NewBluePill源码学习 <一>

NewBluePill的源码也看的差不多了，一直说等有时间了再写学习的一些心得，拖来拖去弄到现在了，时间不是等来的，慢慢开始吧。

0x00     初识硬件虚拟化

硬件虚拟化对大数人来讲还是比较陌生。什么是硬件虚拟化？因为早期的虚拟机都是进程级虚拟机，也就是作为已有操作系统的一个进程，完全通过软件的手段来模拟硬件，软件再翻译内存地址的方法实现物理机器的模拟，这样虚拟效率较低，资源利用率低。之后Intel和AMD相继推出了支持硬件虚拟化的处理器，所谓硬件虚拟化，也就是在硬件抽象层对虚拟技术提供直接支持，提高虚拟效率。我们之前提到过在进程级虚拟机中的客户机访问的物理地址需要经过软件的再次转化成真实机器的物理地址，而且也需要给不同的客户机操作系统编写不同的虚拟设备驱动程序从而可以共享同一真实的硬件资源。而硬件虚拟化则是实现了内存地址甚至与I/O设备的直接映射，无需经过再一次的转换。而硬件虚拟化技术中引出了一个重要的概念——VMM（Virtual Machine Monitor），使硬件虚拟化技术产生的一个新的特权级，用来处理虚拟硬件和真实硬件的通信和一些事件的处理，因此其系统权限在操作系统之上，产生了一个新的特权级“Ring -1”。可以简单理解为利用硬件虚拟化技术可以让我们的代码运行在操作系统之下，监视整个操作系统的运行。

0x01     VT与NewBluePill

VT是Intel的硬件虚拟化技术，已经流行多年，但关于VT的资料并不多。之前有大牛利用VT写出的调试器插件可以直接无视反调试，而学习VT技术，最好的资料莫过于NewBluePill源码http://www.invisiblethingslab.com/itl/Resources.html (以下简称nbp)，nbp是2007年由Invisible Things Lab公布，为nbp-0.32-public版本。其中实现了一个基本的VMM，可以在操作系统运行时动态加载和卸载，在操作系统不知情的情况下将操作系统置于虚拟机中运行和内存隐藏技术。虽然nbp支持Intel和AMD虚拟化，但在我们之后分析的重点是Intel的虚拟化，也就是主要学习的是VT技术。

0x02    NewBluePill编译及调试

nbp的源码已经上传到网盘中点击下载，可自行进行下载。关于编译环境，我的是WDK7600，VMWare+Windows 7 X64 Ultimate SP1虚拟机。对于WDK的环境配置与虚拟机的安装就不在此进行赘述了，安装好编译环境之后，在WDK的Win7命令行编译环境中（Check版本）运行nbp-0.32-public\nbp-0.32-public\build_code.cmd。

如图所示则编译成功，在bin目录下生成了nbp-0.32-public\amd64\newbp.sys文件。

在虚拟机的设置中需要将虚拟化选项选中。我使用的是VMWare10。

在nbp-0.32-public\common\newbp.c文件中的DriverEntry的开始部分加上代码，使程序运行时中断到WinDBG调试器：

#ifdef _DEBUG
   CmDebugBreak();   //int 3
#endif // _DEBUG