虚拟机检测与反检测相关

最新推荐文章于 2021-11-07 18:39:11 发布
最新推荐文章于 2021-11-07 18:39:11 发布
阅读量807 收藏 2
点赞数
文章标签: 运维

虚拟机软件的漏洞和虚拟机执行环境的检测与反检测(一)

虚拟机软件的漏洞和虚拟机执行环境的检测与反检测(二)

vmware的检测与反检测

检测虚拟机汇编代码

漏洞法检测虚拟机

虚拟机检测技术剖析

检测源码:

#include <windows.h> #include <stdio.h> BOOL gInVMWARE, gInVirtualPC; BOOL VMWareTest() { BYTE PortValue1,PortValue2; __try { __asm { pushad pushfd xor ebx,ebx mov ecx,0xa mov eax, 'VMXh' ; EAX=magic //564D5868 mov dx, 'VX' ; DX=magic in eax, dx ; specially processed io cmd cmp ebx, 'VMXh' ; also eax/ecx modified (maybe vmw/os ver?) sete al; movzx eax, al mov gInVMWARE, eax; popfd popad } } __except(EXCEPTION_EXECUTE_HANDLER) { gInVMWARE=FALSE; } return gInVMWARE; } BOOL VirtualPCTest() { __try { __asm { pushad mov ebx, 0 // Flag mov eax, 1 // VPC function number __emit 0Fh __emit 3Fh __emit 07h __emit 0Bh test ebx, ebx sete al movzx eax, al mov gInVirtualPC , eax; popad } } __except(EXCEPTION_EXECUTE_HANDLER) { gInVirtualPC=FALSE; } return gInVirtualPC; } BOOL VMTest() { ULONG xdt = 0 ; ULONG InVM = 0; __asm { push edx sidt [esp-2] pop edx nop mov xdt , edx } printf("idt = %08x\n" , xdt); if (xdt > 0xd0000000) { //printf("IDT Test :running in vm!\n"); InVM = 1; } else { InVM = 0; } __asm { push edx sgdt [esp-2] pop edx nop mov xdt , edx } printf("gdt = %08x\n" , xdt); if (xdt > 0xd0000000) { InVM += 1; } else { InVM += 0; } return InVM; } int main() { if (VMWareTest()) { printf("In Vmware !!!"); } else if (VirtualPCTest()) { printf("In VirtualPC!!!!"); } else if (VMTest()) { printf("In VM !"); } else { printf("In Host!"); } getchar (); return 1; }

过虚拟机中Themida检测方法:
两步可以通吃很多Anti-vmware的方法

第一步是在虚拟机系统的配置文件添加

monitor_control.restrict_backdoor = "true"

关闭后门

第二步建议开起虚拟机,然后虚拟机-设置-Hardware-Processors-禁止加速二进制翻译勾起

或添加

disable_acceleration = "TRUE"


其它参考:

http://forum.eviloctal.com/thread-31834-1-1.html

iteye_17686
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vmware 虚拟机检测
01-13
### VMware 虚拟机检测 #### 一、概述 在当今复杂的网络安全环境中,虚拟化技术的应用日益广泛。其中,VMware作为业界领先的虚拟化解决方案之一,被广泛应用于各种场景之中。然而,在某些特殊应用场景下(如游戏...
通过虚拟机实现裸机汇编环境
cmiao-me
05-01 1679
通过虚拟机实现裸机汇编环境 1. 简述 操作系统带来便利的同时也引入了大量限制,在操作系统存在时,我们编写的程序不能直接被硬件加载。我们必须按照操作系统的约定,把程序编译成特定的可执行文件格式(比如Windows的PE文件格式,Linux的ELF文件格式)。执行程序时,由操作系统读取可执行文件,选择合适的内存空间,并将代码和数据加载到内存中相应位置,这样程序才能被处理器所执行,在程序执行过程中遇到...
虚拟机中冒险
Matrix_Designer的专栏
08-07 1847
其实只需要在vmx文件增加下面一行: isolation.tools.getVersion.disable = "TRUE" 有的人说需要增加: isolation.tools.getVersion.disable = "TRUE" monitor_control.di
虚拟机检测技术攻防
热门推荐
whatday的专栏
08-27 5万+
前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware,Virtual PC ,VirtualBox),你可以在一台物
JDK虚拟机性能监控与故障处理工具
mysql数据库 innodb存储引擎怎么创建好索引
01-02 297
1、jps (Jvm process status tool) :显示指定系统内所有的HotSpot虚拟机进程 命令格式: jps [options][hostid] 例如: jps -l 选项和作用: -q: 只输出LVMID,省略主类名称 -m: 输出虚拟机进程启动时传递给主类main()函数的参数 -l: 输出主类全名,如果执行的时jar包,会输出jar路径 -v:输出虚拟机启动时JVM...
jdk源码解析(五)——虚拟机性能监控与故障处理工具
sinat_38259539的博客
10-14 848
前面有一定的了解jvm、这里就了解一下怎么查看虚拟机,也就是对jvm的一个监控。 这里主要讲解jvm的相关工具以及使用: 1定义问题的思路 给一个系统定位问题的时候,知识,经验是关键基础,数据是依据,工具是运用知识处理数据的手段。这里说的数据包括:运行日志,异常堆栈,GC日志,线程快照,堆转储快照等; 2 jvm工具之jdk的命令行工具 jdk 的bin 目录是jdk的工具目录,这些
VM虚拟机检测.rar
08-23
VM虚拟机检测 VM虚拟机检测
虚拟机检测工具(检测虚拟机是否去虚拟化)
最新发布
12-01
本篇将详细解析虚拟机检测工具以及去虚拟化的重要性。 虚拟机检测工具的主要功能是检测系统是否正在运行在一个虚拟化的环境中。这些工具通常会检查各种硬件特征、操作系统层面的线索,甚至软件行为模式,来判断是否...
检测虚拟机
09-29
=已经过了检测,目前我只设置了win7的系统=已经过了检测,目前我只设置了win7的系统
易语言源码易语言汇编检测虚拟机源码.rar
03-31
在安全领域,检测虚拟机源码可以帮助识别恶意软件是否在试图逃避虚拟机检测,从而提高病毒软件的有效性。 在提供的压缩包"易语言汇编检测虚拟机源码"中,可能包含以下知识点: 1. 易语言基础:包括易语言的基本...
虚拟机性能监控与故障处理工具
github_38730134的博客
11-07 1129
虚拟机性能监控与故障处理工具 概述 给一个系统定位问题时,知识、经验是关键基础,数据是依据,工具是运用知识处理数据的手段。这里的数据包括:运行日志、异常堆栈、GC日志、线程快照、堆转储快照等。使用适当的虚拟机监控和分析工具可以加快分析数据、定位解决问题的速度 JDK的命令行工具 在JDK的bin目录中提供了很多命令行工具,这些命令行工具为用户处理应用程序性能问题、定位故障提供了帮助。下面将介绍其中关于监视虚拟机和故障处理的工具。这些JDK工具都非常小,基本都在27KB左右,大多数都是对jdk/lib/too
检测虚拟机代码总汇(更新中)
weixin_30493401的博客
02-27 1063
 检测虚拟机代码 1 004092D0 /. 55 push ebp 2 004092D1 |. 8BEC mov ebp,esp 3 004092D3 |. 51 push ecx 4 004092D4 |. 53 push ebx 5 004092D5 |. 68 1D9...
jvm三之虚拟机性能监控以及故障处理
Nuan_Feng的博客
06-05 431
文章目录命令行工具jps(JVM process Status Tool)jstat(JVM statistics Monitoring Tool)jinfojmapjhatOQLjstack可视化工具jconsole空循环活锁死锁jvisualvm插件下载生成堆快照保存以及导入分析CPU和内存BTrace动态日志跟踪代码清单 具体功能都在tools.jar中 命令行工具 jps(JVM process Status Tool) 虚拟机进程状况工具 列出正在运行的虚拟机进程, 显示虚拟机执行主
虚拟机下玩DXF
05-24 215
DXF检测虚拟机好象已经很长时间了,记得当时也是在网上找的教程,今天无聊又检测了一下,发现目前依然有效。用记事本打开 虚拟机启动文件 xxxx.vmx 在最后添加如下两行代码monitor_control.restrict_backdoor = TRUEdisable_acceleration = TRUE也可加上引号monitor_control.restrict_backdoor =...
vmware漏洞之二——简评:实战VMware虚拟机逃逸漏洞
weixin_30379531的博客
08-03 879
下文取自360,是vmware exploit作者自己撰写的。本文从实验角度对作者的文章进行解释,有助于学习和理解。文章虚线内或红色括号内为本人撰写。 ---------------------------------------------------------------- 转:http://bobao.360.cn/learning/detail/4143.html 作者:...
虚拟机设置
冥鸦的博客
06-13 1411
1、用记事本打开 VMX 文件 类似 Windows XP Professional.vmx ,在文本末尾加入两行 monitor_control.restrict_backdoor = TRUE disable_acceleration = TRUE 保存文件 “这样处理以后有个后遗症, 就是 VMTools 可能无法加载了”,我先把VMtools先装好再设置的。 2、打开
解决 VMware 虚拟机中被提示 “请不要在虚拟机中运行此程序“
weixin_34406061的博客
10-22 1万+
解决 VMware 虚拟机 中被提示 “请不要在虚拟机中运行此程序”或者“Themida Sorry, this application cannot run under a Virtual Machine”方法自己发现问题,解决问题后,觉得应该分享给大家。用记事本打开 VMX 文件 类似 Windows XP Professional.vmx 在文本末尾加入一行monitor_control.r...
租服务器开虚拟机玩游戏,端游租号器不能在虚拟机运行-游戏不能在虚拟机环境中运行...
weixin_36487445的博客
08-06 3140
游戏禁止在VMware虚拟机运行有解决办法吗?没有因为虚拟机不能共享显卡,虚拟机只能用自带的显示VMware显示芯片。。。即使装了8.0以后版本也是只能运行,根本没法玩。一般虚拟机用在服务器,或者办公需要配置系统环境的,所以玩游戏就不要用虚拟机。。。游戏不能在虚拟机环境中运行如果您的是虚拟系统是 vmware player,您可以试试看下列方法:到我的文件夹--Virtual Machines资料...
如何绕开对通用VMware虚拟机检测
Tommy(凌飞)的专栏
04-28 3万+
<br />1,用记事本打开虚拟系统镜像文件的配置文件,这个文件扩展名为vmx,比如我的虚拟系统名为XP,那这个文件就叫XP.vmx,然后在<br /> 其末尾添加这么一句,如下红色部分(注意,虚拟机不能在运行状态添加)<br /><br />monitor_control.restrict_backdoor = "true"<br /><br /> 这句的意思是关闭vmware的后门(什么后门?后面详细说)<br /><br /> 2,开启vmware workstation,在里面的 虚拟机 ->
虚拟机检测防御策略:Liston & Skoudis指南
在"ThwartingVMDetection_Liston_Skoudis.pdf"这份文档中,两位作者Tom Liston和Ed Skoudis,作为资深安全顾问,探讨了如何抵御在恶意软件世界中广泛使用的虚拟机检测技术。他们首先提供了对检测虚拟化环境方法的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值