blue-pill代码解读

最新推荐文章于 2026-06-07 11:14:59 发布
原创 最新推荐文章于 2026-06-07 11:14:59 发布 · 1.2k 阅读 · 1
本文详细解析了NewBluePill驱动程序的工作流程,包括初始化管理器、映射客户机内核页表等步骤,并阐述了如何通过HvmSwallowBluepill函数使操作系统进入虚拟机状态。

一、虚拟机启动

整个过程比较清晰,2.7的过程会对vmcs的状态域进行设置,也就是会接管中断过程,VMxLaunch启动硬件虚拟化。

再往上,一段汇编。调用HvmSubvertCpu

CmSubvert (PVOID  GuestRsp);
CmSubvert PROC StdCall _GuestRsp

	CM_SAVE_ALL_NOSEGREGS

	mov	eax,esp
	push	eax        ;setup esp to argv[0]
	call	HvmSubvertCpu@4
	ret

CmSubvert ENDP

 


//对当前物理CPU上的所有逻辑CPU,进行虚拟设置,反转到虚拟机的运行状态
NTSTATUS NTAPI HvmSwallowBluepill (
)
{
  CCHAR cProcessorNumber;
  NTSTATUS Status, CallbackStatus;

  _KdPrint (("HvmSwallowBluepill(): Going to subvert %d processor%s\n",
             KeNumberProcessors, KeNumberProcessors == 1 ? "" : "s"));

  KeWaitForSingleObject (&g_HvmMutex, Executive, KernelMode, FALSE, NULL);

  for (cProcessorNumber = 0; cProcessorNumber < KeNumberProcessors; cProcessorNumber++) {

    _KdPrint (("HvmSwallowBluepill(): Subver
最低0.47元/天 解锁文章
NewBluePill深入理解硬件虚拟机(PDF+配套源码
03-24
这是本人在实际项目中 借鉴的资料,电子书都是随书以前购买而来,请放心使用
NewBulePill深入理解硬件虚拟化
03-30
介绍了因特尔虚拟化源码NewBulePill的实现原理。可以很好地理解VT
NewBluePill源码学习 <一>
weixin_30875157的博客
09-01 271
NewBluePill的源码也看的差不多了,一直说等有时间了再写学习的一些心得,拖来拖去弄到现在了,时间不是等来的,慢慢开始吧。 0x00 初识硬件虚拟化 硬件虚拟化对大数人来讲还是比较陌生。什么是硬件虚拟化?因为早期的虚拟机都是进程级虚拟机,也就是作为已有操作系统的一个进程,完全通过软件的手段来模拟硬件,软件再翻译内存地址的方法实现物理机器的模拟,这样虚拟效率较低,资源利用率低。之后...
给STM32F103的Blue Pill开发板装上µC/OS-III:从CubeMX配置到多任务LED闪烁的保姆级教程
weixin_42519733的博客
04-15 398
本教程详细介绍了如何在STM32F103的Blue Pill开发板上移植µC/OS-III实时操作系统,并通过CubeMX配置实现多任务LED闪烁。从硬件准备、开发环境搭建到源码移植和任务创建,提供了完整的保姆级指导,帮助开发者快速掌握RTOS在STM32平台上的应用实践。
学习BluePill源码笔记-3
XboxMicro
06-29 3786
二、Hvm过程 2.1 newbp.c (116)
New Blue Pill硬件级Rootkit源码解析与实战
weixin_36369848的博客
09-06 1097
Rootkit是一类旨在隐藏自身或其它恶意程序存在、并维持对系统长期控制的技术集合。其名称源于“root”(超级用户权限)与“kit”(工具包),最早用于Unix/Linux系统,如今广泛适用于Windows、移动设备及嵌入式系统。Rootkit并不直接执行破坏行为,而是为恶意软件提供隐身平台,使其逃避常规安全检测机制。虚拟化技术是现代计算机系统中不可或缺的一部分,它允许在同一台物理设备上运行多个独立的操作系统环境。Intel VT-x作为x86平台上的硬件级虚拟化解决方案,为虚拟化提供了底层支持。
vmware上运行nbp
shenimenyilian的专栏
02-09 1053
newbluepill 运行需要几个环境: 1)PAE关掉 2)开启VT-x 3)驱动加载了 我的主机是win7 装了vmware10.0  上面装了xp x64  首先去下载wdk 7 http://download.microsoft.com/download/4/A/2/4A25C7D5-EFBE-4182-B6A9-AE6850409A78/GRMWDK_EN_7600_1.I
Blue Pill代码分析(1)
lzz14的专栏
03-29 8007
一直都有写blog的想法,但是每次总觉得写东西很浪费时间,还不如利用这些时间多学点东西。不过每次学到东西之后,总是很容易遗忘,学到方法不假,一些零碎细节忘的很快,于是决定还是应该写点东西出来作备忘。去年末,对Blue Pill有稍微了解一下,但终究是没有完整阅读过源代码,今天花了一天的时间把Blue Pill的源代码看了一下,总算对其中的奥妙之处有所了解。原先对VT技术不是特别了解的地方今天看了代
IOT项目——STM32入门
学习中......
10-19 1430
本文介绍了STM32F103C8T6微控制器的核心特性和开发环境搭建方法。该芯片基于ARM Cortex-M3内核,具有64KB Flash、20KB SRAM及丰富外设,广泛应用于工业控制和物联网设备。文章重点讲解在VSCode和PyCharm中使用PlatformIO插件搭建开发环境,推荐初学者使用Arduino框架快速入门,专业开发者可采用HAL库框架。同时提供了硬件连接和程序烧录的详细步骤,以及ST-Link调试器的使用方法。通过LED闪烁示例展示了完整开发流程,为STM32开发提供了实用指南。
AI时代设计师的四大不可替代价值节点
最新发布
weixin_30681121的博客
06-07 413
图形设计正经历从执行层向策略层的价值迁移,其核心驱动力是AI对‘单位时间产出价值比’的重构。当AI能快速生成高保真视觉方案,设计的核心竞争力已转向需求解码、语境适配、风险预控与体验策展等系统性能力。这些能力依赖跨学科知识整合、商业意图解码和人性洞察,无法被模型自动化。提示词工程不再只是文字描述,而是融合品牌语言转译、平台算法理解与法律合规意识的视觉编程实践;而ControlNet控制、LoRA微调等技术,则成为设计师校准AI输出、守护品牌资产的关键手段。本文聚焦真实商业项目中验证的设计新护城河。
基于Arduino与蓝牙的DIY四轴飞行器:从PID控制到手机遥控实践
weixin_30553777的博客
06-03 329
在嵌入式系统与机器人控制领域,PID(比例-积分-微分)控制算法是实现稳定闭环反馈的核心技术。其原理是通过实时计算目标值与实际值的误差,并利用比例、积分、微分三个环节的综合作用,输出精准的控制量,从而实现对动态系统的精确调节。这项技术在工业自动化、无人机、机器人等场景中具有极高的工程价值。以四轴飞行器为例,其本质是一个不稳定系统,必须依赖高速运行的PID控制器来融合传感器数据,动态调整电机转速以维持平衡。本文聚焦于一个具体的工程实践:如何利用Arduino Nano作为主控,结合MPU-6050惯性测量单元
NewBluePill源码学习 -附件资源
03-05
NewBluePill源码学习 -附件资源
new-blue-pill源码带注释
09-09
New Blue Pill代码。 基于硬件虚拟化技术的windows下Rootkit。 2006 年 Black Hat上发表。
NewBluePill
01-09
VT框架,NewBluePill,学习虚拟化必备。不错的框架,扫描版。
Blue Pill的编译和安装
lzz14的专栏
07-05 4293
抱歉,因为工作比较忙,有三个月没有更新了。估计后面都会比较忙,我尽量抽空更新。一、安装之所以先说安装是因为编译和安装方式有关系。Blue Pill有两种安装方式:1、windows普通内核模式驱动安装方式这种方式具体又有多种方式,需要写注册表的、使用未公开的Native API不需要写注册表的。网上找可以找到,或者看《Rootkits--Windows内核的安全防护》。2、shell code方式
学习BluePill源码笔记-1
XboxMicro
06-29 3315
VT-X太高端霸气上档次了,实在是看不懂...
new blue pill在Intel系列CPU上无法卸载问题
一个热爱逆向,喜爱学习、分享的猿。
09-09 2630
实验环境win7 sp1 x64,newbluepill-0.32,VS2013,WDK8.1 NewBluePill代码编译后,使用InstDrv成功载入生成的两个驱动:dbgclient.sys和newbp.sys。通过bpknock.exe查看运行结果,成功安装了bluepill。 但卸载时出了问题,dbgclient.sys驱动可以成功卸载,但newbp.sys已卸载系统就停下不动了
学习BluePill源码笔记-2
XboxMicro
06-29 1284
1.5 MmCreateMapping if (!NT_SUCCESS (Status = MmCreateMapping (g_PageMapBasePhysicalAddress, (PVOID) PML4_BASE, FALSE))) { DbgPrint ("MmInitManager(): MmCreateMapping() failed to map PML4 page,
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值