设为首页收藏本站
切换到宽版

龙马谷

 找回密码
 立即注册

QQ登录

只需一步,快速开始

龙马谷»龙马谷论坛 技术专区 驱动开发技术 VT 基本框架源码
龙马谷VIP会员办理客服QQ:82926983(如果临时会话没有收到回复,请先加QQ好友再发。)
1 [已完结] GG修改器新手入门与实战教程 31课 2 [已完结] GG修改器美化修改教程 6课 3 [已完结] GG修改器Lua脚本新手入门教程 12课
4 [已完结] 触动精灵脚本新手入门必学教程 22课 5 [已完结] 手游自动化脚本入门实战教程 9课 6 [已完结] C++射击游戏方框骨骼透视与自瞄教程 27课
7 [已完结] C++零基础UE4逆向开发FPS透视自瞄教程 29课 8 [已完结] C++零基础大漠模拟器手游自动化辅助教程 22课 9 [已完结] C++零基础开发DXF内存脚本辅助教程 32课
以下是天马阁VIP教程,本站与天马阁合作,赞助VIP可以获得天马阁对应VIP会员,名额有限! 点击进入天马阁论坛
1 [已完结] x64CE与x64dbg入门基础教程 7课 2 [已完结] x64汇编语言基础教程 16课 3 [已完结] x64辅助入门基础教程 9课
4 [已完结] C++x64内存辅助实战技术教程 149课 5 [已完结] C++x64内存检测与过检测技术教程 10课 6 [已完结] C+x64二叉树分析遍历与LUA自动登陆教程 19课
7 [已完结] C++BT功能原理与x64实战教程 29课 8 [已完结] C+FPS框透视与自瞄x64实现原理及防护思路
返回列表 发新帖
查看: 4906|回复: 0

VT 基本框架源码

[复制链接]
蓝灵火焰

15

主题

11

回帖

32

积分

编程入门

Rank: 1

龙马币
58
蓝灵火焰 | 显示全部楼层 |阅读模式

1.查询CPU对VMX的支持
cpuid 指令,查询1号功能,返回的ECX[5]==1
  1.   #define CPUID_ECX_VMX_ABILITY (1<<5)
  2.   ULONG64 CheckCPUID() {

  4.       int ctx[4] = { 0 };//顺序:eax,ebx,ecx,edx
  5.       __cpuid(ctx, 1);

  7.       return ctx[2] & CPUID_ECX_VMX_ABILITY;        //Bit-5
  8.   }
复制代码

rdmsr 指令,查询BIOS是否已开启对VMX的支持
  1.   #define MSR_IA32_FEATURE_CONTROL 0x3A
  2.   ULONG64 CheckMsr() {
  3.       MSR_IA32_FEATURE_CONTROL_REGISTER msr = { 0 };
  4.       msr.value.QuadPart = __readmsr(MSR_IA32_FEATURE_CONTROL);
  5.       return msr.Bits.Lock;
  6.   }
复制代码


2.开启VMX
修正CR0和CR4,设置CR4.VMXE=1
  1.   #define        MSR_IA32_VMX_CR0_FIXED0                                0x486
  2.   #define        MSR_IA32_VMX_CR0_FIXED1                                0x487
  3.   #define        MSR_IA32_VMX_CR4_FIXED0                                0x488
  4.   #define        MSR_IA32_VMX_CR4_FIXED1                                0x489
  5.   ULONG64 FixCr0() {

  7.       IA32_CR0 uCr0 = { 0 };
  8.       uCr0.value.QuadPart = __readcr0();

  10.       uCr0.value.QuadPart |= __readmsr(MSR_IA32_VMX_CR0_FIXED0);
  11.       uCr0.value.QuadPart &= __readmsr(MSR_IA32_VMX_CR0_FIXED1);

  13.       __writecr0(uCr0.value.QuadPart);
  14.       return TRUE;
  15.   }
  16.   ULONG64 FixCr4() {

  18.       IA32_CR4 uCr4 = { 0 };
  19.       uCr4.value.QuadPart = __readcr4();

  21.       uCr4.value.QuadPart |= __readmsr(MSR_IA32_VMX_CR4_FIXED0);
  22.       uCr4.value.QuadPart &= __readmsr(MSR_IA32_VMX_CR4_FIXED1);
  23.       uCr4.Bits.VMXE = 1;

  25.       __writecr4(uCr4.value.QuadPart);
  26.       return TRUE;
  27.   }
复制代码

3.申请内存
VMON区,需要页对齐,并且需要得到它的物理地址
VMCS区,需要页对齐,并且需要得到它的物理地址
VMM栈,可以的话申请几个页,避免栈溢出
  1.   ULONG64 CreateVM(UCHAR CpuIndex) {

  3.       psVM[CpuIndex].pOnVa = ExAllocatePool2(POOL_FLAG_NON_PAGED, PAGE_SIZE, 'VMON');
  4.       if (!psVM[CpuIndex].pOnVa) { return FALSE; }
  5.       RtlZeroMemory(psVM[CpuIndex].pOnVa, PAGE_SIZE);
  6.       psVM[CpuIndex].pOnPa = MmGetPhysicalAddress(psVM[CpuIndex].pOnVa);

  8.       psVM[CpuIndex].pCsVa = ExAllocatePool2(POOL_FLAG_NON_PAGED, PAGE_SIZE, 'VMCS');
  9.       if (!psVM[CpuIndex].pCsVa) { return FALSE; }
  10.       RtlZeroMemory(psVM[CpuIndex].pCsVa, PAGE_SIZE);
  11.       psVM[CpuIndex].pCsPa = MmGetPhysicalAddress(psVM[CpuIndex].pCsVa);

  13.       psVM[CpuIndex].pStack = ExAllocatePool2(POOL_FLAG_NON_PAGED, STACK_SIZE, 'VMSK');
  14.       if (!psVM[CpuIndex].pStack) { return FALSE; }
  15.       RtlZeroMemory(psVM[CpuIndex].pStack, STACK_SIZE);

  17.       return TRUE;
  18.   }
复制代码

4.设置VMXON区,执行VMXON
只需要填写一个版本号
执行vmxon(VMON区的物理地址);
  1.   ULONG64 InitVmxON(UCHAR CpuIndex, ULONG RevisonId) {

  3.       *((PULONG)psVM[CpuIndex].pOnVa) = RevisonId;

  5.       if (__vmx_on(&psVM[CpuIndex].pOnPa.QuadPart))
  6.       {
  7.           KdPrint(("vmx_on 失败!\n"));
  8.           return FALSE;
  9.       }

  11.       return TRUE;
  12.   }
复制代码

5.设置VMXCS区
5.1.初始化VMCS
  1.       ULONG64 InitVmxCS(UCHAR CpuIndex, ULONG RevisonId) {

  3.           *((PULONG)psVM[CpuIndex].pCsVa) = RevisonId;

  5.           if (__vmx_vmclear(&psVM[CpuIndex].pCsPa.QuadPart))
  6.               return FALSE;
  7.           if (__vmx_vmptrld(&psVM[CpuIndex].pCsPa.QuadPart))
  8.               return FALSE;

  10.           return TRUE;
  11.       }
复制代码

2.设置GUEST运行环境
控制寄存器:CR0,CR3,CR4
调试寄存器:DR7
段寄存器:ES,FS,DS,CS,SS,GS,TR,LDTR
GS基址,FS基址
GDT基址,IDT基址
GDT段限,IDT段限
状态寄存器:RFLAGS
SYSENTER_CS,SYSENTER_ESP,SYSENTER_EIP
RIP,RSP
需要保存GUEST当前的RSP和GUEST当前下一条指令的RIP,以便操作完成后回到GUEST的代码流程,就像没有发生过什么事一样
  1.   ULONG64 SetGuestState(ULONG64 GuestRip, ULONG64 GuestRsp) {

  3.       ULONG64 ret = 0;

  5.       ULONG64 GdtBase = _readBaseGDT();
  6.       ULONG64 IdtBase = _readBaseIDT();

  8.       ret += __vmx_vmwrite(GUEST_CR0, __readcr0());
  9.       ret += __vmx_vmwrite(GUEST_CR3, __readcr3());
  10.       ret += __vmx_vmwrite(GUEST_CR4, __readcr4());
  11.       ret += __vmx_vmwrite(GUEST_DR7, __readdr(7));

  13.       ret += SetGuestSeg(ES, _readES(), GdtBase);
  14.       ret += SetGuestSeg(FS, _readFS(), GdtBase);
  15.       ret += SetGuestSeg(DS, _readDS(), GdtBase);
  16.       ret += SetGuestSeg(CS, _readCS(), GdtBase);
  17.       ret += SetGuestSeg(SS, _readSS(), GdtBase);
  18.       ret += SetGuestSeg(GS, _readGS(), GdtBase);
  19.       ret += SetGuestSeg(TR, _readTR(), GdtBase);
  20.       ret += SetGuestSeg(LDTR, _readLDTR(), GdtBase);

  22.       ret += __vmx_vmwrite(GUEST_FS_BASE, __readmsr(MSR_IA32_FS_BASE));
  23.       ret += __vmx_vmwrite(GUEST_GS_BASE, __readmsr(MSR_IA32_GS_BASE));
  24.       ret += __vmx_vmwrite(GUEST_GDTR_BASE, GdtBase);
  25.       ret += __vmx_vmwrite(GUEST_GDTR_LIMIT, _readLimitGDT());
  26.       ret += __vmx_vmwrite(GUEST_IDTR_BASE, IdtBase);
  27.       ret += __vmx_vmwrite(GUEST_IDTR_LIMIT, _readLimitIDT());

  29.       ret += __vmx_vmwrite(GUEST_RFLAGS, __readeflags());
  30.       ret += __vmx_vmwrite(GUEST_RIP, GuestRip);
  31.       ret += __vmx_vmwrite(GUEST_RSP, GuestRsp);

  33.       ret += __vmx_vmwrite(GUEST_IA32_SYSENTER_CS, __readmsr(MSR_IA32_SYSENTER_CS));
  34.       ret += __vmx_vmwrite(GUEST_IA32_SYSENTER_ESP, __readmsr(MSR_IA32_SYSENTER_ESP));
  35.       ret += __vmx_vmwrite(GUEST_IA32_SYSENTER_EIP, __readmsr(MSR_IA32_SYSENTER_EIP));

  37.       return ret;
  38.   }
复制代码

3.设置HOST运行环境
控制寄存器:CR0,CR3,CR4
段寄存器:ES,FS,DS,CS,SS,GS,TR
GS基址,FS基址,TR基址
GDT基址,IDT基址
SYSENTER_CS,SYSENTER_ESP,SYSENTER_EIP
RIP,RSP
HOST的RIP就是VM退出后跳转到VMM的入口地址,所以我们要写一个VMM入口函数,保存VM的现场状态,回到VM后才能继续像什么也没发生过一样继续执行
  1.     ULONG64 SetHostState(ULONG64 HostRip, ULONG64 HostRsp) {

  3.         SEG seg = { 0 };
  4.         ULONG64 ret = 0;
  5.         ULONG64 GdtBase = _readBaseGDT();
  6.         ULONG64 IdtBase = _readBaseIDT();
  7.         ULONG64 TR = GetSegInfo(&seg, _readTR(), GdtBase);

  9.         ret += __vmx_vmwrite(HOST_CR0, __readcr0());
  10.         ret += __vmx_vmwrite(HOST_CR3, __readcr3());
  11.         ret += __vmx_vmwrite(HOST_CR4, __readcr4());

  13.         ret += __vmx_vmwrite(HOST_RIP, HostRip);
  14.         ret += __vmx_vmwrite(HOST_RSP, HostRsp);

  16.         ret += __vmx_vmwrite(HOST_CS_SELECTOR, _readCS() & 0xF8);
  17.         ret += __vmx_vmwrite(HOST_SS_SELECTOR, _readSS() & 0xF8);
  18.         ret += __vmx_vmwrite(HOST_DS_SELECTOR, _readDS() & 0xF8);
  19.         ret += __vmx_vmwrite(HOST_ES_SELECTOR, _readES() & 0xF8);
  20.         ret += __vmx_vmwrite(HOST_FS_SELECTOR, _readFS() & 0xF8);
  21.         ret += __vmx_vmwrite(HOST_GS_SELECTOR, _readGS() & 0xF8);
  22.         ret += __vmx_vmwrite(HOST_TR_SELECTOR, _readTR() & 0xF8);

  24.         ret += __vmx_vmwrite(HOST_FS_BASE, __readmsr(MSR_IA32_FS_BASE));
  25.         ret += __vmx_vmwrite(HOST_GS_BASE, __readmsr(MSR_IA32_GS_BASE));
  26.         ret += __vmx_vmwrite(HOST_TR_BASE, TR ? seg.Base : 0);
  27.         ret += __vmx_vmwrite(HOST_GDTR_BASE, GdtBase);
  28.         ret += __vmx_vmwrite(HOST_IDTR_BASE, IdtBase);

  30.         ret += __vmx_vmwrite(HOST_IA32_SYSENTER_CS, __readmsr(MSR_IA32_SYSENTER_CS));
  31.         ret += __vmx_vmwrite(HOST_IA32_SYSENTER_ESP, __readmsr(MSR_IA32_SYSENTER_ESP));
  32.         ret += __vmx_vmwrite(HOST_IA32_SYSENTER_EIP, __readmsr(MSR_IA32_SYSENTER_EIP));

  34.         return ret;
  35.     }
复制代码


4.设置执行控制
先设置最基本的的条件
  1.     ULONG64 SetVmxExecutionCTLS(UCHAR CpuIndex, ULONG64 vmxctrl) {

  3.         UCHAR ret = 0;
  4.         ULONG64 value = 0;

  6.         MSR_IA32_VMX_PINBASED_CTLS_REGISTER PinBased = { 0 }, SetPinBase = { 0 };
  7.         MSR_IA32_VMX_PROCBASED_CTLS_REGISTER Primary = { 0 }, SetPrimary = { 0 };
  8.         MSR_IA32_VMX_PROCBASED_CTLS2_REGISTER Secondry = { 0 }, SetSecondry = { 0 };
  9.         MSR_IA32_VMX_PROCBASED_CTLS3_REGISTER Tertiary = { 0 };

  11.         PinBased.value.QuadPart = vmxctrl ? __readmsr(MSR_IA32_VMX_TRUE_PINBASED_CTLS) : __readmsr(MSR_IA32_VMX_PINBASED_CTLS);
  12.         /*在这里设置《PinBased》*/

  14.         value = SetControls(SetPinBase.value.QuadPart, PinBased.value);
  15.         ret += __vmx_vmwrite(PIN_BASED_VM_EXECUTION_CONTROLS, value);

  17.         Primary.value.QuadPart = vmxctrl ? __readmsr(MSR_IA32_VMX_TRUE_PROCBASED_CTLS) : __readmsr(MSR_IA32_VMX_PROCBASED_CTLS);
  18.         /*在这里设置《Primary》*/
  19.         SetPrimary.Bits->MSRmap = TRUE;
  20.         SetPrimary.Bits->RDTSC = TRUE;
  21.         SetPrimary.Bits->Secondary = TRUE;

  23.         value = SetControls(SetPrimary.value.QuadPart, Primary.value);
  24.         ret += __vmx_vmwrite(PRIMARY_PROCESSOR_BASED_VM_EXECUTION_CONTROLS, value);

  26.         if (SetPrimary.Bits->Secondary)
  27.         {
  28.             Secondry.value.QuadPart = __readmsr(MSR_IA32_VMX_PROCBASED_CTLS2);

  30.             /*在这里设置《Secondry》*/
  31.             SetSecondry.Bits->XSAVES_XRSTORS = TRUE;
  32.             SetSecondry.Bits->INVPCID = TRUE;
  33.             SetSecondry.Bits->RDTSCP = TRUE;

  35.             value = SetControls(SetSecondry.value.QuadPart, Secondry.value);
  36.             ret += __vmx_vmwrite(SECONDARY_PROCESSOR_BASED_VM_EXECUTION_CONTROLS, value);

  38.         }
  39.         
  40.         ret += __vmx_vmwrite(VMCS_LINK_POINTER_FULL, ~0Ull);
  41.         ret += __vmx_vmwrite(VIRTUAL_PROCESSOR_IDENTIFIER, CpuIndex);

  43.         return ret;
  44.     }
复制代码


5.设置VM退出控制
先设置最基本的的条件
  1.     ULONG64 SetVmxExitCTLS(UCHAR CpuIndex, ULONG64 vmxctrl) {

  3.         ULONG64 ret = 0;            
  4.         ULONG64 value = 0;
  5.         MSR_IA32_VMX_EXIT_CTLS_REGISTER VmExit = { 0 }, SetExit = { 0 };
  6.         VmExit.value.QuadPart = vmxctrl ? __readmsr(MSR_IA32_VMX_TRUE_EXIT_CTLS) : __readmsr(MSR_IA32_VMX_EXIT_CTLS);
  7.         /*在这里设置《VmExit》*/
  8.         SetExit.Bits->HOST_addr_size = TRUE;

  10.         value = SetControls(SetExit.value.QuadPart, VmExit.value);
  11.         ret += __vmx_vmwrite(PRIMARY_VM_EXIT_CONTROLS, value);

  13.         return ret;
  14.     }
复制代码


6.设置VM进入控制
先设置最基本的的条件
  1.     ULONG64 SetVmxEntryCTLS(UCHAR CpuIndex, ULONG64 vmxctrl) {

  3.         ULONG64 ret = 0;
  4.         ULONG64 value = 0;
  5.         MSR_IA32_VMX_ENTRY_CTLS_REGISTER VmEntry = { 0 }, SetEntry = { 0 };
  6.         VmEntry.value.QuadPart = vmxctrl ? __readmsr(MSR_IA32_VMX_TRUE_ENTRY_CTLS) : __readmsr(MSR_IA32_VMX_ENTRY_CTLS);
  7.         /*在这里设置《VmEntry》*/
  8.         SetEntry.Bits->Guest_IA32e = TRUE;

  10.         value = SetControls(SetEntry.value.QuadPart, VmEntry.value);
  11.         ret += __vmx_vmwrite(VM_ENTRY_CONTROLS, value);

  13.         return ret;
  14.     }
复制代码


7.编写VMM处理函数
此函数只做一些准备工作。
  1.     ULONG64 HostEntry(PGUESTREG pGuestRegs)
  2.     {
  3.         __vmx_vmread(VIRTUAL_PROCESSOR_IDENTIFIER, &pGuestRegs->CpuIndex);
  4.         __vmx_vmread(EXIT_REASON,  (size_t*) & pGuestRegs->exitReason);

  6.         __vmx_vmread(GUEST_RIP, &pGuestRegs->GuestRip);
  7.         __vmx_vmread(GUEST_RSP, &pGuestRegs->GuestRsp);
  8.         __vmx_vmread(GUEST_RFLAGS, &pGuestRegs->GuestFlag);
  9.         __vmx_vmread(VM_EXIT_INSTRUCTION_LENGTH, &pGuestRegs->InstrLen);

  11.         pGuestRegs->eProcess = PsGetCurrentProcess();
  12.         pGuestRegs->eThread = PsGetCurrentThread();

  14.         return DispatchHandler(pGuestRegs);
  15.     }
复制代码


调用 DispatchHandler 来处理事件。以下只是处理一些必须要处理的指令,CPU不同可能会有差异。处理方法就是查看CPU手册,模仿指令行为。这里就省略了,以免读者看得不清晰
  1.     ULONG64 DispatchHandler(PGUESTREG pGuestRegs)
  2.     {
  3.         EXIT_REASON_FIELDS* exit = (EXIT_REASON_FIELDS*)&pGuestRegs->exitReason;
  4.         ULONG64 CpuIndex = pGuestRegs->CpuIndex;
  5.         ULONG64 GuestRip = pGuestRegs->GuestRip;
  6.         ULONG64 GuestRsp = pGuestRegs->GuestRsp;
  7.         ULONG64 InstrLen = pGuestRegs->InstrLen;

  9.         switch (exit->Bits.Basic)
  10.         {
  11.         case EXIT_REASON_CPUID: {
  12.            ...
  13.             break;
  14.         }
  15.         case EXIT_REASON_RDMSR: {
  16.            ...
  17.             break;
  18.         }
  19.         case EXIT_REASON_WRMSR: {
  20.            ...
  21.             break;
  22.         }
  23.         case EXIT_REASON_RDTSC: {
  24.             ...
  25.             break;
  26.         }
  27.         case EXIT_REASON_RDTSCP: {
  28.            ...
  29.             break;
  30.         }                           
  31.         default:
  32.             DbgBreakPoint();
  33.             break;
  34.         }
  35.         return TRUE;
  36.     }
复制代码


6.执行VM
执行vmlaunch();
如果上述设置没有出现问题。代码会接着在我们设置好的GUEST.RIP处继续运行。
直到触发VM退出条件,即可进入我们设置好的VMM.RIP(HostEntry)处开始执行

回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

龙马谷| C/C++辅助教程| 安卓逆向安全| 论坛导航| 免责申明|Archiver|
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表龙马谷立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2018-2021 All Right Reserved.
关闭

会员办理

售后客服

技术支持

工作时间:9:00-22:00

在线客服
快速回复 返回顶部 返回列表