2022 SDC 精彩议题抢先看

ept hook一直是二进制安全领域特别有用的工具，特别是windows内核引入patchguard之后。传统的ept hook一般使用影子页切换，但实践中发现存在代码自修改，多核同步，host环境容易被针对等问题。我们会介绍如何利用kvm，配合模拟器实现无影子页ept hook，巧妙的解决传统方法存在的问题。

在分析恶意样本时，常常会被反调试干扰，比如常见的软硬件断点检测。我们会介绍如何利用kvm给现有的调试分析工具(ida,x64dbg...)，在无需任何改造的情况下，增加隐藏软硬件断点等反调试能力，实现降维打击。