Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 126
- Реакции
- 3
Народ, кто сейчас ковыряет маппинг памяти в апексе под AMD-V, выручайте советом. Застрял на CR3, и ситуация максимально неприятная.
Суть проблемы: юзаю классический EPROCESS скан, но получаю на выходе 0x40000004088ff000. Очевидно, что EAC уже накинул туда свою отраву (poisoning), причем и в DirectoryTableBase (+0x028), и в UserDirectoryTableBase (+0x390) тишина. Печально, что при попытке чтения по адресу секции (0xe825834000) прилетает 0 байт, что подтверждает 0xeeee0001 (VA not present) или просто кривой CR3.
Что пробовал делать, чтобы обойти эту историю:
Кто сталкивался с подобным при работе с гипервизорами на AMD SVM? Есть подозрение, что нужно как-то иначе патчить или искать валидные таблицы, минуя эти отравленные значения в EPROCESS. Может, кто-то допиливал свои методы получения реального CR3, или есть смысл смотреть в сторону перехвата конкретных вызовов ядра, а не просто дампить память в лоб?
Короче, по фактам, если есть какие мысли по поводу обхода этой защиты — накидайте идей. Кто допиливал свои гиперы под подобные античиты, кидайте свои правки или хотя бы вектор, куда копать, чтобы не отлетать по мануалбану из-за кривого чтения.
Суть проблемы: юзаю классический EPROCESS скан, но получаю на выходе 0x40000004088ff000. Очевидно, что EAC уже накинул туда свою отраву (poisoning), причем и в DirectoryTableBase (+0x028), и в UserDirectoryTableBase (+0x390) тишина. Печально, что при попытке чтения по адресу секции (0xe825834000) прилетает 0 байт, что подтверждает 0xeeee0001 (VA not present) или просто кривой CR3.
Что пробовал делать, чтобы обойти эту историю:
- Физический брутфорс CR3: перебор в диапазоне результатов не дал, похоже, трачу время впустую.
- Пассивный VMEXIT сниффер: тоже мимо, EAC мониторит активность и, видимо, делает вид, что всё окей, пока не доходит до чтения нужных областей.
Кто сталкивался с подобным при работе с гипервизорами на AMD SVM? Есть подозрение, что нужно как-то иначе патчить или искать валидные таблицы, минуя эти отравленные значения в EPROCESS. Может, кто-то допиливал свои методы получения реального CR3, или есть смысл смотреть в сторону перехвата конкретных вызовов ядра, а не просто дампить память в лоб?
Короче, по фактам, если есть какие мысли по поводу обхода этой защиты — накидайте идей. Кто допиливал свои гиперы под подобные античиты, кидайте свои правки или хотя бы вектор, куда копать, чтобы не отлетать по мануалбану из-за кривого чтения.
