VXK 分别发 VT调试NP HS XTRAP 等等 给各大XX产商吧

检测有什么难的，最多试一试
按照Intel/AMD的手册
CPUID 检查
try{
    写CR4，MSR，VMXON
    准备控制块
  VMLAUNCH/VMRUN
  支持
}
catch
{
   不支持
}

进来了解了解一下  学习了 感谢分享

最后一张截图是为了把AMD也对比测试一下，看看什么结果！总之，VMware、securable、DTdebug、Intel、AMD和海风月影中间肯定有一个是有BUG的，我们该相信谁呢？最不该相信谁呢？有兴趣的朋友可以一探究竟，千万不可只看表面现象，班门弄斧、妄下结论，否则误入歧途啊。。。。。。。把技术功底打扎实才是硬道理！

你拿E8400的CPU再截一张虚拟机里面securable的图给大家看看吧

为什么截了图而不放呢？

海风月影的结果是正确的
具体的技术细节就不说了 wildox自己好好研究研究吧， 班门弄斧、妄下结论，误入歧途啊。。。。。。。把技术功底打扎实才是硬道理！

hehe，这次我支持 海风月影

关注争论去向。。。

pediy是技术论坛吧, 应该发技术贴为主
看看wildox在8月份发的12个与技术无关贴
点我查看
要是我发这样的12个贴子,十有八九是删贴, 更可能封id
要是风月发这样的12个贴 子, 十有八九是合并主题
有没有后台不一样的
所以两位没必要讨论下去了
风月是来讨论技术的
wildox不是来讨论技术的, 他只是来发广告卖商品的
可以锁贴了
总结完毕
挖哈哈

海风还在玩vt啊。。。有没有出什么新东西啊，关于内存监控有资料？

新东西没有啊，没什么时间
内存监控连滴水VT调试器都没搞定，我这种菜鸟怎么会搞定呢？

我向来支持拿技术证据讨论的，所以我支持海风！！

wildox自己 班门弄斧、妄下结论，误入歧途，还说别人。。。我晕

输给海风月影和ccfer两位神级的人物也不算丢人嘛

都是被BAN过的
我对这点深有体会

支持海风月影, 鄙视卖东西还卖的这么嚣张的家伙.

诶.................
哥回的不是贴 是寂寞

滴水双机VT调试器试用版1.3文件组成分析报告

用解包工具解压安装包，将文件解出来

有如下目录和文件：

VSI                        -- 这个是目录，里面不用说了，全是Virtual SoftICE的驱动（非DT原创）

drivers.lnk                -- 快捷方式
DTSettings,1.exe        -- DT调试器设置工具
DTSettings,2.exe        -- 如果安装，只会出现一个
Log.txt                        -- 运行打印的信息
LoidSI1394.sys                -- Virtual SoftICE的1394驱动（非DT原创）
LoidSI8139.sys                -- Virtual SoftICE的8139网卡驱动（非DT原创）
LoidSiCore.sys                -- Virtual SoftICE的核心驱动（非DT原创）
LoidSiSerial.sys        -- Virtual SoftICE的Serial RPC驱动（非DT原创）
SI8139.dll                -- Patch Virtual SoftICE的核心驱动用的
SICore.dll                -- Patch Virtual SoftICE的8139网卡驱动用的
SiSerial.dll                -- Patch Virtual SoftICE的Serial RPC驱动用的
SIVNIC.inf                -- Virtual SoftICE的虚拟网卡驱动安装的inf（非DT原创）
SIVNIC.sys                -- Virtual SoftICE的虚拟网卡驱动（非DT原创）
VMXCMD.txt                -- 配置文件
vwx86.sys                -- VMWare 4.5.1的驱动
X86Hello.dll                -- #1，开VMWare虚拟机用的，具体怎么用还不清楚
X86World.dll                -- #2，开VMWare虚拟机用的，具体怎么用还不清楚
vmxcpux.sys                -- VT的主驱动
X86WDri.sys                -- 和上面的VT的主驱动一模一样（下面说）

上面可以看出来，DT的东西是：3个patch VSI驱动用的东西，VT的主驱动，和开启VMWare虚拟机用的东西。其他不是Compuware公司的就是VMWARE公司的。

好了，下面我仔细发掘了一下vmxcpux.sys和X86WDri.sys两个驱动，别看这两个驱动都有1.9M，其实，这两个驱动是一个驱动。

用WinHex比较一下两个驱动，发现，不同点基本上集中在data段。于是，用winhex搜索一下MZ标记，发现
vmxcpux.sys里面有2个内嵌的PE文件，抓出来后发现1个是SiCore.dll，1个是SiCore.sys
SiCore.dll比上面那个SICore.dll大一点，不过用处是一样的，而SiCore.sys和上面的LoidSiCore.sys是一模一样的，大家可以自己比较一下。然后我把vmxcpux.sys里面的这两个PE抓出来后，文件的位置全部清0，X86WDri.sys相应位置就2个MZ的头其他都是0，我把MZ头清掉，然后另存一下。然后用winhex比较一下两个文件，发现就2处不一样，一处是PE头里面的CheckSum，一个是data段的一个标记。原来两个文件是一模一样的。。。。。。

更加另外意外的是下面：我把两个文件保存完后用rar打包打算传上来，发现压缩后才19KB。。。
于是，用LordPE优化一下剥离两个PE之后的vmxcpux1.sys，惊现优化后大小：16KB！！

2个1.9M的驱动，剥离了2个PE，居然一模一样，而且实际大小只需要16KB，太强大了

小结一下：
除了VT部分是自己写的，其他部分都需要依靠VSI和VMWare运作，VT部分多大呢？16KB就足够了

另外上面标记的#1和#2还不懂是怎么用的，但是肯定和开启VMWare有关系，等研究过了再讨论

附件是我剥离的2个PE，以及剥离后优化过的文件
SiCore.sys和SICoreInter.dll是剥离出来的
vmxcpux1.sys和X86WDri1.sys是剥离完上面两个文件后重新计算了CheckSum的驱动文件
优化 vmxcpux1.sys是上面的vmxcpux1.sys用LordPE优化了一下的结果

上传的附件：

• dtdtdtdt.rar （280.84kb，195次下载）

路过 留名!

强大！
升温！
前排围观学习！

其实我在等滴蜡。

我要 OD插件 strongDT

看样子又是抄的，然后卖３００万！

太强大了. 这个分析过程值得学习.

他那个驱动1MB实则用来吓人的,让一般人看了不愿意逆向它而已~~

16KB ,好小啊 ~~~

另外说一下，vmxcpux.sys驱动会用VMWARE的驱动，重新加载到另一个空间去执行，所以用IDA不好逆

但是，如果了解VMWARE 4.5.1的工作原理，很容易能fix出一个可以逆向的驱动

这个我不懂了，等高手了

16KB驱动，除掉一堆的调试信息和PE信息代码不到500行吧~主要功能就是一个Patch，一个MmGetPhyxxx~

DevExt = DeviceObject->DeviceExtension;
        *(_DWORD *)DevExt = 0x1234567u;
        *((_DWORD *)DevExt + 130) = 0x76543210u;

1234567
7654321~

数学不错。

另外驱动还有本地提权漏洞