驅動級VT技術EPT實現無痕HOOK保護指定進程----VT EPT原理解析和進階

VT EPT原理解析和進階

VT開啟EPT后，繞過pg檢測，無視目前任何內核檢測工具的檢測如PCHander檢測不到HOOK。

本次案例實現欺騙系統達到無痕HOOK SSDT中的NtOpenprocess保護calc程序的內存，讓OD,CE工具無法附加搜索。

1、EPT的概念

EPT(Extend Page Table)擴展頁表機制，可以讓Guest機使用一份自己構建的頁表。

GPA(Guest-Physical Address)、HPA(Host-Physical Address)

當Guest訪問內存時，其最終會生成一個GPA，其EPT的頁表定義在Host端，處理器在收到guest傳遞過來的之后，通過EPT頁表轉換為HPA，從而訪問物理內存。

2、構建EPT并開啟的代碼實現

3、EPT下HOOK SSDT NTOpenProcess的代碼實現

4、WIN7X64系統下的EPT HOOK SSDT演示

5、核心源碼分享，看反應公開源碼，可點擊文末閱讀原文前往下載附件。