[2021]EAC极其冷门的检测hypervisor的方法 huoji 二进制安全,游戏安全,汇编,Shellcode 2021-01-22 EAC极其冷门的检测hypervisor的方法 ### 微软官方介绍 <!--more--> > TPM 是增强计算机安全性和隐私的加密模块。 通过加密和解密保护数据、保护身份验证凭据以及证实系统上运行的软件是与计算机安全性相关联的基本功能。 TPM 对所有这些方案等有所帮助。 传统上来讲,TPM 是焊接到计算机主板的离散芯片。 此类实现允许计算机的原始设备制造商 (OEM) 评估和认证独立于系统其他部分的 TPM。 尽管离散 TPM 实现仍然很常见,但它们对于较小或电源消耗低的集成设备可能有问题。 某些较新的 TPM 实现将 TPM 功能集成到与其他平台组件相同的芯片集中,同时仍然提供类似于离散 TPM 芯片的逻辑分离。 TPM 是被动的:它们接收命令并返回响应。 若要实现 TPM 的完整优势,OEM 必须仔细地将系统硬件和固件与 TPM 集成,以向其发送命令并对它的响应作出反应。 TPM 最初旨在向平台的所有者和用户提供安全和隐私优势,但较新的版本可以向硬件本身提供安全和隐私优势。 但是,在将 TPM 用于高级方案之前,必须对其进行预配。 Windows 10 会自动预配 TPM,但如果用户重新安装操作系统,则他或她可能需要告知操作系统再次显式预配 TPM,然后它才能使用 TPM 的所有功能。 受信任的计算组 (TCG) 是发布和维护 TPM 规范的非盈利性组织。 TCG 存在的目的是开发、定义和推广供应商中立的全球行业标准,这些标准支持可互操作的受信任计算平台的基于硬件的信任根。 TCG 还使用公开提供的规范提交流程发布了 TPM 规范作为国际标准 ISO/IEC 11889,该流程是联合技术委员会 1 在国际标准化组织 (ISO) 和国际电工委员会 (IEC) 之间定义的。 OEM 实现 TPM 作为受信任计算平台中的组件,如 PC、平板电脑和手机。 受信任的计算平台使用 TPM 支持无法单独通过软件实现的隐私和安全方案。 例如,单独借助软件无法可靠地报告在系统启动过程种是否存在恶意软件。 TPM 和平台之间的紧密集成增加了启动过程的透明度,并支持通过启用可靠的测量和报告启动设备的软件来评估设备运行状况。 TPM 的实现是受信任计算平台的一部分,可提供硬件信任根,即,它以受信任的方式运行。 例如,如果存储在 TPM 中的项具有不允许导出项的属性,则该项确实无法离开 TPM。 TCG 将 TPM 设计为低成本、大批量出售的安全解决方案,可应对不同客户细分的要求。 不同 TPM 实现的安全属性有所不同,就像不同部门的客户和法规要求有所不同一样。 例如,在公共部门的采购中,有些政府明确定义了 TPM 的安全要求,而有些政府则没有。 TPM(以及通常的技术)的认证计划随着创新速度的加快而不断发展。 虽然有 TPM 明显比没有 TPM 好,但 Microsoft 的最佳建议是确定组织的安全需要并调查与行业的采购相关联的任何法规要求。 结果是使用的方案、保证级别、成本、方便性和可用性之间达到一种平衡。 ### 第二段介绍: > TPM(Trusted Platform Module,TPM),可信平台模块,是嵌入在您的计算机主板上的芯片, 有助于实现防篡改全盘加密,而无需极长的复杂密码短语。 这就是BitLocker在带有TPM芯片的计算机上通常工作得更好的原因。 您仍然可以使用BitLocker加密没有TPM芯片的计算机上的整个磁盘, 但每次打开时都会输入长密码。 此外,Windows 10广泛使用TPM并将其深入集成到Windows系统中 以实现其安全增强功能,例如Device Guard和Windows Hello for Business 然后EAC调用tbs.sys->Tbsip_Submit_Command ,buff是80 01 00 00 00 0E 00 00 01 73 81 01 00 01 调用ReadPublic 属性 TBS_HCONTEXT 是 0x81010001 就会产生一个异常(因为这个handle压根不对) 大部分虚拟机没有catch住这个异常 直接崩溃 ```cpp TBS_RESULT Tbsip_Submit_Command( _In_ TBS_HCONTEXT hContext, _In_ TBS_COMMAND_LOCALITY Locality, _In_ TBS_COMMAND_PRIORITY Priority, _In_ const PCBYTE *pabCommand, _In_ UINT32 cbCommand, _Out_ PBYTE *pabResult, _Inout_ UINT32 *pcbOutput ); ``` 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。
还不快抢沙发