3.3 运行模式 基于不同的适用性,HyperDbg提供了两种操作模式,描述如下。 3.3.1 VMI模式。虚拟机内省(VMI)模式适用于常规用户应用程序调试和内核本地调试。虽然它通过提供对所有HyperDbg功能(包括调试、暂停和单步执行用户模式应用程序)的访问来提供传统的调试体验,但内核模式中断到调试器和单步执行是有限制的。VMI模式还允许在用户态和内核态中使用脚本和自定义代码进行本地或远程调试。 3.3.2 调试器模式。调试器模式是一种强大的操作模式,允许连接到内核并暂停系统以便通过内核和用户指令进行单步执行。在这里,调试连接是通过串行电缆或虚拟串行设备进行的。 3.3.3 透明模式。两种模式都可以在透明模式下使用,该模式通过尝试隐藏HyperDbg在时间和微架构级别上的存在来提供隐形调试。虽然恶意软件生成器和反恶意软件生产者之间的对抗动态是一个永无止境的过程,并且此模式不能保证100%的透明度,但它使反调试和反虚拟化方法更加具有挑战性。值得一提的是,HyperDbg已经免疫依赖于API特定方法来检测调试环境(例如自我调试二进制文件)的高级反调试方法。透明度的表现方法在第6节中描述,并在第7.1节中进行了彻底评估。
