通过ACPI检测沙箱-反虚拟机

已于 2024-03-09 20:43:44 修改
阅读量387 收藏 9
点赞数 5
文章标签: c语言 安全
于 2024-03-09 20:42:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50217210/article/details/136590495
版权

ACPI & ACPI table

ACPI 表示高级配置和电源管理接口(Advanced Configuration and Power Management Interface),对于Windows2000,ACPI定义了Windows2000、BIOS和系统硬件之间的新型工作接口。这些新接口包括允许Windows 2000控制电源管理和设备配置的机制。ACPI table 是填写这些配置的地方。

很好的是,ACPI可以通过R3的 NtQuerySystemInformation 拿得到

https://github.com/classic130/VMProtect-Source/blob/a8433f06ee84fa2546e40bef71183827dc230a3b/runtime/core.cc#L329 这是一个vmp3.x后读Firmware 拿配置。很早之前的技术。

我们本次介绍的是一个新技术,让我们编写代码,获取虚拟机与物理机之间的差异

#include <Windows.h>
#include <stdio.h>
#include <cstdint>
#include <iostream>
struct acpi_table_header {
    uint32_t signature;
    uint32_t length;
    uint8_t revision;
    uint8_t checksum;
    char oem_id[6];
    uint64_t oem_table_id;
    uint32_t oem_revision;
    uint32_t creator_id;
    uint32_t creator_revision;
};
struct hpet_acpi_data {
    uint32_t hardware_block_id;
    uint8_t space_id;
    uint8_t bit_width;
    uint8_t bit_offset;
    uint8_t encoded_access_width;
    uint64_t address;
    uint8_t sequence_number;
    uint16_t minimum_clock_ticks;
    uint8_t flags;
};
static const auto FirmwareTableProviderSignature = 'ACPI';
auto main()->int{
    printf("acpi sandbox detect by BOSS\n");
    auto firmwareTableBufferSize=EnumSystemFirmwareTables(FirmwareTableProviderSignature,0,0);
    char* firmwareTableBuffer = NULL;
    do {
        if (firmwareTableBufferSize == 0) {
            break;
        }
        firmwareTableBuffer =
            reinterpret_cast<char*>(malloc(firmwareTableBufferSize));
        if (firmwareTableBuffer == nullptr) {
            break;
        }
        firmwareTableBufferSize = EnumSystemFirmwareTables(
            FirmwareTableProviderSignature, firmwareTableBuffer,
            firmwareTableBufferSize);
        if (firmwareTableBufferSize == 0) {
            break;
        }
        bool foundHpet = false;
        auto index = 0;
        for (size_t i = 0; i < firmwareTableBufferSize / 4; i++) {
            const auto tableHeader = reinterpret_cast<acpi_table_header*>(
                reinterpret_cast<uint64_t>(firmwareTableBuffer) + i);
            const auto tableID = *firmwareTableBuffer;
            char tid[6] = {0};
            char oemid[7] = {0};
            memcpy(tid, &tableHeader->signature, sizeof(unsigned long));
            memcpy(oemid, reinterpret_cast<char*>(tableHeader->oem_id),
                   sizeof(tableHeader->oem_id));

            // printf("tid: %s oemid: %s oem_table_id: %llX oem_table_xd: %llX
            // \n",
            //        tid, oemid, tableHeader->oem_table_id,
            //        (tableHeader->oem_table_id & 0xFFFFFFFF));
            if (memcmp(oemid, "WAET", 4) == 0) {
                printf(
                    "[detected] Vmware detected by Windows ACPI Emulated"
                    "\n");
            }
            if (foundHpet == false && memcmp(oemid, "HPET", 4) == 0) {
                foundHpet = true;
            }
            if ((tableHeader->oem_table_id & 0xFFFFFFFF) == 0) {
                printf(
                    "[detected] Cuckoo sandbox detected by oem table id"
                    "\n");
            }
            index++;
        }
        if (index < 8) {
            printf("[detected] vm-guest detected by table size \n");
        }
        if (foundHpet == false) {
            printf("[detected] HPET not found,Cuckoo detected \n");
        }

    } while (false);
    if (firmwareTableBuffer != nullptr) {
        free(firmwareTableBuffer);
    }
    getchar();
    return 0;
}

这个POC检测什么?

  1. 检测ACPI表内容,如果小于8那么可能是虚拟机
  2. 检测ACPI是否有windows的WEATH,如果有则说明windows在虚拟机中
  3. 检测ACPI表中是否没有HPET,如果没有,则说明可能在linux下的沙箱中

GitHub - huoji120/ACPI_SANDBOX_DETECT: 通过ACPI检测沙箱

https://download.microsoft.com/download/7/E/7/7E7662CF-CBEA-470B-A97E-CE7CE0D98DC2/WAET.docx

云棋
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HPET(High Precision Event Timer)简要说明
BorisJineman的专栏
04-03 1万+
HPET(High Precision Event Timer,高精度时钟),是Intel和微软为了替换之前PIT或RTC(都可以当定时器用的一个东西)所设计的一个硬件。 这篇文章并没有完全的去说明HPET,只是简单地概述了一下。如果你需要的内容这里没有讲述到,请参考HPET的说明文档。
hpet 定时器中断 8259 linux,[OSDEV]编程高精度定时器(HPET)
weixin_35599852的博客
05-17 889
高精度定时器HPET和I/O APIC一样,用的是内存映射,映射的地址保存在BIOS提供的ACPI表格中我们首先来获取这个地址获取HPET的I/O内存地址先来看一下文档的30-31页: 关键就是那个表格,我们先把他写成C语言的形式(注意:部分内容在上一篇中已经提过,不再重复了,参见http://blog.csdn.net/goodqt/article/details/15337067)typed...
虚拟机沙箱技术整理汇总
人饭子的博客
11-06 1246
虚拟机沙箱技术整理汇总安全狗的⾃我修养 2022-11-06 15:49 虚拟机沙箱技术整理汇总 延迟执⾏ 因为沙箱对样本运⾏时间有限制,使⽤已知的windows Api(例如NtDelayExecution, CreateWaitTableTImer,SetTimer等)将恶意代码的执⾏延迟了⼀段时间。 延迟执⾏ -GetTickCount 检查机器运⾏时间,创建超过设定时间的快照...
Linux内核深入理解定时器和时间管理(6):x86_64 相关的时钟源(kvm-clock,tsc,acpi_pm,hpet)
RToax
03-31 3833
Linux内核深入理解定时器和时间管理 x86_64 相关的时钟源(kvm-clock,tsc,acpi_pm,hpet) rtoax 2021年3月 在原文基础上,增加5.10.13内核源码相关内容。 概览 结构体 ------------------------------------------------------- struct clocksource; struct clock_event_device; `clockevents_register_device
虚拟机检测检测学习报告
weixin_45788869的博客
03-18 929
成果: 1、实现了通过特权指令in,检测虚拟机。 2、实现了绕过上述检测。通过修改虚拟机配置文件,关闭特权指令。 经验: 1、测试了利用IDT检测虚拟机。(失败) 2、测试了利用LDT检测虚拟机。(失败) 3、测试了利用GDT检测虚拟机。(失败) 4、测试了利用STR检测虚拟机。(失败) 5、测试了利用时间差检测虚拟机。(失败) 6、知晓了注册表检测虚拟机的方法。(未测试) 7、知晓了在C++中嵌入汇编代码。以及汇编的字符赋值方式。 8、知晓了administrator不是windows 最高权限,syst
ACPI-Spec-6-5-Aug29-ul.pdf
10-22
介绍部分让读者了解ACPI的基本概念和目的,编程模型则详细描述了如何通过ACPI进行系统编程,实现细节涵盖了具体的技术实现,而技术参考提供了深入的技术信息,帮助开发者理解和调试ACPI相关的代码。 总的来说,...
ibm-acpi-applet-开源
05-14
标题中的“ibm-acpi-applet-...总之,“ibm-acpi-applet-开源”是一个专为ThinkPad笔记本设计的开源散热监控工具,通过读取/proc文件系统的信息,为用户提供直观的设备状态视图,同时允许用户参与项目的改进和维护。
acpi_monitor-开源
07-03
这是一个用 Python 编写的 ACPI 监控软件,使用 GTK2 作为 GUI-Toolkit。 该软件是作为一个简单的程序编写的,用于监控笔记本电脑的 ACPI 状态。 它提供 AC 状态、电池状态、CPU 温度、电池百分比
ACPI Module Tester-开源
04-18
ACPI(Advanced Configuration and Power Interface)模块测试器是一款专为检测和诊断ACPIExtras驱动程序问题而设计的小型应用程序。它为用户提供了一个直观且简便的方式,来检查和报告与ACPI相关的任何错误或异常...
acpi-config-power-interface-spec_3.0a.pdf
11-12
ACPI高级电源管理接口,标准化定义设备电源状态,服务器领域经常用到 acpi-config-power-interface-spec_3.0a.pdf
180313 逆向-调试技术(6)Hook和AntiHook
whklhhhh的博客
04-03 1245
1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】 A. 调试技术(6) B. Hook和AntiHook 壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的 最早期直接在入口写入retn 10来直接返回,防止函数的调用 于是外壳也进行了改进:...
SylixOS中APIC HPET定时器字符驱动实现
Double_qiang的博客
11-24 934
1.简介 1.1 APIC介绍 “APIC”是Advanced Programmable Interrupt Controller的缩写,即高级可编程中断控制器。引入APIC机制是为了适应multiple processor(MP,多处理器)环境。 APIC分为两部分:Local APIC与I/O APIC。Local APIC位于处理器内部,而I/O APIC则呼吁芯片组的一部分。Lo
虚拟机沙箱恶意代码分析
追影-追踪高级威胁,捕获0day漏洞
08-19 3415
随着高级可持续攻击威胁对抗技术的不断发展,针对恶意代码进行分析,检测未知恶意代码,经常利用虚拟机技术。RSA展会也有很多安全厂商使用这些技术进行APT分析,传统的病毒厂商和僵尸网络追踪团队也都利用虚拟机进行大量的分析获取样本运行的海量信息进行分析处理。厂商们所使用的虚拟机软件通常包括VMware、VirtualBox等,这些虚拟机可以在一台物理计算机上模拟出多台虚拟的计算机,这些虚拟机完全就像
VM简单设置虚拟机检测设置
weixin_34041003的博客
02-11 2488
2019独角兽企业重金招聘Python工程师标准>>> ...
SylixOS x86 HPET 定时器驱动
stone8761的专栏
01-06 634
HPET(High Precision Event Timer) 俗称高精度定时器,最低时钟频率为10MHZ,而且定义了比较严格的精确度(间隔 >= 1 毫秒的允许 +-0.05% 的误差,间隔 <=100 微妙的允许 +-0.2% 的误差)。x86 架构中一般支持 HPET 定时器。在 HPET 体系结构中规定 32 个定时器组成一个定时器块,最多可支持 8 个块,也就是 256 个定时器。实际设备中可使用的定时器数量可以从相关寄存器中查询。每个定时器均可以单独配置成一个中断。 在 x86
由于高精度事件计时器(HPET)驱动过时导致AMD机器装Win10的卡死蓝屏问题记录
热门推荐
weixin_44763883的博客
03-23 1万+
AMD记性频繁卡死,蓝屏,特征在于:打游戏等高负载条件,电脑没有问题;闲置一定时间之后蓝屏或者死机,鼠标键盘无应,界面全部卡死,只能按开机键重启。未保存的数据全部丢失。 近日蓝屏代码 有两类,一,IRQL NOT LESS OR EQUAL 。驱动程序使用了不正确的内存地址造成。 第二种是 KMODE_EXCEPTION_NOT_HANDLED。这种主要是由于过时或损坏的设备驱动程序文件。 以下...
[OSDEV]利用ACPI让操作系统关机,重启,响应关机按钮
GoodQt的专栏
01-16 5614
ACPI(高级配置和电源管理接口,Advanced Configuration and Power Management Interface) 这个到底是什么东西就不多说了,不清楚可以百度 我们用它来关机和重启 (关机的方法貌似不多,就是APM ACPI还有一个貌似是键盘控制器[那天看grub源码,发现grub源码里面就这么关机]) (重启的方法就多了,加载一个坏掉的IDT[比如大小是0的ID
Linux ACPI(一) -- 解析ACPI表
weixin_41028621的博客
06-06 6103
描述acpi 如何解析
ACPI x64-based PC
最新发布
06-09
ACPI x64-based PC 是一个通用的硬件设备描述,它表示一台使用了 64 位处理器的计算机。ACPI 是高级配置和电源管理接口,它是一个开放标准,用于管理计算机硬件和节能。ACPI 管理计算机的硬件资源和电源管理功能,包括 CPU、内存、硬盘、键盘、鼠标、显示器等等。ACPI x64-based PC 是一种通用的硬件描述,它可以适用于各种不同的计算机品牌和型号,因此在设备管理器中常常可以看到这个描述。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值