反虚拟机技术

最新推荐文章于 2024-01-10 12:05:00 发布
最新推荐文章于 2024-01-10 12:05:00 发布
阅读量1.2k 收藏
点赞数
分类专栏: Ring0 文章标签: 虚拟机 多线程 c 解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/farcall/article/details/6180090
版权

1:浮点运算的花指令 如果不是花指令则更好了

2:借助EPO思想,解密函数远离入口点

3:多线程技术

4:SEH技术

5:元多形技术MetaPolymorphy

慢慢总结

 

6:同浮点运算一样 借用SSE指令 这些随时会被AV补上  但是缺提供给我们一种思路

 

 

7:

 

这段代码的作用是:

通过没有 WSAStartup 前调用 gethostbyname 会返回10093错误来检测的:

代码: 
  0040171C                   |.  64:A1 34000000   mov eax,dword ptr fs:[34] ; 从teb中读取GetLastError数值给eax 
  00401722                   |.  69C0 01000100    imul eax,eax,10001
  00401728                   |.  35 58862413      xor eax,13248658
  0040172D                   |.  3D 35A14934      cmp eax,3449A135          ; 校验返回值
10093 这样乘出来正好是 0x3449A135。实际机器中直接gethostbyname会因为没有初始化而返回这个错误值,而虚拟环境中可能因为是个stub而GetLastError为0。

遇见你我该如何逃避你——虚拟机技术概述
weixin_43742894的博客
04-02 864
遇见你,我该如何逃避你?实际上我并想认识你。 “恶意代码”是一个非常神秘的人,他最不想的就是被别人发现和了解,而“调试”和“虚拟机”是“恶意代码”最不喜欢的俩个人,因为他们总是能认出“恶意代码”,并且还可以走进他的内心,了解“恶意代码”行为的原因。 “恶意代码”不想他们俩个人认出来,所以就想,遇见他们该如何躲开他们,保护自己神秘的形象,基于这些原因,他练出了自己逃避方法——虚拟机技术。 他的作战...
虚拟机技术虚拟机硬件化处理过检测
weixin_33898876的博客
09-30 3440
过检测虚拟机下载: k7.8x64下载地址①:https://yunpan.360.cn/surl_ydaQm3pwpEkk7.8x64下载地址②:https://pan.baidu.com/s/1iaCU-FZLs5ScEE3PPK1fLA 过检测说明介绍: 恶意代码编写者经常使用虚拟机技术逃避分析,这种技术可以检测自己是否运行在虚拟机中。如果恶意代码探测到自己在虚拟机中运行,它会执行与其本身...
vmware 虚拟机检测
01-13
vmware 虚拟机检测
详解虚拟机技术
热门推荐
houjingyi的博客
10-21 1万+
恶意代码编写者经常使用虚拟机技术逃避分析,恶意代码可以使用这种技术检测自己是否运行在虚拟机中。如果恶意代码探测到自己在虚拟机中运行,它会执行与其本身行为不同的行为,其中最简单的行为是停止自身运行。近年来,随着虚拟化技术的使用不断增加,采用虚拟机技术的恶意代码数量逐渐下降。恶意代码编写者已经开始意识到,目标主机是虚拟机,也并不意味着它就没有攻击价值。随着虚拟化技术的不断发展和普通应用,虚拟机
网络靶场实战-网络对抗之虚拟机技术
蛇矛实验室
12-13 712
对抗虚拟机技术也是多种多样比如修改Vmware的.vmx文件就可以减轻虚拟机被检测的可能;修改跳转指令等等。在文章的最后最后介绍一种对抗虚拟机技术,方法很多,仅给各位提供一个参考。在虚拟机文件中找到下图的文件,之后用记事本打开,输入以下代码即可缓解虚拟机效果。
恶意代码分析实战 14 虚拟机技术
农夫果园好好喝的博客
01-25 823
恶意代码用存在漏洞的x86指令来确定自己是否运行在虚拟机中。使用IDA载入脚本文件。给出了地址。第一处:这串字符串进行了修改。查看调用函数的位置。使用OD查看,EAX被赋值为了00DDCC000h,将会跳转,而不会创建线程。第二处:检测虚拟机特征。检测到之后,删除自身。第三处:检测到之后不会执行创建服务的操作。使用OD检查可知,所有的操作都会失效。可能与虚拟机的内核数量有关。sidt指令:多核机器上进行实验,ECX寄存器的值不是0xFF,所以失效。
Virtection:面向恶意软件研究的虚拟机技术测试工具
描述部分进一步说明了该工具作为一个网络安全项目的组成部分,其目的是帮助用户配置虚拟环境,以便在动态分析恶意软件时能够应对恶意代码中的虚拟机技术。动态分析是指在运行环境中观察恶意软件的行为,以此来分析...
Vmware强化虚拟机检测缓解加载器(虚拟机).rar
最新发布
10-23
然而,随着虚拟化技术的普及和应用,一些恶意软件和攻击者开始使用虚拟机技术来检测自己是否运行在虚拟环境中,以此来逃避安全软件的检测或进行针对性的攻击。因此,为了应对这种情况,Vmware等虚拟化软件厂商不断...
Windows下的虚拟机调试技术
qq_42101243的博客
06-17 1306
虚拟机调试技术 修改虚拟机设置: 在自己主机的虚拟机路径中找到Windows 7(专业版).vmx文件,用记事本打开,在其中输入一下代码,即可做到一种虚拟机效果。小技巧:先将打开的虚拟机暂停,之后再在指定路径和文件写入代码,之后再运行虚拟机,就可以达到效果,完成分析之后再恢复快照,已修改的虚拟机文件便可不用修改恢复即可恢复正常。 isolation.tools...
VMP3.6的调试和虚拟机
被遗弃的庸才博客
06-27 5768
看雪上有人泄露了3.6.0.1406,第一时间先下载下来,然后加壳之后扔进x32dbg,A debugger has been found....... 还能怎么办?右键回收站。正准备放弃的时候,想了想要不在看看,好吧那就在看看,结果一段瞎分析之后定位到了scylla没有处理完善的函数NtQueryInformationThread和QueryInformationProcess 你问我怎么定位的,全是某牛姓男子给我说的,还有需要注意的时这些api下执行是不会断下的,因为它自己shadow了一份syst
虚拟机技术总结
weixin_34068198的博客
04-10 394
2019独角兽企业重金招聘Python工程师标准>>> ...
虚拟机沙箱技术整理汇总
人饭子的博客
11-06 1494
虚拟机沙箱技术整理汇总安全狗的⾃我修养 2022-11-06 15:49 虚拟机沙箱技术整理汇总 延迟执⾏ 因为沙箱对样本运⾏时间有限制,使⽤已知的windows Api(例如NtDelayExecution, CreateWaitTableTImer,SetTimer等)将恶意代码的执⾏延迟了⼀段时间。 延迟执⾏ -GetTickCount 检查机器运⾏时间,创建超过设定时间的快照...
简单的虚拟机测试代码
LLC
05-10 4073
.text:00401400 .text:00401400 ; =============== S U B R O U T I N E ======================================= .text:00401400 .text:00401400 ; Attributes: bp-based frame .text:00401400 .text:00401400 sub
恶意代码分析-第十七章-虚拟机技术
每昔的博客
09-10 1314
目录 笔记 实验 Lab17-1 Lab17-2 Lab17-3 笔记 VMware痕迹:VMware虚拟环境在系统中遗留了很多的痕迹,特别是VMware Tools安装之后。可以通过操作系统的文件系统,注册表和进程列表中的标记痕迹探测VMware的存在。                        识别进程:VMwareService.exe  VMwareTray.exe V...
向探测>病毒虚拟机'特征
KD的疯狂实验室
05-19 1666
作为病毒从业者常常使用一些在线虚拟机先行检查一下目标程序的性质.不仅方便简洁,还可以防止花不必要的时间在合法的程序上. 但是这样真的那么靠谱吗?其实如果恶意程序能够探测到用来侦查杀软黑盒虚拟机结构. 以两个为例子: 1金山火眼 2Comodo
虚拟机保护 逆向思路
dhn987的博客
01-10 977
所以虚拟机保护技术,是将程序可执行代码转化为自定义的中间操作码(OperationCode,如果操作码是一个字节,一般可以称为Bytecode),用以保护源程序不被逆向和篡改,opcode通过emulator解释执行,实现程序原来的功能。从这里开始,本文所指的虚拟机都是私有实现的小型虚拟机,并不是指成熟的商用虚拟软件,例如VMProtect、Themida等,这些保护软件的逆向工作研究工作很多,不过比较完善和系统的解决方案还没有出现。·分析虚拟机入口,搞清虚拟机的输入,或者opcode位置。
虚拟机检测技术剖析
02-10 938
作者:riusksk (泉哥) 前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware,Virtual PC ,Vi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值