本文共 721 字,大约阅读时间需要 2 分钟。
最近一直在是看VT和kvm技术相关的问题。在网上查了很多资料。很多直接从代码将,各种流程图和代码贴出来。但突然感觉代码不能直接这样学。
应该带着思考来。这里列出几个有疑问的点。
这个应该就是通过vmm在跟模式和非根模式直接切换,对操作系统进行内存IO限定的。
我个人的理解在于vm_exit行为上的劫持。两个页面一个patch过only_exec,一个没有patch过rwx。
当pg检测到only_exe时,会发生读异常产生vm_exit异常,这时候vmm劫持执行流,如果这个时候把页表替换到rwx没有patch的页表,那么PG保护找到的页表将会是正确的页表。但替换页表的同时设置VmcsField::kCpuBasedVmExecControl域里面的一个标志位叫做 MTF(Monitor Trap Flag),这个标志位的作用是单步执行完一条执行之后触发一次VM_EXIT(reason:MonitorTrapFlag)。那么vmm将会再次劫持异常,我们将页表再次替换回only_exe页表。那么内存也将会停留在被patch过的状态,最终实现PG绕过。当然,直接使用patch过的页面,只是更改执行属性,也可以实现完全类似的效果。
如此来说,如果linux上也存在类似于PG的技术,完全可以通过类似的技术来绕过
参考: https://blog.csdn.net/youyou519/article/details/93471233 https://bbs.pediy.com/thread-225797.htm