Windows下的虚拟机反反调试技术

最新推荐文章于 2023-03-16 17:15:13 发布
最新推荐文章于 2023-03-16 17:15:13 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: 基础 文章标签: 虚拟机 脱壳 反虚拟机 反反虚拟机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42101243/article/details/92640337
版权

虚拟机的反反调试技术

  1. 修改虚拟机设置: 

        在自己主机的虚拟机路径中找到Windows 7(专业版).vmx文件,用记事本打开,在其中输入一下代码,即可做到一种反反虚拟机效果。小技巧:先将打开的虚拟机暂停,之后再在指定路径和文件写入代码,之后再运行虚拟机,就可以达到效果,完成分析之后再恢复快照,已修改的虚拟机文件便可不用修改恢复即可恢复正常。

isolation.tools.getPtrLocation.disable="TRUE"
isolation.tools.setPtrLocation.disable="TRUE"
isolation.tools.getVersion.disable="TRUE"
isolation.tools.setVersion.disable="TRUE"
monitor_control.disable_directexec = "TRUE"
monitor_control.disable_chksimd = "TRUE"
monitor_control.disable_ntreloc = "TRUE"
monitor_control.disable_selfmod = "TRUE"
monitor_control.disable_reloc = "TRUE"
monitor_control.disable_btinout = "TRUE"
monitor_control.disable_btmemspace = "TRUE"
monitor_control.disable_btpriv = "TRUE"
monitor_control.disable_btseg = "TRUE"

2、如果还不行,修改虚拟机中的注册表:

HKLM\System\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-08002BE10318}\0000\DriverDesc 等含有VM的子键。

HKLM\HARDWARE\DESCRIPTION\System\BOIS\SystemManufacturer

 

熊猫恶霸
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hsdis工具,hotspot虚拟机插件,汇编jit编译代码
09-28
HotSpot虚拟机是Oracle JDK和OpenJDK中的默认虚拟机,它通过动态编译技术提高了Java应用程序的运行性能。本文将深入探讨HSDis工具、HotSpot虚拟机以及汇编在JVM中的应用。 HSDis全称为HotSpot Disassembler,是一...
jd-gui-windows-1.4.0java编译软件
09-28
JD-GUI的工作原理基于编译技术,它是Java开发过程中的一个重要辅助工具。Java字节码是经过JVM(Java虚拟机)编译后的二进制代码,它不同于人类可读的源代码。当原始源代码丢失或无法获取时,编译就显得尤为重要...
在VMware调试VMware程序的解决方法
weixin_30700977的博客
03-18 263
在.vmx文件中加入以下命令即可。 isolation.tools.getPtrLocation.disable = "TRUE"isolation.tools.setPtrLocation.disable = "TRUE"isolation.tools.setVersion.disable = "TRUE"isolation.tools.getVersion.disable = ...
vmware 虚拟机检测
01-13
vmware 虚拟机检测
虚拟机技术
巅峰测试
07-27 2649
 任何一个事物都不是尽善尽美,无懈可击的,虚拟机也不例外。由于虚拟执行技术的出现,使得虚拟机查毒受到了一定的挑战。这里介绍几个比较典型的虚拟执行技术: 首先是插入特殊指令技术,即在病毒的解密代码部分人为插入诸如浮点,3DNOW,MMX等特殊指令以达到虚拟执行的目的。尽管虚拟机使用软件技术模拟真正CPU的工作过程,它毕竟不是真正的CPU,由于精力有限,虚拟机的编码者可能实现对整个Intel指令
详解虚拟机技术
热门推荐
houjingyi的博客
10-21 1万+
恶意代码编写者经常使用虚拟机技术逃避分析,恶意代码可以使用这种技术检测自己是否运行在虚拟机中。如果恶意代码探测到自己在虚拟机中运行,它会执行与其本身行为不同的行为,其中最简单的行为是停止自身运行。近年来,随着虚拟化技术的使用不断增加,采用虚拟机技术的恶意代码数量逐渐下降。恶意代码编写者已经开始意识到,目标主机是虚拟机,也并不意味着它就没有攻击价。随着虚拟化技术的不断发展和普通应用,虚拟机
关于调试虚拟机检测代码和强行快速关机
weixin_30367169的博客
11-03 206
  今天偶得一文,发现了一套调试机制,发现调试就强行快速关机。而且其中有检测虚拟机的技巧,发现不错,就摘录一下。 首先是强行关机,据说是使用的ZwShutdownSystem(2)实现的,看着这API够牛掰的-- #include <windows.h> const unsigned int SE_SHUTDOWN_PRIVILEGE = 0x13; int main(...
jd-gui-windows-1.4.0_编译工具_
09-30
《JD-GUI:一款强大的Windows平台编译工具详解》 在软件开发过程中,有时我们需要对已有的二进制代码进行逆向工程,以便理解其内部工作原理或寻找潜在问题。这时,编译工具就显得尤为重要。"jd-gui-windows-...
VT虚拟化技术,VT驱动调试器,自建调试体系,反反调试技术,内核驱动,VT过保护,VT源代码
04-27
vt框架使用的airhv,增加了自建调试体系部分 ept hook. 无痕int3. 自建调试体系隐藏debugport. 支持pdb符号自动下载,省去寻找特征码步骤,轻松兼容不同系统版本. 5.zip文件是编译好的成品 支持平台 win10 x64 intel architecture cpu. 环境:vs2019 driver sdk 19041,kernelModeDriver10.0 有需要学习的朋友可以下载来看看,里面有VT完整的安装框架代码,以及用户层MFC工具源代码,中文备注,很多学习vt的朋友可能都没有完整的64位系统的VT完整框架的代码,所以学习的朋友可以下载来看看,有编译好的,也可以自行编译修改,祝大家学习愉快。
jad158编译class文件工具(windows
10-21
在IT行业中,编译是用于理解和学习已编译的二进制代码的一种技术,尤其在软件逆向工程、代码分析和调试时非常有用。 首先,我们需要理解Java的编译过程。Java源代码(.java文件)经过Java编译器(javac)编译后,...
VM16虚拟化
岑如花
03-16 1831
第一步:搜25732E656E61626C(注意是16进制搜索) ,在对应的数据上面几行有两串00000开头的数据,这个是虚拟机硬盘序列号,自定义修改即可,随便改成别的数字,位数一样即可,往下看会看到两个VMware开头的数据(VMware Virtual IDE Hard Drive),修改为SAMSUNG MXVLB512HBJQ-00000,也可以自定义修改为别的硬盘。二、安装win10,需要注意的是,安装好后,点击虚拟机设置,把处理器的虚拟化引擎的第一个选项勾选,如下图,将没用的配制都去掉。
网络靶场实战-网络对抗之虚拟机技术
蛇矛实验室
12-13 559
对抗虚拟机技术也是多种多样比如修改Vmware的.vmx文件就可以减轻虚拟机被检测的可能;修改跳转指令等等。在文章的最后最后介绍一种对抗虚拟机技术,方法很多,仅给各位提供一个参考。在虚拟机文件中找到下图的文件,之后用记事本打开,输入以下代码即可缓解虚拟机效果。
虚拟机技术总结
weixin_34068198的博客
04-10 322
2019独角兽企业重金招聘Python工程师标准>>> ...
简单的虚拟机测试代码
LLC
05-10 3998
.text:00401400 .text:00401400 ; =============== S U B R O U T I N E ======================================= .text:00401400 .text:00401400 ; Attributes: bp-based frame .text:00401400 .text:00401400 sub
恶意代码分析-第十七章-虚拟机技术
每昔的博客
09-10 1203
目录 笔记 实验 Lab17-1 Lab17-2 Lab17-3 笔记 VMware痕迹:VMware虚拟环境在系统中遗留了很多的痕迹,特别是VMware Tools安装之后。可以通过操作系统的文件系统,注册表和进程列表中的标记痕迹探测VMware的存在。                        识别进程:VMwareService.exe  VMwareTray.exe V...
pi_heif-0.17.0-cp310-cp310-manylinux_2_17_aarch64.whl
最新发布
07-27
pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值