那些杀软做内核对抗？

DisaPDB

a27573 发表于 2025-3-22 18:29
检测Hypervisor的技术还挺多的，检测EPT Hook的技术很多原理其实也差不多
这方面还得看反作弊

单纯说检测的话杀毒软件能做的不多，而且我不相信哪个Rootkit会闲到手搓一个VT框架来隐藏自身（话说这真的可行吗），自身没有虚拟化的话最多只能做到去检测msr寄存器修改这一类不可靠的方式
比如

void svm_exit::svm_shadow_msr(ULARGE_INTEGER* fake_msr_value, bool is_read, uintptr_t origin_msr, _svm_guest_status* guest_context) {
    if (is_read) {
        if (fake_msr_value->QuadPart == NULL) {
            fake_msr_value->QuadPart = origin_msr;
        }
        guest_context->guest_register->Rax = fake_msr_value->LowPart;
        guest_context->guest_register->Rdx = fake_msr_value->HighPart;
    }
    else {
        fake_msr_value->LowPart = guest_context->guest_register->Rax & MAXUINT32;
        fake_msr_value->HighPart = guest_context->guest_register->Rdx & MAXUINT32;
    }

ps：很多反作弊的检测方式还在用老掉牙的time_check，那样也不怎么可靠