通过in指令反虚拟机

最新推荐文章于 2022-08-30 11:36:41 发布
最新推荐文章于 2022-08-30 11:36:41 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: 反调试反虚拟机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011636170/article/details/53537111
版权

在一些样本中有一些反虚拟机的行为,来对抗分析,其中通过in指令就是
专门来对抗vmware虚拟机的,代码如下,恶意样本可以将恶意代码放入
异常中,也可以通过设置返回值进行判断

int IsInsideVMWare();

int main()
{

if(IsInsideVMWare()==5)
{
printf(“out”);
}else{
printf(“in”);
}
//printf(“sdfsdfsdf”);
return 0;
}

int IsInsideVMWare()
{
int rc = 1;

__try
{
__asm
{
push edx
push ecx
push ebx

  mov    eax, 'VMXh'
  mov    ebx, 0  // 将ebx设置为非幻数’VMXH’的其它值
  mov    ecx, 10 // 指定功能号,用于获取VMWare版本,当它为0x14时用于获取VMware内存大小
  mov    edx, 'VX' // 端口号
  in     eax, dx // 从端口dx读取VMware版本到eax
                 //若上面指定功能号为0x14时,可通过判断eax中的值是否大于0,若是则说明处于虚拟机中
  cmp    ebx, 'VMXh' // 判断ebx中是否包含VMware版本’VMXh’,若是则在虚拟机中
  setz   [rc] // 设置返回值

  pop    ebx
  pop    ecx
  pop    edx
}

}
__except(EXCEPTION_EXECUTE_HANDLER) //如果未处于VMware中,则触发此异常
{
rc = 5;

printf("sdfsdfsdfsdf");

}

return rc;
}

左道diffway
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
虚拟机检测技术剖析
04-12
在VMware中,虚拟机和宿主机之间的通信依赖于特定的CPU指令,如“IN”指令。这个指令在真实的保护模式下执行时,如果没有相应的权限,会触发异常。然而,在VMware虚拟机环境下,这种异常不会出现。VMDetect就是利用...
虚拟机详解与代码剖析
02-13
虚拟机技术可以通过多种方式实现,例如: - **动态代码分析**: 在虚拟机中动态执行可疑代码,观察其行为模式。 - **行为监控**: 监控虚拟机内外部的行为,以识别异常活动。 - **虚拟机逃逸**: 防止恶意软件从虚拟...
vmware 虚拟机检测
01-13
vmware 虚拟机检测
虚拟机代码
a1234567mdy的专栏
03-31 1321
<br />http://www.axvis.net/thread-1596.html#ixzz1I9toPX5P<br /> <br />#include "antibox.h"<br /><br /> DWORD __forceinline IsInsideVPC_exceptionFilter(LPEXCEPTION_POINTERS ep)<br /> {<br /> PCONTEXT ctx = ep->ContextRecord;<br /> ctx->Ebx = -1; // Not
简单的虚拟机测试代码
LLC
05-10 4001
.text:00401400 .text:00401400 ; =============== S U B R O U T I N E ======================================= .text:00401400 .text:00401400 ; Attributes: bp-based frame .text:00401400 .text:00401400 sub
恶意代码分析-第十七章-虚拟机技术
每昔的博客
09-10 1203
目录 笔记 实验 Lab17-1 Lab17-2 Lab17-3 笔记 VMware痕迹:VMware虚拟环境在系统中遗留了很多的痕迹,特别是VMware Tools安装之后。可以通过操作系统的文件系统,注册表和进程列表中的标记痕迹探测VMware的存在。                        识别进程:VMwareService.exe  VMwareTray.exe V...
虚拟机的检测与检测学习报告
weixin_45788869的博客
03-18 934
成果: 1、实现了通过特权指令in,检测虚拟机。 2、实现了绕过上述检测。通过修改虚拟机配置文件,关闭特权指令。 经验: 1、测试了利用IDT检测虚拟机。(失败) 2、测试了利用LDT检测虚拟机。(失败) 3、测试了利用GDT检测虚拟机。(失败) 4、测试了利用STR检测虚拟机。(失败) 5、测试了利用时间差检测虚拟机。(失败) 6、知晓了注册表检测虚拟机的方法。(未测试) 7、知晓了在C++中嵌入汇编代码。以及汇编的字符赋值方式。 8、知晓了administrator不是windows 最高权限,syst
易语言汇编检测虚拟机源码
06-03
检测虚拟机源码通常是为了安全或调试目的,因为许多恶意软件会尝试探测其是否在虚拟环境中运行,以避免被分析。 易语言中的汇编检测虚拟机技术涉及到以下几个关键知识点: 1. **系统调用检测**:虚拟机往往会对...
C# dll编译工具
07-19
IL是.NET Framework中的一种虚拟机指令集,与平台无关,它在运行时由CLR(公共语言运行时)解释执行。 3. C# DLL编译工具: - ILSpy:免费开源的.NET编译器,支持编译DLL和EXE文件,提供清晰的代码结构和易于...
JVM指令
03-21
同时,了解JVM指令也有助于理解JIT(Just-In-Time)编译器的工作原理,JIT会将频繁执行的热点代码编译为机器码,进一步提升性能。 ### 5. 实例分析 以`JVM_COMMAND.wps`文件为例,这个文件可能包含了对JVM指令的...
虚拟机检测技术攻防
热门推荐
whatday的专栏
08-27 5万+
前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware,Virtual PC ,VirtualBox),你可以在一台物
80x86的指令系统(二)
逍遥剑客的专栏
06-19 6404
 80x86的指令系统可以分为6组:(1)数据传输指令(2)算术指令(3)逻辑指令(4)串处理指令(5)控制转移指令(6)处理器控制指令。下面从这6个方面分别来介绍80x86的指令系统。一、数据传输指令1.通用数据传输指令MOV(move)                         传送MOVSX(move with sign-extend)      带符号扩展传送MOVZX(
访问PCI配置空间的方法
如山石的系统虚拟化之路
10-23 1151
 方法一  向配置空间地址寄存器CF8h写入总线号、设备号、功能号、索引号, 从配置空间数据寄存器CFCh读出配置空间的内容。 配置空间地址寄存器(CF8h)格式如下: Bit31    30-24 23-16   15-11   10-8     7-2          10 使能位 保 留 总线号 设备号 功能号 寄存器号 00 使能位为“1”表示允许访问 配置空间
VC++检测VM、VPC虚拟机代码
thanklife的专栏
05-26 2261
C++检测VM、VPC虚拟机代码,添加后只需要调用IsVirtualMachine即可判断是否在虚拟机运行! AntiVM.h [cpp] view plain copy #ifndef __DETECT_VM__02222005__     #define __DETECT_VM__02222005_
VMware 虚拟机操作命令收集
最新发布
白昼的技术专栏
08-30 7389
VMware 虚拟机操作命令收集
IN,OUT端口读写指令
code3的专栏
12-21 7596
端口是主机与外设进行数据交换的。(外设接口电路有专用于数据交互的寄存器。为了与CPU中的寄存器相区别,称之为“端口”)。端口有数据端口,状态端口和控制端口3种。PC机给予每一个端口分配了一个地址(称为端口号),形成一个独立于内存空间的I/O地址空间。在8086/8088中,端口地址的范围是0000至FFFF。CPU对外设的操作通过专门的端口读写指令来完成。读端口用IN指令,写端口用OUT指
判断程序是否运行在虚拟机
04-16 1564
//判读程序是否运行在虚拟机里#include #include // IsInsideVPCs exception filterDWORD __forceinline IsInsideVPC_exceptionFilter(LPEXCEPTION_POINTERS ep){PCONTEXT ctx = ep->ContextRecord;ctx->Ebx = -1; // Not runnin
[代码]Delphi实现检测程序是否在VMWare中运行
weixin_30723433的博客
07-12 389
代码转自“我在沉睡”的博客,经测试在VMWare7.0.0中能够正常检测。 function IsInsideVMWare: Boolean; var rc: Boolean; begin rc := False; try asm push edx push ecx push ebx ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值