https://blog.qife122.com/tags/%E5%86%85%E6%A0%B8%E6%A3%80%E6%B5%8B/ Recent content in 内核检测 on 办公AI智能小助手 Hugo zh-cn qife Mon, 08 Sep 2025 02:20:11 +0800 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E8%A7%A3%E6%9E%90patchguard%E5%9F%BA%E4%BA%8Ehypervisor%E7%9A%84%E5%86%85%E7%9C%81%E6%A3%80%E6%B5%8B%E6%8A%80%E6%9C%AF%E7%AC%AC%E4%BA%8C%E9%83%A8%E5%88%86/ Mon, 08 Sep 2025 02:20:11 +0800 https://blog.qife122.com/p/%E6%B7%B1%E5%85%A5%E8%A7%A3%E6%9E%90patchguard%E5%9F%BA%E4%BA%8Ehypervisor%E7%9A%84%E5%86%85%E7%9C%81%E6%A3%80%E6%B5%8B%E6%8A%80%E6%9C%AF%E7%AC%AC%E4%BA%8C%E9%83%A8%E5%88%86/ <h1 id="patchguard-detection-of-hypervisor-based-introspection-p2">Patchguard: Detection of Hypervisor Based Introspection [P2]</h1> <h2 id="no-errata-for-u">No Errata For U!</h2> <p>如果您尚未阅读，请先阅读第一部分，其中概述了Patchguard使用的三个巧妙技巧。</p> <h3 id="kierrata420present">KiErrata420Present</h3> <p>可以使用Hypervisor拦截LSTAR MSR以捕获读写操作。这是在大多数现代x86操作系统中挂钩系统调用的最常见和最高效的方法。然而，与我在线阅读的内容相反，如果不妥善处理，这可能会带来许多潜在的Hypervisor检测向量。通过在特权代码中使用一些巧妙技巧，我们可以可靠地确定LSTAR MSR上是否存在钩子，也就是说，如果Hypervisor中尚未实施适当的预防措施。从Windows 10 1903版本18362开始，微软添加了几种LSTAR钩子检测技术。</p>