核晶简介

核晶利用了CPU的虚拟化技术（Intel的VT-x或者AMD的AMD-V），它本身的作用是绕过64位Windows内核的PatchGuard（正名Kernel Patch Protection，KPP），最终是用来辅助360监视系统的。

不过，有了核晶，也只是让360的监视更难被逃过、让病毒破坏360的难度更高。360是否能精准识别病毒、是否能妥善处置病毒，还需要其他技术支撑。

它只在64位Windows下有用，因为32位Windows可以随便Hook，压根不需要这玩意。

360先占了VT这个坑，后来的病毒就不能占了。所以最早版本的核晶也导致了一些问题：很多人安装虚拟机软件（包括安卓模拟器）时都因为“VT未开启”、“不支持VT”懵逼过，因为核晶先占了坑，其他虚拟机软件就不能利用这些CPU辅助虚拟化技术了。

360很早以前就开发了基于嵌套虚拟化技术的新版核晶，并且一直在不断更新，用来兼容同样使用VT技术的虚拟机软件。

简而言之，操作系统（只说Windows）内核、驱动都跑在内核态（对Intel来说就是ring0），权限最高；一般程序跑在用户态（ring3），如果程序想打开文件、想联网、想显示窗口……都得通过系统调用，让内核为它们服务；当然，系统会执行各种合法性检查，防止程序传入畸形的参数来劫持系统。

就好比你（用户态程序）去银行（内核）取钱一样，隔着防弹玻璃呢，办事都得按照规矩来。

杀软要逮住病毒，就需要监视系统，所以有个最简单粗暴的办法，就是加载一个内核驱动，让这个驱动做一件猥琐的事情：把正常的操作系统代码覆盖掉，改成先跳转到自己的函数里，执行检查、过滤、记录之类的，再跳回去继续执行——这就是所谓的Hook。所以，也有人吐槽“杀软是最大的病毒”嘛。

这样看上去简单粗暴，但对系统稳定性、对兼容性是有破坏的：

1.如果用户开了备份软件、抓包软件、系统监控软件、磁盘加密软件……这些软件可能都有Hook的需求，该怎么办呢？总不能大家一起争抢着去篡改同一处代码吧。

2.系统本身也是要升级的，如果系统更新了，代码已经改了，杀软还去按照老方法去篡改，轻者定位不到要改的地方，导致监控/拦截失效，重者把系统搞崩蓝屏。

3.微软没公开被Hook代码的技术细节，程序员只能靠逆向工程猜测理解。万一搞Hook的程序员理解错了，那就画美不看了。

这样简单粗暴的Hook本来就是没有基本法的，是没办法的办法。

所以，微软也提供了微过滤器、过滤驱动、内核回调这些机制，规范Hook行为——你要拦截啥？直接调用这个函数注册一个回调就好；不用了？调用另一个函数把回调取消掉吧。这样井井有条，避免冲突打架，用着也放心，无需逆向猜蒙；同时，64位Windows上，微软搞了一个猥琐的自校验机制PatchGuard，原理在内核里埋设一些很难找到、很难读懂也很难去除的代码，让它们不定时地执行一下自我检查，如果发现篡改，直接蓝屏“自杀”——微软告诉程序员们，搞Hook也是要守规矩的，别乱来。

具体来说，比如，虚拟机系统里触发了一次系统调用，或者预先特殊标记一块内存、等虚拟机要访问这块内存时，会先跳转到虚拟机监视程序（hypervisor，这里担当这个角色的就是360的核晶引擎）先进行处理（可以进行监视/过滤/拦截），然后再跳回到虚拟机操作系统的代码里继续运行。

这样不需要篡改操作系统的代码，稳定性兼容性都不错（最早的版本是不兼容同样使用VT的虚拟机软件的，但360后来做了升级，利用嵌套虚拟化技术来兼容虚拟机），还可以抵抗病毒木马可能使用的各种猥琐检测对抗手段，颇有点降维打击的味道……

红队蓝军二期免杀培训

红队蓝军二期免杀培训即将开始，暂定原价（正式开始招生时，价格一定会有所上浮），有意向的同学可提前预定（详情咨询下方wx），目前免杀班二期只剩几个名额。

我们不是多么牛逼的天花板大佬，但我们知无不言。你所在公众号/b站看到的免杀视频细节，都会在课程中讲解，课程详情请咨询下方微信：

核晶开启情况下kill360

今天给大家带来的是在开启了核晶的情况下直接结束360全家桶