请选择 进入手机版 | 继续访问电脑版
设为首页收藏本站

梦织未来

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 3576|回复: 19

[原创] 【开源】Syscall Monitor 系统调用监控工具

[复制链接]

升级   63.33%

22

主题

2

精华

145

积分
发表于 2016-11-1 18:24:24 | 显示全部楼层 |阅读模式
支持所有NT6以上的windows x86或x64系统
使用之前必须确保系统支持和开启VT-X/EPT,本程序和其他不支持嵌套虚拟化的软件(如某某某安全卫士和某些国产网游)同时使用会导致不可预知的结果!
功能还在不断完善当中。。。

Tested in Win7 x64 7601, Win10 x64 14393
部分截图(不一定是最新的):
1.png
2.png
3.png
4.png

源码地址:https://git.oschina.net/hzqst/Syscall-Monitor
(不一定是最新版本)

build.tar.gz (1.95 MB, 下载次数: 128)

点评

请教大神,boost里的头文件为何没有  发表于 2016-12-22 21:32
回复

使用道具 举报

升级   100%

39

主题

4

精华

128

积分
发表于 2016-11-4 10:50:31 | 显示全部楼层
初步读了一下
1. 大概是基于 LPC机制的 R0-R3 通信
2. 使用 DDI Mon 的 shadow hook,但是没有使用全局变量 g_ddimonp_hook_targets 而是重写了一个类似原函数的东西? 为什么呢?
3. 不稳定性可能是 x64 下 GetSSDTBase 用的硬编码造成的
回复 支持 1 反对 0

使用道具 举报

升级   100%

216

主题

64

精华

1440

积分
发表于 2016-11-1 18:49:49 | 显示全部楼层
好棒!

下载看看过滤器支持类型什么操作~

用vt有点儿小遗憾...
回复 支持 反对

使用道具 举报

升级   100%

216

主题

64

精华

1440

积分
发表于 2016-11-1 21:20:36 | 显示全部楼层
兼容性还有点儿问题,虚拟机win7 64正常运行,本机win10 64蓝屏。

附上蓝屏文件方便楼主分析问题:
110116-22671-01.dmp (464.53 KB, 下载次数: 8)
回复 支持 反对

使用道具 举报

升级   100%

15

主题

3

精华

108

积分
发表于 2016-11-1 21:49:14 | 显示全部楼层
哇喔,真强大啊。向楼主学习
回复 支持 反对

使用道具 举报

升级   100%

19

主题

11

精华

68

积分
发表于 2016-11-1 22:07:34 | 显示全部楼层
好东西。学习了 .....
回复 支持 反对

使用道具 举报

升级   12%

18

主题

0

精华

68

积分
发表于 2016-11-2 08:59:27 | 显示全部楼层
多谢楼主开源和分享的精神
回复 支持 反对

使用道具 举报

升级   12%

18

主题

0

精华

68

积分
发表于 2016-11-2 09:14:31 | 显示全部楼层
win7x64 提示
---------------------------
Fatal Error
---------------------------
ZwLoadDriver failed with 0xC035001E
---------------------------
确定   
---------------------------
回复 支持 反对

使用道具 举报

升级   0.33%

10

主题

1

精华

201

积分
发表于 2016-11-3 00:31:10 | 显示全部楼层
VT技术,666,多谢楼主,等小菜开始学习vt的时候,可以学习一下。先mark一下
回复 支持 反对

使用道具 举报

升级   1.33%

1

主题

0

精华

52

积分
发表于 2016-11-3 14:36:59 | 显示全部楼层
厉害厉害 学习了~~
回复 支持 反对

使用道具 举报

升级   63.33%

22

主题

2

精华

145

积分
 楼主| 发表于 2016-11-4 14:28:07 | 显示全部楼层
本帖最后由 hzqst 于 2016-11-4 14:29 编辑
FadeC 发表于 2016-11-4 10:50
初步读了一下
1. 大概是基于 LPC机制的 R0-R3 通信
2. 使用 DDI Mon 的 shadow hook,但是没有使用全局变 ...

不稳定已经解决了,fix还没commit。是6代CPU会使用xsaves的缘故,你看梦大提供的DUMP就会发现崩溃处是XSAVES[RCX] 发生#UD了,根据intel手册发现是xsaves_xstors_exiting = false的缘故,正确做法应该让xsaves_xstors_exiting = true并设置vmcs的XSS EXITING BITMAP = 0
回复 支持 反对

使用道具 举报

升级   100%

39

主题

4

精华

128

积分
发表于 2016-11-8 15:54:04 | 显示全部楼层
hzqst 发表于 2016-11-4 14:28
不稳定已经解决了,fix还没commit。是6代CPU会使用xsaves的缘故,你看梦大提供的DUMP就会发现崩溃处是XSA ...

没时间看dump猜的
回复 支持 反对

使用道具 举报

升级   32%

0

主题

0

精华

16

积分
发表于 2016-11-16 08:41:47 | 显示全部楼层
厉害了,楼主真厉害
回复 支持 反对

使用道具 举报

升级   52%

6

主题

0

精华

26

积分
发表于 2016-11-24 11:39:38 | 显示全部楼层
要是不用vt就好了。
回复 支持 反对

使用道具 举报

升级   8%

0

主题

0

精华

4

积分
发表于 2016-12-23 09:00:12 | 显示全部楼层
多谢lz分析代码,学习了
回复 支持 反对

使用道具 举报

升级   44%

4

主题

1

精华

22

积分
发表于 2016-12-23 20:05:02 | 显示全部楼层
楼主    看到请回信
回复 支持 反对

使用道具 举报

升级   63.33%

22

主题

2

精华

145

积分
 楼主| 发表于 2016-12-23 20:59:29 | 显示全部楼层
Auller 发表于 2016-12-23 20:05
楼主    看到请回信

????????????
回复 支持 反对

使用道具 举报

升级   44%

4

主题

1

精华

22

积分
发表于 2016-12-23 21:58:29 | 显示全部楼层
hzqst 发表于 2016-12-23 20:59
????????????

为何程序编译不过去呢   缺失文件
回复 支持 反对

使用道具 举报

升级   22%

0

主题

0

精华

11

积分
发表于 2017-2-3 12:26:16 | 显示全部楼层
很参考价值,感谢楼主开源
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|Archiver|mengwuji ( 粤ICP备13060035号-1 )  

GMT+8, 2017-4-25 09:06 , Processed in 0.462471 second(s), 33 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表