一键击溃360全家桶+核晶
2022-10-8 08:56:32 Author: 红队蓝军(查看原文) 阅读量:101 收藏

核晶简介

核晶利用了CPU的虚拟化技术(Intel的VT-x或者AMD的AMD-V),它本身的作用是绕过64位Windows内核的PatchGuard(正名Kernel Patch Protection,KPP),最终是用来辅助360监视系统的。

不过,有了核晶,也只是让360的监视更难被逃过、让病毒破坏360的难度更高。360是否能精准识别病毒、是否能妥善处置病毒,还需要其他技术支撑。

它只在64位Windows下有用,因为32位Windows可以随便Hook,压根不需要这玩意。

360先占了VT这个坑,后来的病毒就不能占了。所以最早版本的核晶也导致了一些问题:很多人安装虚拟机软件(包括安卓模拟器)时都因为“VT未开启”、“不支持VT”懵逼过,因为核晶先占了坑,其他虚拟机软件就不能利用这些CPU辅助虚拟化技术了。

360很早以前就开发了基于嵌套虚拟化技术的新版核晶,并且一直在不断更新,用来兼容同样使用VT技术的虚拟机软件。

简而言之,操作系统(只说Windows)内核、驱动都跑在内核态(对Intel来说就是ring0),权限最高;一般程序跑在用户态(ring3),如果程序想打开文件、想联网、想显示窗口……都得通过系统调用,让内核为它们服务;当然,系统会执行各种合法性检查,防止程序传入畸形的参数来劫持系统。

就好比你(用户态程序)去银行(内核)取钱一样,隔着防弹玻璃呢,办事都得按照规矩来。

杀软要逮住病毒,就需要监视系统,所以有个最简单粗暴的办法,就是加载一个内核驱动,让这个驱动做一件猥琐的事情:把正常的操作系统代码覆盖掉,改成先跳转到自己的函数里,执行检查、过滤、记录之类的,再跳回去继续执行——这就是所谓的Hook。所以,也有人吐槽“杀软是最大的病毒”嘛。

这样看上去简单粗暴,但对系统稳定性、对兼容性是有破坏的:

1.如果用户开了备份软件、抓包软件、系统监控软件、磁盘加密软件……这些软件可能都有Hook的需求,该怎么办呢?总不能大家一起争抢着去篡改同一处代码吧。

2.系统本身也是要升级的,如果系统更新了,代码已经改了,杀软还去按照老方法去篡改,轻者定位不到要改的地方,导致监控/拦截失效,重者把系统搞崩蓝屏。

3.微软没公开被Hook代码的技术细节,程序员只能靠逆向工程猜测理解。万一搞Hook的程序员理解错了,那就画美不看了。

这样简单粗暴的Hook本来就是没有基本法的,是没办法的办法。

所以,微软也提供了微过滤器、过滤驱动、内核回调这些机制,规范Hook行为——你要拦截啥?直接调用这个函数注册一个回调就好;不用了?调用另一个函数把回调取消掉吧。这样井井有条,避免冲突打架,用着也放心,无需逆向猜蒙;同时,64位Windows上,微软搞了一个猥琐的自校验机制PatchGuard,原理在内核里埋设一些很难找到、很难读懂也很难去除的代码,让它们不定时地执行一下自我检查,如果发现篡改,直接蓝屏“自杀”——微软告诉程序员们,搞Hook也是要守规矩的,别乱来。

具体来说,比如,虚拟机系统里触发了一次系统调用,或者预先特殊标记一块内存、等虚拟机要访问这块内存时,会先跳转到虚拟机监视程序(hypervisor,这里担当这个角色的就是360的核晶引擎)先进行处理(可以进行监视/过滤/拦截),然后再跳回到虚拟机操作系统的代码里继续运行。

这样不需要篡改操作系统的代码,稳定性兼容性都不错(最早的版本是不兼容同样使用VT的虚拟机软件的,但360后来做了升级,利用嵌套虚拟化技术来兼容虚拟机),还可以抵抗病毒木马可能使用的各种猥琐检测对抗手段,颇有点降维打击的味道……

红队蓝军二期免杀培训

wx),目前免杀班二期只剩几个名额。

我们不是多么牛逼的天花板大佬,但我们知无不言。你所在公众号/b站看到的免杀视频细节,都会在课程中讲解,课程详情请咨询下方微信:

核晶开启情况下kill360

今天给大家带来的是在开启了核晶的情况下直接结束360全家桶


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDY2MTQ1OQ==&mid=2247503750&idx=1&sn=61f8d9ca458674d44de0019aeb39a875&chksm=ce67753af910fc2cb20170a97e7b519082c5f51805d6b86cc39b1469217e4c3539d61a9ba3f9#rd
如有侵权请联系:admin#unsafe.sh