驱动级VT技术EPT实现无痕HOOK保护指定进程----VT EPT原理解析和进阶

冰雄看雪学苑 2022-07-01

看雪论坛作者ID：冰雄

VT EPT原理解析和进阶

VT开启EPT后，绕过pg检测，无视目前任何内核检测工具的检测如PCHander检测不到HOOK。

本次案例实现欺骗系统达到无痕HOOK SSDT中的NtOpenprocess保护calc程序的内存，让OD,CE工具无法附加搜索。

1、EPT的概念

EPT(Extend Page Table)扩展页表机制，可以让Guest机使用一份自己构建的页表。

GPA(Guest-Physical Address)、HPA(Host-Physical Address)

当Guest访问内存时，其最终会生成一个GPA，其EPT的页表定义在Host端，处理器在收到guest传递过来的之后，通过EPT页表转换为HPA，从而访问物理内存。

2、构建EPT并开启的代码实现

3、EPT下HOOK SSDT NTOpenProcess的代码实现

4、WIN7X64系统下的EPT HOOK SSDT演示

5、核心源码分享，看反应公开源码，可点击文末阅读原文前往下载附件。

看雪ID：冰雄

https://bbs.pediy.com/user-home-587611.htm

*本文由看雪论坛冰雄原创，转载请注明来自看雪社区

官网：https://www.bagevent.com/event/6334937

# 往期推荐

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

球分享

球点赞

球在看

点击“阅读原文”，了解更多！