主页 / 看雪·第六届 安全开发者峰会(2022 SDC) / 基于硬件虚拟化技术的新一代二进制分析利器
  • 作者
    程聪 阿里云安全-系统安全专家
  • 简介
    • • 背景介绍
    • • QEMU/KVM简介
    • • 无影子页ept hook
    • • 虚拟化调试器
    • • 内核级trace
    • • 总结

    ept hook一直是二进制安全领域特别有用的工具,特别是windows内核引入patchguard之后。传统的ept hook一般使用影子页切换,但实践中发现存在代码自修改,多核同步,host环境容易被针对等问题。我们会介绍如何利用kvm,配合模拟器实现无影子页ept hook,巧妙的解决传统方法存在的问题。

    在分析恶意样本时,常常会被反调试干扰,比如常见的软硬件断点检测。我们会介绍如何利用kvm给现有的调试分析工具(ida,x64dbg...),在无需任何改造的情况下,增加隐藏软硬件断点等反调试能力,实现降维打击。

  • 援引
    https://www.hackinn.com/index.php/archives/808/
  • 提示
    本站仅做资料的整理和索引,转载引用请注明出处
附件下载
  • 基于硬件虚拟化技术的新一代二进制分析利器.pdf
    时间: 大小: 3.12 M 下载: 35