反虚拟机技术虚拟机硬件化处理过检测

最新推荐文章于 2024-06-25 09:31:24 发布
最新推荐文章于 2024-06-25 09:31:24 发布
阅读量3.3k 收藏 5
点赞数 1
文章标签: 运维 数据库 json
原文链接:http://blog.51cto.com/ghfhou/2287818
版权
本文探讨了反虚拟机技术,恶意代码通过检测MAC地址、硬件信息、进程、文件夹、注册表和服务来逃避虚拟机分析。介绍了常见反虚拟机检测方法,如检查VMware、VirtualBox和VirtualPC的特征,并提供了防御措施。此外,还提到了基于社会工程学的技巧和虚拟机逃逸技术。文章最后讨论了在面对恶意代码时如何减少虚拟机被检测的可能性。
摘要由CSDN通过智能技术生成

过检测虚拟机下载:

k7.8x64下载地址①:https://yunpan.360.cn/surl_ydaQm3pwpEk
k7.8x64下载地址②:https://pan.baidu.com/s/1iaCU-FZLs5ScEE3PPK1fLA

过检测说明介绍:

恶意代码编写者经常使用反虚拟机技术逃避分析,这种技术可以检测自己是否运行在虚拟机中。如果恶意代码探测到自己在虚拟机中运行,它会执行与其本身行为不同的行为,其中最简单的行为是停止自身运行。近年来,随着虚拟化技术的使用不断增加,采用反虚拟机技术的恶意代码数量逐渐下降。恶意代码编写者已经开始意识到,目标主机是虚拟机,也并不意味着它就没有**价值。随着虚拟化技术的不断发展和普通应用,反虚拟机技术可能变得更加少见。这里研究最常见的反虚拟机技术(包括VMware、virtualbox和virtualpc,重点是最常用的VMware),并且介绍一些如何防御它们的办法。一、检测虚拟机痕迹1.根据MAC地址
通常,MAC地址的前三个字节标识一个提供商。以00:05:69、00:0c:29和00:50:56开始的MAC地址与VMware相对应;以00:03:ff开始的MAC地址与virtualpc对应;以08:00:27开始的MAC地址与virtualbox对应。
BOOL CheckVMWare()
{
string mac;
get_3part_mac(mac);
if (mac=="00-05-69" || mac=="00-0c-29" || mac=="00-50-56")
{
return TRUE;
}
else
{
return FALSE;
}
}BOOL CheckVirtualPC()
{
string mac;
get_3part_mac(mac);
if (mac=="00-03-ff")
{
return TRUE;
}
else
{
return FALSE;
}
}BOOL CheckVirtualBox()
{
string mac;
get_3part_mac(mac);
if (mac=="08-00-27")
{
return TRUE;
}
else
{
return FALSE;
}
}typedef struct ASTAT
{
ADAPTER_STATUS adapt;
NAME_BUFFER NameBuff[30];
} ASTAT, PASTAT;void get_3part_mac(string &mac)
{
NCB Ncb;
ASTAT Adapter;
UCHAR uRetCode;
LANA_ENUM lenum;
memset(&Ncb, 0, sizeof(Ncb));
Ncb.ncb_command = NCBENUM;
Ncb.ncb_buffer = (UCHAR )&lenum;
Ncb.ncb_length = sizeof(lenum);
uRetCode = Netbios(&Ncb);
for (int i = 0; i < lenum.length; i++)
{
memset(&Ncb, 0, sizeof(Ncb));
Ncb.ncb_command = NCBRESET;
Ncb.ncb_lana_num = lenum.lana[i];
uRetCode = Netbios(&Ncb);
memset(&Ncb, 0, sizeof(Ncb));
Ncb.ncb_command = NCBASTAT;
Ncb.ncb_lana_num = lenum.lana[i];
strcpy((char )Ncb.ncb_callname, "");
Ncb.ncb_buffer = (unsigned char )&Adapter;
Ncb.ncb_length = sizeof(Adapter);
uRetCode = Netbios(&Ncb);
if (uRetCode == 0)
{
char tmp[128];
sprintf(tmp, "%02x-%02x-%02x",
Adapter.adapt.adapter_address[0],
Adapter.adapt.adapter_address[1],
Adapter.adapt.adapter_address[2]
);
mac = tmp;
}
}
}
2.基于主板序列号、主机型号、系统盘所在磁盘名称等其他硬件信息
//通过WMI获取主机信息
BOOL ManageWMIInfo(string &result, string table, wstring wcol)
{
HRESULT hres;
char bord[1024];
//初始化COM
hres = CoInitialize(0);
//获得WMI连接COM接口
IWbemLocator pLoc = NULL;
hres = CoCreateInstance(
CLSID_WbemLocator,
0,
CLSCTX_INPROC_SERVER,
IID_IWbemLocator, (LPVOID ) &pLoc);
if (FAILED(hres))
{
cout << "Failed to create IWbemLocator object."
<< "Err code = 0x"
<< hex << hres << endl;
CoUninitialize();
return false;
}
//通过连接接口连接WMI的内核对象名ROOT//CIMV2
IWbemServices pSvc = NULL;
hres = pLoc->ConnectServer(
_bstr_t(L"ROOT\CIMV2"), // Object path of WMI namespace
NULL, // User name. NULL = current user
NULL, // User password. NULL = current
0, // Locale. NULL indicates current
NULL, // Security flags.
0, // Authority (e.g. Kerberos)
0, // Context object
&pSvc // pointer to IWbemServices proxy
);
if (FAILED(hres))
{
cout << "Could not connect. Error code = 0x"
<< hex << hres << endl;
pLoc->Release();
CoUninitialize();
return false;
}
//设置请求代理的安全级别
hres = CoSetProxyBlanket(
pSvc, // Indicates the proxy to set
RPC_C_AUTHN_WINNT, // RPC_C_AUTHN_xxx
RPC_C_AUTHZ_NONE, // RPC_C_AUTHZ_xxx
NULL, // Server principal name
RPC_C_AUTHN_LEVEL_CALL, // RPC_C_AUTHN_LEVEL_xxx
RPC_C_IMP_LEVEL_IMPERSONATE, // RPC_C_IMP_LEVEL_xxx
NULL, // client identity
EOAC_NONE // proxy capabilities
);
if (FAILED(hres))
{
cout << "Could not set proxy blanket. Error code = 0x"
<< hex << hres << endl;
pSvc->Release();
pLoc->Release();
CoUninitialize();
return false;
}
//通过请求代理来向WMI发送请求
IEnumWbemClassObject pEnumerator = NULL;
string select = "SELECT FROM "+ table;
hres = pSvc->ExecQuery(
bstr_t("WQL"),
bstr_t(select.c_str()),
WBEM_FLAG_FORWARD_ONLY | WBEM_FLAG_RETURN_IMMEDIATELY,
NULL,
&pEnumerator);
if (FAILED(hres))
{
cout << "Query for Network Adapter Configuration failed."
<< " Error code = 0x”"
<< hex << hres << endl;
pSvc->Release();
pLoc->Release();
CoUninitialize();
return false;
}
//循环枚举所有的结果对象
ULONG uReturn = 0;
IWbemClassObject pclsObj;
while (pEnumerator)
{
HRESULT hr = pEnumerator->Next(WBEM_INFINITE, 1,
&pclsObj, &uReturn);
if(0 == uReturn)
{
break;
}
VARIANT vtProp;
VariantInit(&vtProp);
hr = pclsObj->Get(wcol.c_str(), 0, &vtProp, 0

最低0.47元/天 解锁文章
weixin_33898876
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vmware虚拟机去虚拟检测过鲁大师视频教程
02-28
vmware虚拟机去虚拟检测过鲁大师视频教程
【转】虚拟机检测技术
weixin_33933118的博客
12-27 193
前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用 越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算 机系统。通过虚拟机软件(比如VMware,Virtual PC ,VirtualBox),你可以在一台...
vmware 虚拟机检测
01-13
vmware 虚拟机检测
推荐开源项目:Go Defender - 高级调试与虚拟环境检测
最新发布
gitblog_00088的博客
06-25 811
推荐开源项目:Go Defender - 高级调试与虚拟环境检测库 GoDefenderAnti Virtulization, Anti Debugging, AntiVM, Anti Virtual Machine, Anti Debug, Anti Sandboxie, Anti Sandbox, VM Detect package.项目地址:https://gitcode.com/gh...
详解虚拟机技术
houjingyi的博客
10-21 1万+
恶意代码编写者经常使用虚拟机技术逃避分析,恶意代码可以使用这种技术检测自己是否运行在虚拟机中。如果恶意代码探测到自己在虚拟机中运行,它会执行与其本身行为不同的行为,其中最简单的行为是停止自身运行。近年来,随着虚拟技术的使用不断增加,采用虚拟机技术的恶意代码数量逐渐下降。恶意代码编写者已经开始意识到,目标主机是虚拟机,也并不意味着它就没有攻击价值。随着虚拟技术的不断发展和普通应用,虚拟机
VM16虚拟
岑如花
03-16 1913
第一步:搜25732E656E61626C(注意是16进制搜索) ,在对应的数据上面几行有两串00000开头的数据,这个是虚拟机硬盘序列号,自定义修改即可,随便改成别的数字,位数一样即可,往下看会看到两个VMware开头的数据(VMware Virtual IDE Hard Drive),修改为SAMSUNG MXVLB512HBJQ-00000,也可以自定义修改为别的硬盘。二、安装win10,需要注意的是,安装好后,点击虚拟机设置,把处理器的虚拟引擎的第一个选项勾选,如下图,将没用的配制都去掉。
Windows下的虚拟机调试技术
qq_42101243的博客
06-17 1164
虚拟机调试技术 修改虚拟机设置: 在自己主机的虚拟机路径中找到Windows 7(专业版).vmx文件,用记事本打开,在其中输入一下代码,即可做到一种虚拟机效果。小技巧:先将打开的虚拟机暂停,之后再在指定路径和文件写入代码,之后再运行虚拟机,就可以达到效果,完成分析之后再恢复快照,已修改的虚拟机文件便可不用修改恢复即可恢复正常。 isolation.tools...
虚拟机检测检测相关
mmdev
10-03 809
虚拟机软件的漏洞和虚拟机执行环境的检测检测(一) 虚拟机软件的漏洞和虚拟机执行环境的检测检测(二) vmware的检测检测 检测虚拟机汇编代码 漏洞法检测虚拟机 虚拟机检测技术剖析 检测源码: #include &lt;windows.h&gt; #include &lt;stdio.h&gt; BOOL gInVMWARE, gInVirtualPC; BOOL...
虚拟机修改工具箱,内附多种虚拟机常用修改工具,过检测工具,显卡驱动等等一系列常用的虚拟机资源
10-04
一键过虚拟机检测工具,一键过vmp,下在解压直接使用无套路,解压密码标注在文件名后了,后期将不断更新更多有用工具,敬请期待,一样不收费,下载解压直接使用,除了这里的下载耗费点积分,这也算一点小小的支持嘛,...
虚拟机去虚拟检测技术攻防.docx
09-30
"虚拟机去虚拟检测技术攻防" 虚拟机技术在恶意软件分析中扮演着非常重要的角色,它可以模拟出一台或多台虚拟计算机,从而提高病毒分析过程的安全性和硬件资源的节省性。然而,攻击者为了提高恶意程序的隐蔽性和...
检测虚拟机
09-29
=已经过了检测,目前我只设置了win7的系统=已经过了检测,目前我只设置了win7的系统
虚拟机检测工具
12-25
分析本机是否支持虚拟机使用工具,非常使用,快捷,简单
vm虚拟机最新检测_Dart虚拟机运行原理
weixin_39976382的博客
11-20 1742
作者 | Gityuan一、Dart虚拟机1.1 引言Dart VM是一种虚拟机,为高级编程语言Dart提供执行环境,但这并意味着Dart在D虚拟机上执行时,总是采用解释执行或者JIT编译。例如还可以使用Dart虚拟机的AOT管道将Dart代码编译为机器代码,然后运行在Dart虚拟机的精简版环境,称之为预编译运行时(precompiled runtime)环境,该环境不包含任何编译器组件...
Windows Virtual PC,你了解它吗?
weixin_34092455的博客
05-10 234
在Windows 7中有个XP Mode,而这个XP Mode就是在Windows 7上面运行的一个虚拟机.究竟是什么样呢?性能又如何呢?首先,我们看看要运行Windows Virtual PC 需要哪些要求. 硬件虚拟支持 Intel-VT AMD-V 1 GHz 32位 / 64位 CPU 内存 最小1.25G,推荐2G 推荐每台虚拟机15GB磁盘 支...
虚拟机程序测试
weixin_34365417的博客
04-21 180
这是一个最简单的虚拟机测试,通过检测是否包含虚拟机tools的进程来判断是否是虚拟机。 首先写一个函数,判断是否包含某进程 1 //是否包含某进程 2 BOOL IsContainsProcess(CString strProName) 3 { 4 PROCESSENTRY32 pe32; //定义结构体变量来保存进程的信息 5 pe32.dwSi...
VM跳过虚拟检测(游戏多开,虚拟机录制视频)
热门推荐
loveqqcc的博客
03-14 3万+
方法一: 防检测代码 3条:(该方法能用,尽力不要用下面几种方法!) 同样添加至 “.vmx配置文件” 末尾! ! ! monitor_control.virtual_rdtsc = “false” monitor_control.restrict_backdoor = “true” monitor_control.disable_directexec = “true” 方法二: 防检测代码 7...
网络靶场实战-网络对抗之虚拟机技术
蛇矛实验室
12-13 567
对抗虚拟机技术也是多种多样比如修改Vmware的.vmx文件就可以减轻虚拟机检测的可能;修改跳转指令等等。在文章的最后最后介绍一种对抗虚拟机技术,方法很多,仅给各位提供一个参考。在虚拟机文件中找到下图的文件,之后用记事本打开,输入以下代码即可缓解虚拟机效果。
游戏虚拟机检测方案
FairGuard手游加固(企业官方博客)
10-12 516
虚拟机技术被游戏黑灰产广泛应用,给不少游戏造成了困扰。如何有效、精准的检测、识别虚拟机成了行业的一大痛点
SPAD:硬件虚拟技术调试中的应用
"基于硬件虚拟调试技术" 这篇内容涉及的主题是“基于硬件虚拟调试技术”,主要由上海交通大学可信计算组的研究生于淼进行探讨。该技术的目的是为了保护软件不被调试,从而维护商业软件的安全,尤其是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值