初探360核晶
本文版权归原作者所有,转载请注明出处。
介绍
360 核晶是基于 CPU 嵌套虚拟化技术来绕过 Patch Guard 或 Kernel Patch Protection(内核修改保护,仅存在于 x64 位)的一项技术,使用这种技术,可用在 Windows x64 下对内核进行 Hook,从而达到更深层次的防护,Patch Guard 是 Windows x64 下保护内核的一种方式,定期在内核检查代码完整性,如果被修改则直接蓝屏。
作用
查阅相关资料,发现核晶主要目的还是防御 360 ,也就是保护自己被干掉,网上也有说开启核晶之后部分样本执行某些操作时没有拦截,对主防影响不大,没有开启核晶时,经过测试,常规敏感操作都会拦截,如自启动项、计划任务、线程注入、APC 注入等。
我在看到网上很多人发视频标题"过 360 核晶上线",自己测试后发现核晶对于木马上线应该是没有什么影响的,纯纯标题党。
已对当前环境做自动兼容
以前 360 核晶出来不久时,如果 CPU 不支持嵌套虚拟化或未开启时,那么 360 会提示当前环境不兼容,如图所示:
而现在经过实验,360 在遇到这种情况时会告诉你已对当前环境做自动兼容,甚至部分系统开了 CPU 嵌套虚拟化,也会提示:
如果出现这种提示,则大概率核晶是未完全开启的,可能有部分功能失效,目前还不知道体现在哪。在网上查阅相关资料,看到帖子(https://bbs.kafan.cn/thread-1776407-1-1.html)中网友的描述:"64位系统任务管理器的关闭消息,使用微软标准接口是不能防御的。",说是利用这种方式可以判断核晶是否开启:能否使用任务管理器来结束 360 窗口。
根据该网友描述以及测试,任务管理器可以在首页也就是刚打开的时候对结束任务,这里的结束任务似乎是结束窗口:
如果没有开启核晶,打开 360 安全卫士的窗口,结束任务是可以直接关闭 360 安全卫士的界面的,但主防没有挂:
如果完全开启或者或者是显示"已对当前环境做自动兼容"(这里关闭了 CPU 嵌套虚拟化),经过测试,是无法关闭 360 安全卫士的界面的:
即使显示"已对当前环境做自动兼容"时,自身窗口也无法被关闭,看来在 CPU 嵌套虚拟化没有开启时 360 也使用了其他方式来阻止自身窗口被关闭。
我觉得在 360 核晶完全开启的情况下,即使是驱动级的进程结束,应该也能防住,毕竟核晶修改了 windows 内核来 Hook,结果使用火绒剑依旧能够在开启 360 核晶的情况下结束 360 全家桶,不得不说火绒剑是真的猛。