signel-step ==> GuestRIP: 0x%p, GuestRSP: 0x%p\n", g_pGuestRegs->rip, g_pGuestRegs->rsp);

  29.                 /*
  30.                 *   是否开启无线硬件中断? 若开启则重新设置页属性nx
  31.                 */
  32.                 if (g_vmx_config.enable_unlimit_hardware_breakpoint)
  33.                 {
  34.                     unsigned __int64 guest_cr3;
  35.                     asm_vmread(&guest_cr3, GUEST_CR3);

  37.                     if (directory_table_base.user_cr3 == guest_cr3 ||
  38.                         directory_table_base.kernel_cr3 == guest_cr3)
  39.                     {
  40.                         SetupPteNx(g_pGuestRegs->rip, TRUE);

  42.                         rflags.Bits.tf = FALSE;
  43.                         asm_vmwrite(GUEST_RFLAGS, rflags.all);
  44.                         break;
  45.                     }
  46.                 }

  48.                 g_vmm_handle_config.Config.Bits.event_inject = TRUE;
  49.                 break;
  50.             }

  52.             // haredWare breakpointer
  53.             if (!rflags.Bits.tf && (exit_qualification.all & 0xf))
  54.             {
  55.                 DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "[+] #DB hard-ware ==> GuestRIP: 0x%p, GuestRSP: 0x%p\n", g_pGuestRegs->rip, g_pGuestRegs->rsp);
  56.                 g_vmm_handle_config.Config.Bits.event_inject = TRUE;
  57.                 break;
  58.             }

  60.             break;
  61.         }

  63.         case 3:  // int3 软中断
  64.         {
  65.             DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "[+] #BP ==> GuestRIP: 0x%p, GuestRSP: 0x%p\n", g_pGuestRegs->rip, g_pGuestRegs->rsp);
  66.             g_vmm_handle_config.Config.Bits.event_inject = TRUE;
  67.             break;
  68.         }

  70.         case 0xe:   // page_fault   软中断
  71.         {
  72.             unsigned __int64 guest_cr3;
  73.             asm_vmread(&guest_cr3, GUEST_CR3);

  75.             if (g_vmx_config .enable_unlimit_hardware_breakpoint && (
  76.                 directory_table_base.user_cr3 == guest_cr3 ||
  77.                 directory_table_base.kernel_cr3 == guest_cr3))
  78.             {
  79.                 DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "[+] #PF ==> GuestRIP: 0x%p, GuestRSP: 0x%p, fault_address: 0x%p\n", g_pGuestRegs->rip, g_pGuestRegs->rsp, exit_qualification.all);
  80.                
  81.                 /*
  82.                 *   目标地址: 1.取消nx; 2.将异常注入给#DB;
  83.                 */
  84.                 if (exit_qualification.all == targetAddress)
  85.                 {
  86.                     exit_interrupt_info.Bits.type = 3;
  87.                     exit_interrupt_info.Bits.vector = 1;
  88.                     exit_interrupt_info.Bits.error_code_valid = FALSE;
  89.                     g_vmm_handle_config.Config.Bits.event_inject = TRUE;

  91.                     SetupPteNx(exit_qualification.all, FALSE);
  92.                 }
  93.                 else
  94.                 {   /* 程序正常返回执行 signel-step */
  95.                     SetupPteNx(exit_qualification.all, FALSE);
  96.                     g_vmm_handle_config.Config.Bits.event_inject = FALSE;

  98.                     rflags.Bits.tf = TRUE;
  99.                     asm_vmwrite(GUEST_RFLAGS, rflags.all);
  100.                 }               
  101.             }
  102.             else
  103.             {
  104.                 asm_WriteCr2(exit_qualification.all);
  105.                 g_vmm_handle_config.Config.Bits.event_inject = TRUE;
  106.             }

  108.             break;
  109.         }

  111.         default:
  112.             DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "[+] 未处理中断 ==> type: %d, index: %d\n", exit_interrupt_info.Bits.type, exit_interrupt_info.Bits.vector);
  113.         }

  115.         /*
  116.         *   事件注入
  117.         */
  118.         if (g_vmm_handle_config.Config.Bits.event_inject)
  119.         {
  120.             VmEntryInterruptionInformationField interruption_information_field = { 0 };
  121.             interruption_information_field.Bits.valid = TRUE;
  122.             interruption_information_field.Bits.type = exit_interrupt_info.Bits.type;
  123.             interruption_information_field.Bits.vector = exit_interrupt_info.Bits.vector;

  125.             if (exit_interrupt_info.Bits.error_code_valid)
  126.             {
  127.                 UINT64 ExitInterruptErrorCode = 0;
  128.                 interruption_information_field.Bits.deliver_error_code = TRUE;
  129.                 asm_vmread(&ExitInterruptErrorCode, VM_EXIT_INTR_ERROR_CODE);
  130.                 asm_vmwrite(VM_ENTRY_EXCEPTION_ERROR_CODE, ExitInterruptErrorCode);
  131.             }

  133.             asm_vmwrite(VM_ENTRY_INSTRUCTION_LEN, g_vmm_handle_config.exit_instruction_length);
  134.             asm_vmwrite(VM_ENTRY_INTR_INFO_FIELD, interruption_information_field.all);

  136.             /*VmxProcessorBasedControls process_base;
  137.             asm_vmread(&process_base.all, CPU_BASED_VM_EXEC_CONTROL);
  138.             process_base.Bits.monitor_trap_flag = TRUE;
  139.             asm_vmwrite(CPU_BASED_VM_EXEC_CONTROL, process_base.all);*/
  140.         }
  141.         
  142.     }
  143.     else
  144.         DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_ERROR_LEVEL, "[!] 无效ExitInterruptInfo.\n");

  146. tag_ret:
  147.     return;
  148. }

  150. __int64 pte_base;    // 用于线性地址与pte的转换
  151. DirectoryTableBase directory_table_base = { 0 };
  152. __int64* targetAddress = 0x0000000140001130;
  153. _PsLookupProcessByProcessId WkPsLookUpProcessByProcessId;

  155. void SetupPteNx(__int64* address, BOOLEAN setup)
  156. {
  157.         PHYSICAL_ADDRESS pa;
  158.         pa.QuadPart = 0xffffffffffffffff;
  159.         PAttachProcessStruct attach_procee = (PAttachProcessStruct)MmAllocateContiguousMemory(sizeof(AttachProcessStruct), pa);
  160.         
  161.         attach_procee->target_cr3 = directory_table_base.kernel_cr3;
  162.         attach_procee->pte = (((__int64)address >> 9) & 0x7ffffffff8) + pte_base;
  163.         attach_procee->setup = setup;

  165.         /*
  166.         *        切换Cr3并修改pte
  167.         */
  168.         AttachProcess(attach_procee->target_cr3, &attach_procee->currect_cr3);
  169.         memcpy(&attach_procee->pte_t, (void*)attach_procee->pte, 8);
  170.         attach_procee->pte_t.Bits.xd = attach_procee->setup;
  171.         memcpy((void*)attach_procee->pte, &attach_procee->pte_t, 8);
  172.         AttachProcess(attach_procee->currect_cr3, &attach_procee->currect_cr3);

  174.         MmFreeContiguousMemory(attach_procee);
  175. }

  177. void InitDirectoryTableBaseByPid(__int64 pid)
  178. {
  179.         PEPROCESS pEProcess;

  181.         WkPsLookUpProcessByProcessId(pid, &pEProcess);
  182.         directory_table_base.kernel_cr3 = *(__int64*)((__int64)pEProcess + 0x28);
  183.         directory_table_base.user_cr3 = *(__int64*)((__int64)pEProcess + 0x280);
  184.         ObDereferenceObject(pEProcess);
  185. }

  187. void UnlimitHareWareBreakpoint(int index)
  188. {
  189.         UNICODE_STRING unicode_PsLookUpProcessByProcessId;
  190.         UNICODE_STRING unicode_MiSystemFault;

  192.         idt_hook_config.Bits.set_pte_nx = TRUE;

  194.         // 初始化PsLookupProcessByProcessId
  195.         RtlInitUnicodeString(&unicode_PsLookUpProcessByProcessId, L"PsLookupProcessByProcessId");
  196.         WkPsLookUpProcessByProcessId = (_PsLookupProcessByProcessId)MmGetSystemRoutineAddress(&unicode_PsLookUpProcessByProcessId);

  198.         pte_base = *(__int64*)((__int64)MmProtectMdlSystemAddress + 0xc9);

  200.         InitDirectoryTableBaseByPid(3724);
  201.         SetupPteNx(targetAddress, TRUE);
  202. }

  204. asm_AttachProcess        proc
  205.         mov                rax, cr3
  206.         mov                [rdx], rax
  207.         mov                cr3, rcx
  208.         ret
  209. asm_AttachProcess        endp
复制代码
效果图:
83bf46c52d8cded3de449e8aee9806b2.png
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|我爱代码 - 专业游戏安全与逆向论坛 ( 陇ICP备17000105号-1 )

GMT+8, 2025-4-2 02:56 , Processed in 0.048613 second(s), 24 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表