主页 / 看雪·第六届 安全开发者峰会(2022 SDC) / 基于硬件虚拟化技术的新一代二进制分析利器
-
作者程聪 阿里云安全-系统安全专家
-
简介
- • 背景介绍
- • QEMU/KVM简介
- • 无影子页ept hook
- • 虚拟化调试器
- • 内核级trace
- • 总结
ept hook一直是二进制安全领域特别有用的工具,特别是windows内核引入patchguard之后。传统的ept hook一般使用影子页切换,但实践中发现存在代码自修改,多核同步,host环境容易被针对等问题。我们会介绍如何利用kvm,配合模拟器实现无影子页ept hook,巧妙的解决传统方法存在的问题。
在分析恶意样本时,常常会被反调试干扰,比如常见的软硬件断点检测。我们会介绍如何利用kvm给现有的调试分析工具(ida,x64dbg...),在无需任何改造的情况下,增加隐藏软硬件断点等反调试能力,实现降维打击。
-
援引https://www.hackinn.com/index.php/archives/808/
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2017-12-19 16:04:31
-
2019-09-11 06:18:45
-
2018-09-19 05:24:02
-
2021-11-08 10:39:13.606616
附件下载
-
基于硬件虚拟化技术的新一代二进制分析利器.pdf