inquisiter

一、虚拟机启动整个过程比较清晰，2.7的过程会对vmcs的状态域进行设置，也就是会接管中断过程，VMxLaunch启动硬件虚拟化。再往上，一段汇编。调用HvmSubvertCpuCmSubvert (PVOID GuestRsp);CmSubvert PROC StdCall _GuestRsp CM_SAVE_ALL_NOSEGREGS mov eax,esp push eax ;setup esp to argv[0] call HvmSubvertCpu

最近一直在是看VT和kvm技术相关的问题。在网上查了很多资料。很多直接从代码将，各种流程图和代码贴出来。但突然感觉代码不能直接这样学。应该带着思考来。这里列出几个有疑问的点。VT技术如何实现多个系统直接相互不影响这个应该就是通过vmm在跟模式和非根模式直接切换，对操作系统进行内存IO限定的。windows Hyperplatform 为什么可以实现对PG内存保护的绕过https://bbs.pediy.com/thread-225797.htm我个人的理解在于vm_exit行为上的劫持。两个页面

DWORDSHOOT的攻击方法本文由《0day安全软件漏洞分析》中的章节总结形成，作为一个笔记。 其实我开始看着书的时候没做啥笔记，但后来调试过程觉得堆块这块挺重要的就返回去把这一章的内容单独摘出来，并把一个叫做DWORDSHOOT的攻击方法作为深入理解的例子记了下来。 堆在内存中的数据结构形式如图，占用态和空闲状态可以由flag标志清楚的分辨。其中大小和前后指针的位置更是一目...

常用游戏分析工具之 PChunter 及 procexp 使用心得目录一、PC Hunter 功能简介… 1二、Process Explorer 功能简介 … 2三、魔域突防实例分析 … 3一、PC Hunter 功能简介PC Hunter 是一款方便易用的手工杀毒工具。该软件其实有着功能齐全的 windows 系统 信息查看内容，不但可以查看各类系统的信息，也支持找到电脑中存在的病...