turul16, szerintem kicsit vakargasd meg a virtualizációról szóló speckót (pláne, a már voltál kedves belinkelni - köszi). Gondold már végig. A buta rootkit lebukik azon, ahogy beül az oprendszer funkcinalitásába, és pl. mást ad vissza egy registry lekérdezéskor, mint ami a raw registry-ben van. A virtualzációról a legjobb közérthető megfogalmazást a Galaxis utikalauzban (nem azonos a szar filmmel ami a mozikban azonos címmel ment!!!) van megfogalmazva: nem veszed észre, hogy kicserélték az agyad, mert az új agyad nem fogja ezt megengedni, hogy észrevedd a cserét.
Másszóval: az összes arra irányuló kisérleted, hogy kiderítsd, hogy a proci csak 0.szintre hazudja magát kudarcra van ítélve, mert az érintett opkódok okozta megszakítást a virtualizációt futtató kód kezeli le, és ő majd jól megmondja a tutit :)
Tudtommal csak úgy bukhat le, hogy minden privilegizált utasítás tovább tart, mint kéne (a speckótól eltérő órajel ciklust igényel a végrehajtás). A belső óra elkezd másként járni (ha ez jutott eszedbe, hogy utánhangolod), amit azért lehet észlelni, ha csinálsz 1 másodpercig taskswitchet, és megszámolod, hogy hányszor tudtad végrehejtani. :)