记一次虚拟化下的detour框架实现

1.Detour机制基础 1.1 什么是Detour？ 在虚拟化安全监控领域，我们经常需要监控Guest OS内部的关键操作——进程创建、权限提升、内存映射变化等。传统的EPT（Extended Page Table）监控虽然可以捕获内存访问，但存在明显的局限性： 语义鸿沟：从"某个地址被写入"推断"进程被创建"需要复杂的分析 性能开销：细粒度的内存监控会产生大量VM-Exit 覆盖盲区：纯寄存器操作、链表修改等无法通过内存监控捕获 因此，我们需要一种更直接的方法：在关键函数的入口和出...