反向探测>病毒虚拟机'特征

最新推荐文章于 2022-12-13 14:13:15 发布
最新推荐文章于 2022-12-13 14:13:15 发布
阅读量1.5k 收藏
点赞数 1
分类专栏: 畅想
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/45844193
版权

作为反病毒从业者常常使用一些在线虚拟机先行检查一下目标程序的性质.不仅方便简洁,还可以防止花不必要的时间在合法的程序上.
但是这样真的那么靠谱吗?其实如果恶意程序能够探测到开放杀软黑盒虚拟机内部结构并作以伪装可能会误导我们.
以下是两个著名的服务:
1金山火眼-使用者超过千万.
2Comodo-著名老牌在线行为检测虚拟机

理论上,只要我们的”内线”-提交的文件,能让对方按照我们的意图即使只返回一个二进制位的信息,我们就成功了.因为信息是由二进制组成.当我们可以重新这个探测-反馈过程的时候,一切都变得简单.
黑盒

思路:

  1. 我们想要知道虚拟机的特征结构.
  2. 我们能得到的信息是测试体行为的信息.
  3. ok.
  4. 改变测试体行为的信息使之表现出我们需要的信息.
使用方法:

编写一个程序探测当前系统的环境并将结果启动项,注册表名,新建文件名,文件夹名的形式创建.如下图我们得到:
火眼返回的信息

此外反病毒虚拟机是如何识别32bit或64bit程序的?

有如下可能:
1. 统统运行在64位系统下(小概率)
2. 分辨出应用程序在头部记录的程序标记,导向到不同虚拟机.(漏洞)
3. ……

如何防护这种探测:

这种防护不是容易.只能随机的环境.随机的硬件让病毒制作者无从下手.

dalerkd
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vmware 反虚拟检测
01-13
vmware 反虚拟检测
病毒引擎设计之虚拟查毒篇
weixin_30915951的博客
07-21 191
目录 2.1虚拟概论2.2加密变形病毒2.3虚拟实现技术详解2.4虚拟代码剖析2.4.1不依赖标志寄存器指令模拟函数的分析 2.4.2依赖标志寄存器指令模拟函数的分析2.5反虚拟技术 2.虚拟查毒 2.1虚拟概论 近些年,虚拟,在反病毒界也被称为通用解密器,已经成为反病毒软件中最引人注目的部分,尽管反病毒者对于它的运用还远没有达到一个完美的程度,但虚拟以其诸如"病毒指令码模...
(转载)反病毒引擎设计 --- 虚拟查毒篇
Kendiv's Box
01-17 4091
病毒引擎设计之虚拟查毒篇作者:NJUE 发文时间:2004.01.14  编者按:绪论《反病毒引擎设计之绪论篇》我们介绍了病毒技术的发展状况和一些病毒的特点和感染制。下面我们重点对虚拟查毒进行阐述。  目  录2.1虚拟概论2.2加密变形病毒2.3虚拟实现技术详解2.4虚拟代码剖析  2.4.1不依赖标志寄存器指令模拟函数的分析   2.4
反向探测>病毒虚拟"特征"
KD的疯狂实验室
05-02 828
之前有写过一篇反向探测>病毒虚拟特征”从理上探索了病毒分析虚拟可能的漏洞. 前段时间依据上文原理做了一项对公开提供服务的虚拟进行了简单测试
世界最快专业反病毒虚拟
安徽工业大学 小芳(数据库)
09-25 365
瑞星宣布研制出“世界最快专业反病毒虚拟”12月15日,《程序员》记者在出席“2009年瑞星云安全技术大会”中获悉:世界上最快的专业反病毒虚拟已经研制成功。瑞星在会上宣布,该反病毒虚拟将被应用于瑞星杀毒软件2010版,以及瑞星“云安全”平台的病毒自动处理系统之中。根据大会提供的实验室评测数据,这款由瑞星研制的专业研究型虚拟,比原来的传统虚拟运行速度高200倍。据业内专家表示,该
测量光伏探测器PN结品质因子与反向饱和电流的方法
02-26
由于制造工艺和生产条件的不同,光伏探测器的特征参量结品质因子和反向饱和电流有很大差别。提出一种PN结特征参量的间接测量方法,并对该测量方法所用的数值计算方法的收敛性进行数学证明。提出了两个使用开路电压和...
JAVA HTTP反向代理实现过程详解
08-18
主要介绍了JAVA HTTP反向代理实现过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
nginx反向代理
02-24
这里主要通过三个方面简单介绍nginx反向代理负载均衡nginx特点关于代理说到代理,首先我们要明确一个概念,所谓代理就是一个代表、一个渠道;此时就设计到两个角色,一个是被代理角色,一个是目标角色,被代理角色...
python 实现反向输出
06-08
# 题目:给一个不多于5位的正整数,要求:一、求它是几位数,二、逆序打印出各位数字。
反向器构成的施密特触发器
最新发布
04-18
反向器构成的施密特触发器
虚拟的设计与实现——C_C++&反病毒虚拟的研究与实现
12-05
虚拟的设计与实现——C_C++PDF格式.pdf 反病毒虚拟的研究与实现.pdf 希望对大家有用。
虚拟技术
巅峰测试
07-27 2646
 任何一个事物都不是尽善尽美,无懈可击的,虚拟也不例外。由于反虚拟执行技术的出现,使得虚拟查毒受到了一定的挑战。这里介绍几个比较典型的反虚拟执行技术: 首先是插入特殊指令技术,即在病毒的解密代码部分人为插入诸如浮点,3DNOW,MMX等特殊指令以达到反虚拟执行的目的。尽管虚拟使用软件技术模拟真正CPU的工作过程,它毕竟不是真正的CPU,由于精力有限,虚拟的编码者可能实现对整个Intel指令
检测是否在虚拟
Tommy(凌飞)的专栏
11-16 2022
   如何检测是否在虚拟中,网上的代码一般都是检测虚拟特性进行。原理就是通过汇编指令,引起异常。主要代码如下:// IsInsideVPCs exception filterDWORD __forceinline IsInsideVPC_exceptionFilter(LPEXCEPTION_POINTERS ep){  PCONTEXT ctx = ep->ContextRecord;
【读书小结】—— 基于虚拟的启发式扫描反病毒技术
BetaBin
04-13 3135
既然谈得是虚拟的启发式扫描反病毒技术,那么就该介绍下虚拟、启发式扫描的概念。 虚拟(VM),在反病毒界被称为通用解密器。具体做法是:用程序代码虚拟一个CPU来,同样也虚拟CPU的各个寄存器,甚至将硬件端口也虚拟出来,用调试程序调入被调的样本,将每一条语句放到虚拟环境中执行,这样就可以通过内存和寄存器以及端口的变化来了解程序的执行。这样的一个虚拟环境就是一个虚拟虚拟作为原操作系统下
病毒工具-VirtualKD
KD的疯狂实验室
05-21 1331
KD=Kernel Debug简介它是一款-虚拟辅助调试开源工具.版本支持情况:当前2.7版本支持Win8及以前系统.官网:http://virtualkd.sysprogs.org/ 当你需要高效地调试一台虚拟你需要它 双调试的时候,不管是Windbg+vmware,还是Windbg+1394,其调试速率都是相对比较低的,有时候执行一条p命令,Windbg的状态都会BUSY..好久…
网络靶场实战-网络对抗之反虚拟技术
蛇矛实验室
12-13 530
对抗反虚拟技术也是多种多样比如修改Vmware的.vmx文件就可以减轻虚拟被检测的可能;修改跳转指令等等。在文章的最后最后介绍一种对抗反虚拟技术,方法很多,仅给各位提供一个参考。在虚拟文件中找到下图的文件,之后用记事本打开,输入以下代码即可缓解反虚拟效果。
详解反虚拟技术
weixin_33962621的博客
03-22 843
为什么80%的码农都做不了架构师?>>> ...
检测虚拟
Viruslei的安全研究
12-27 1074
<br />虚拟被广泛应用于malware分析应用当中,因此越来越多的病毒会尝试检测其是否在虚拟当中。<br /> <br />检测的原理基本上基于差异检测,也就是虚拟和真实的差异。<br /> <br />资源差异。虚拟需要自己虚拟化硬件系统。所以如cpuid, 网卡 mac, 硬盘信息等是固定的。<br /> <br />指令执行差异,由于虚拟的bug或是特殊的实现方式,造成同一指令在虚拟和真实当中结果会有不同。<br /> <br /> 
opencv如何增加反向投影的图像特征c++
05-26
在OpenCV中,可以使用cv::calcBackProject()函数来计算反向投影的图像特征。 以下是一个简单的C++示例代码,演示如何使用反向投影来增强图像特征: ```c++ #include <opencv2/opencv.hpp> using namespace cv; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值