虚拟机检测与反检测相关

最新推荐文章于 2022-03-18 16:58:52 发布
最新推荐文章于 2022-03-18 16:58:52 发布
阅读量4.8k 收藏 5
点赞数
分类专栏: 逆向工程 Windows Dev 文章标签: 虚拟机 exception vmware function 汇编 byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/devday/article/details/6842565
版权

虚拟机软件的漏洞和虚拟机执行环境的检测与反检测(一)

虚拟机软件的漏洞和虚拟机执行环境的检测与反检测(二)

vmware的检测与反检测

检测虚拟机汇编代码

漏洞法检测虚拟机

虚拟机检测技术剖析

检测源码:

#include <windows.h>
#include <stdio.h>

BOOL gInVMWARE, gInVirtualPC;

BOOL VMWareTest()
{
BYTE PortValue1,PortValue2;
__try
{
    __asm
    {
      pushad 
      pushfd
      xor ebx,ebx
      mov ecx,0xa 
      mov eax, 'VMXh'        ; EAX=magic    //564D5868
      mov dx, 'VX'            ; DX=magic
      in eax, dx            ; specially processed io cmd
      cmp ebx, 'VMXh'        ; also eax/ecx modified (maybe vmw/os ver?)
      sete al;
    movzx eax, al
      mov gInVMWARE, eax;
      popfd
      popad
    }
}
__except(EXCEPTION_EXECUTE_HANDLER)
{
    gInVMWARE=FALSE;
}
return gInVMWARE;
}

BOOL VirtualPCTest()
{
__try
{
    __asm
    {
      pushad      
      mov ebx, 0 // Flag
      mov eax, 1 // VPC function number
      __emit 0Fh
      __emit 3Fh
      __emit 07h
      __emit 0Bh
      test ebx, ebx
    sete al
    movzx eax, al
      mov gInVirtualPC , eax;
      popad
    }

}
__except(EXCEPTION_EXECUTE_HANDLER)
{
    gInVirtualPC=FALSE;
}
return gInVirtualPC;
}

BOOL VMTest()
{
    ULONG xdt = 0 ;
    ULONG InVM = 0;
    __asm
    {
        push edx
            sidt [esp-2]
            pop edx
            nop
            mov xdt , edx
    }
    printf("idt = %08x\n" , xdt);
    if (xdt > 0xd0000000)
    {
        //printf("IDT Test :running in vm!\n");
        InVM = 1;
    }
    else
    {
        InVM = 0;
    }
    __asm
    {
        push edx
            sgdt [esp-2]
            pop edx
            nop
            mov xdt , edx
    }
    
    printf("gdt = %08x\n" , xdt);
    
    if (xdt > 0xd0000000)
    {
        InVM += 1;
    }
    else
    {
        InVM += 0;
    }
    return InVM;
}

int main()
{
    if (VMWareTest())
    {
        printf("In Vmware !!!");
    }
    else if (VirtualPCTest())
    {
        printf("In VirtualPC!!!!");
    }
    else if (VMTest())
    {
        printf("In VM !");
    }
    else
    {
        printf("In Host!");
    }
    
    getchar ();
    return 1;
}


过虚拟机中Themida检测方法:
两步可以通吃很多Anti-vmware的方法

第一步是在虚拟机系统的配置文件添加 

monitor_control.restrict_backdoor = "true"

关闭后门

第二步建议开起虚拟机,然后虚拟机 - 设置 - Hardware - Processors - 禁止加速二进制翻译勾起

或添加

disable_acceleration = "TRUE"



其它参考:

http://forum.eviloctal.com/thread-31834-1-1.html

大招至胜
关注
专栏目录
检测虚拟机
09-29
=已经过了检测,目前我只设置了win7的系统=已经过了检测,目前我只设置了win7的系统
虚拟机检测技术攻防
whatday的专栏
08-27 5万+
前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware,Virtual PC ,VirtualBox),你可以在一台物
vmware 虚拟机检测
01-13
vmware 虚拟机检测
虚拟机软件的漏洞和虚拟机执行环境的检测检测——McAfee研究员 孙冰
weixin_34005042的博客
02-17 421
1、最近发生的关于虚拟机软件的漏洞 VM产品的漏洞有一些特殊性,涉及到几个操作环境,比如有主操作系统、客操作系统,还有一个比较特殊的是它的虚拟机管理器里面也可能有漏洞。我列出了大概五种可以产生漏洞的地方。 首先是VMM本身可能有漏洞,我列出了三个。其中有一个是比较新的,是在x64系统模拟上VMM存在漏洞,这使Guest OS可以提升本地权限。当然在Gu...
详解虚拟机技术
houjingyi的博客
10-21 1万+
恶意代码编写者经常使用虚拟机技术逃避分析,恶意代码可以使用这种技术检测自己是否运行在虚拟机中。如果恶意代码探测到自己在虚拟机中运行,它会执行与其本身行为不同的行为,其中最简单的行为是停止自身运行。近年来,随着虚拟化技术的使用不断增加,采用虚拟机技术的恶意代码数量逐渐下降。恶意代码编写者已经开始意识到,目标主机是虚拟机,也并不意味着它就没有攻击价值。随着虚拟化技术的不断发展和普通应用,虚拟机
虚拟机检测检测学习报告
weixin_45788869的博客
03-18 959
成果: 1、实现了通过特权指令in,检测虚拟机。 2、实现了绕过上述检测。通过修改虚拟机配置文件,关闭特权指令。 经验: 1、测试了利用IDT检测虚拟机。(失败) 2、测试了利用LDT检测虚拟机。(失败) 3、测试了利用GDT检测虚拟机。(失败) 4、测试了利用STR检测虚拟机。(失败) 5、测试了利用时间差检测虚拟机。(失败) 6、知晓了注册表检测虚拟机的方法。(未测试) 7、知晓了在C++中嵌入汇编代码。以及汇编的字符赋值方式。 8、知晓了administrator不是windows 最高权限,syst
VM虚拟机检测.rar
08-23
VM虚拟机检测 VM虚拟机检测
Vmware强化虚拟机检测缓解加载器(虚拟机).rar
最新发布
10-23
Vmware强化虚拟机检测缓解加载器(虚拟机
易语言检测程序是不是在虚拟机中运行的代码
08-26
然而,需要注意的是,虚拟机检测技术可能会随着虚拟化软件的更新而变得无效,因此这种方法可能需要定期更新以应对新的虚拟机环境。此外,这种检测方法也可能被调试技术所利用,以防止程序被逆向工程分析。
虚拟机检测工具
12-25
分析本机是否支持虚拟机使用工具,非常使用,快捷,简单
虚拟机检测检测学习报告(一)
weixin_30335575的博客
12-08 155
虚拟机检测检测学习报告 成果: 1、实现了通过特权指令in,检测虚拟机。 参考资料:https://bbs.pediy.com/thread-119969.htm 2、实现了绕过上述检测。通过修改虚拟机配置文件,关闭特权指令。 参考资料:http://blog.csdn.net/whf727/article/details/6369140 经验: 1、测试了利用IDT检测虚拟机...
vm虚拟机最新检测_Maze勒索软件使用Ragnar Locker虚拟机技术
weixin_39610468的博客
12-09 615
文章来源:https://securityaffairs.co原文链接:https://securityaffairs.co/wordpress/108420/malware/maze-ransomware-vm.htmlMaze勒索软件操作员现在使用虚拟机对计算机进行加密,这是Ragnar Locker恶意软件先前采用的一种策略。Maze勒索软件运营商采用了一种新策略来逃避检测,他们的...
微服务架构开发实战:基于容器的部署与发布微服务,30K有望了
weixin_50666791的博客
09-18 472
基于容器的部署与发布微服务 在微服务架构系统中包含了大量的服务,并且服务之间存在复杂的依赖关系,以拓扑的形式运行并相互协作,如果部署的时候采取方式来解决整体的依赖、配置通信的协议和地址等,那么重新部署到新环境的成本会非常高。而容器技术提供了一种将所有的服务能够迅速快捷地重新部署的方案,并且可以根据需求进行横向的扩展,且保证高可用性,在出现问题的时候可以自动重启或者启动备份服务。 虚拟化技术 所谓虚拟化技术就是将事物从一种形式转变成另一种形式,最常用的虚拟化技术有操作系统中内存的虚拟化,实际运.
vm虚拟机最新检测_Dart虚拟机运行原理
weixin_39976382的博客
11-20 1758
作者 | Gityuan一、Dart虚拟机1.1 引言Dart VM是一种虚拟机,为高级编程语言Dart提供执行环境,但这并意味着Dart在D虚拟机上执行时,总是采用解释执行或者JIT编译。例如还可以使用Dart虚拟机的AOT管道将Dart代码编译为机器代码,然后运行在Dart虚拟机的精简版环境,称之为预编译运行时(precompiled runtime)环境,该环境不包含任何编译器组件...
VMware绕过软件的虚拟机检测
热门推荐
nianbingsihan的博客
07-23 5万+
部分软件启动后会检测其是否运行在虚拟机中,如果是则退出. 下面给出绕过虚拟机检测的方法: 1.修改虚拟机vmx文件. 关闭虚拟机,前往虚拟机目录,找到.vmx后缀的文件,如WinXP.vmx,备份原文件后,使用Notepad++打开,在末尾添加一行: monitor_control.restrict_backdoor = "true" 重启虚拟机即可.   如果还不行,请参考: ...
VM跳过虚拟检测(游戏多开,虚拟机录制视频)
loveqqcc的博客
03-14 3万+
方法一: 防检测代码 3条:(该方法能用,尽力不要用下面几种方法!) 同样添加至 “.vmx配置文件” 末尾! ! ! monitor_control.virtual_rdtsc = “false” monitor_control.restrict_backdoor = “true” monitor_control.disable_directexec = “true” 方法二: 防检测代码 7...
防止虚拟机被应用程序检测
执著^松鼠
11-18 6085
防止虚拟机被应用程序检测 网上转载的,不知道原始出处在哪里(诶,好像大家都习惯转载不留原始出处信息)。留个底,说不定哪天会用到呢。 某不靠谱银行(就不指名道姓了,大家心照不宣)的网银专业版检测到运行在虚拟机里就拒绝登录。有个办法是花钱买牠家的 USB Key,映射到虚拟机 guest 里。如果不想花钱,就只好用下面的方法欺骗一下。孟子说,君子可欺之以方。对某银行 IT 部这群偏执狂,更可以
vmware检测检测
xumaojun的专栏
09-29 3302
先说3种方法 代码: #include #include BOOL gInVMWARE, gInVirtualPC; BOOL VMWareTest() { BYTE PortValue1,PortValue2; __try {     __asm     {       pushad       pushfd       xor ebx,ebx  
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值