让数字x60杀软核晶失效的自适应模式

数字杀软的核晶模式，本质就是利用虚拟化的高权限，将操作系统置于guest客户机模式下，并利用虚拟化EPT机制，挂钩内核关键入库函数，从而接管系统调用流程(包括nt内核模块以及win32k)。这就是为什么一般开了核晶之后，各种操作都会被抓，因为你本质上在用户层做了很多工作，但是在内核还是被人家把底裤都给扒出来了。

虚拟化对于计算机硬件是有一定的要求，也并不是所有的CPU都支持开启硬件虚拟化，同时开启虚拟化后，会对机器的性能产生一定的影响，因为你的每个系统调用都要走一遍Guest->Host->Guest转换，同时对内存的访问也是一样的，要经过额外的一层EPT页表的转化。

这可能也就是装了数字杀软之后总感觉机器卡慢的一个原因吧。

关于VT代码编写的一些资料：

• https://github.com/Jhinxs/hvcv
• https://rayanfam.com/topics/hypervisor-from-scratch-part-6/
• https://github.com/zzhouhe/VT_Learn
• https://github.com/tandasat/HyperPlatform

核晶的自适应

所谓自适应模式，也是因为在计算机上其他的一些软件例如模拟器，vmware虚拟机系统，游戏反作弊系统等，都会开启虚拟化，此时如果杀毒软件再开启虚拟化，不仅会对系统性能造成大幅度影响，还会因为虚拟化只支持嵌套的缘故，自己的权限反而就没那么高了(这里取决于谁先开启虚拟化)。

所以杀软会在此做出一定的妥协(出现冲突要么卸载杀软，要么卸载游戏)，例如当你打开虚拟机软件的时候，数字杀软的核晶虚拟化功能会临时关闭，也就是进入所谓的自适应模式。

顶掉核晶

这里就有了一个思路，开启我们的虚拟化，让杀软的虚拟化暂时失效，自己去编写一个驱动开启VT是不现实的，且不说有驱动加载会被拦截，VT代码编写的门槛还是很高的，所以第二个思路就是去利用合法的软件来达到我们的目的。

合法的可以开启VT的软件可以从以下几个方面去找：

• 虚拟机软件，如Vmware，Vbox等
• 模拟器软件
• 反作弊客户端
• 加速器

原文始发于微信公众号（黑晶）：让数字x60杀软核晶失效的自适应模式