恶意样本分析手册-虚拟机检测篇(下)

最新推荐文章于 2024-04-27 10:01:57 发布
最新推荐文章于 2024-04-27 10:01:57 发布
阅读量4.6k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzkk_/article/details/77172444
版权 
在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。
 
 

虚拟机检测


一、VMWare


1.1查找注册表

通过检测注册表“HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0”,在数据项中查找目标数据VMWARE


 
 



HKEY_LOCAL_MACHINE_SYSTEM_ControlSet001\Services\VMware Pyhsical Disk Helper Service

 





1.2搜索特定程序


Vmtoolsd.exe

vmacthlp.exe

VMwareUser.exe

VMwareTray.exe

VMUpgradeHelper.exe

bool SearchTargetPro(WCHAR* strProName)

{

PROCESSENTRY32 pe32;

pe32.dwSize = sizeof(pe32);

HANDLE hProcessSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

if (hProcessSnap == INVALID_HANDLE_VALUE)

{

exit(1);

}

bool bMore = ::Process32First(hProcessSnap, &pe32);

while (bMore)

{

if (wcsstr(pe32.szExeFile, strProName))

{

return true;

bMore = false;

}

else

{

bMore = ::Process32Next(hProcessSnap, &pe32);

}

}

CloseHandle(hProcessSnap);

return bMore;

}

 

1.3通过执行特权指令

Vmware为真主机与虚拟机之间提供了相互沟通的通讯机制,它使用“IN”指令来读取特定端口的数据以进行两机通讯,但由于IN指令属于特权指令,在处于保护模式下的真机上执行此指令时,除非权限允许,否则将会触发类型为“EXCEPTION_PRIV_INSTRUCTION”的异常,而在虚拟机中并不会发生异常,在指定功能号0A(获取VMware版本)的情况下,它会在EBX中返回其版本号“VMXH”;而当功能号为0x14时,可用于获取VMware内存大小,当大于0时则说明处于虚拟机中。VMDetect正是利用前一种方法来检测VMware的存在,其检测代码分析如下:

 

void IsInsideVMWare()

{

bool rc = true;

__try

{

__asm

{

push   edx

push   ecx

push   ebx

mov    eax, 'VMXh'

mov    ebx, 0  // 将ebx设置为非幻数’VMXH’的其它值

mov    ecx, 10 // 指定功能号,用于获取VMWare版本,当它为0x14时用于获取VMware内存大小

mov    edx, 'VX' // 端口号

in     eax, dx // 从端口dx读取VMware版本到eax

//若上面指定功能号为0x14时,可通过判断eax中的值是否大于0,若是则说明处于虚拟机中

cmp    ebx, 'VMXh' // 判断ebx中是否包含VMware版本’VMXh’,若是则在虚拟机中

setz   [rc] // 设置返回值

pop    ebx

pop    ecx

pop    edx

}

}

__except (EXCEPTION_EXECUTE_HANDLER)  //如果未处于VMware中,则触发此异常

{

rc = false;

}

if (rc == true)

{

cout << "In VMWare!" << endl;

}

else

{

cout << "Not In VMWare!" << endl;

}

}

void test6(void)

{

unsigned int    a = 0;

__try {

__asm {

// save register values on the stack

push eax

push ebx

push ecx

push edx

// perform fingerprint

mov eax, 'VMXh'

mov ecx, 14h

mov dx, 'VX'

in eax, dx

mov a, eax

pop edx

pop ecx

pop ebx

pop eax

}

}

__except (EXCEPTION_EXECUTE_HANDLER) {}

printf("\n[+] Test 6: VMware \"get memory size\" command\n");

if (a > 0)

printf("Result  : VMware detected\n\n");

else

printf("Result  : Native OS\n\n");

}


1.4查找特定的驱动模块
最低0.47元/天 解锁文章
zzkk_
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决VirtualBox Additional Tools 安装到主机后拔出鼠标蓝屏的问题
Cany0N的博客
04-21 2110
使用VirtualBox时开Ubuntu的虚拟机,默认锁命令行模式下的分辨率400*600左右,图形模式下很不方便,所以就想着调整虚拟机的分辨率。理论上应该将这个工具镜像添加到虚拟机中,并安装,然后才能在VBox的view界面调整虚拟机分辨率。一开始没太理解怎么弄,将VirtualBox Additional Tools的镜像装载到Host并安装了。这就是电脑会时不时蓝屏重启,且拔出鼠标USB必重启的根源。
检测虚拟机环境(一)
溡漪幽博客
10-24 1017
虚拟机环境的检测有多种方法,这里以注册表痕迹检测法为例,谈谈如何快速检测虚拟环境。
QEMU 防检测技术:打造更安全的虚拟化环境
最新发布
gitblog_00014的博客
04-27 438
QEMU 防检测技术:打造更安全的虚拟化环境 项目地址:https://gitcode.com/zhaodice/qemu-anti-detection 项目简介 QEMU Anti-Detection 是一个专为提高QEMU(Quick Emulator)模拟器安全性而设计的开源项目。它提供了一系列策略和技巧,旨在避免恶意软件通过探测系统特征来识别正在运行的QEMU实例,从而降低了虚拟化环境被攻...
Windows10下使用Virtual Box一启动虚拟机就蓝屏(错误代码SYSTEM_SERVICE_EXCEPTION)解决方案
不应有的淡定的博客
02-10 3万+
最近在搭hadoop的完全分布模式,开了四个virtual box虚拟机,本来一直都没事,下午突然卡了。不知为何。贼卡受不了就把笔记本按电源键强关了(经常这么干),以为没什么事,完之后打开virtualbox开虚拟机就炸了,一打开虚拟机电脑就立马蓝屏重启,新建虚拟机也没用,然后就开始百度,百度上全说什么驱动不对,然后我就卸载升级各种驱动,然后各种重装VirtualBox,还是不行,搞了一两个小时,都
VMware虚拟机检测详细教程,巨全面,小白专享教程
热门推荐
qq_54001206的博客
08-28 4万+
虚拟机检测,修改硬件,解除机器码,流畅稳定多开游戏
虚拟机检测技术剖析
02-10 841
作者:riusksk (泉哥) 前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware,Virtual PC ,Vi
S7-200 SMART PLC 选型样本手册(202108).rar
12-11
《S7-200 SMART PLC 选型样本手册(202108)》是西门子针对其S7-200 SMART系列PLC发布的一份详细的技术参考资料,旨在帮助用户根据具体需求正确选择合适的PLC产品。这份手册涵盖了2021年8月更新的所有相关信息,为...
SIEMENS S7-1200PLC 选型样本手册2022.09.pdf
10-14
SIMATIC S7-1200PLC 选型样本手册手册详细介绍了SIEMENS SIMATIC S7-1200可编程控制器的选型样本,涵盖了该系列产品的技术综述、产品特点、应用场景、配置方案等方面的内容。下面是从该手册中提取的关键知识点:...
S7-200 SMART PLC 选型样本手册(202209).pdf
10-14
S7-200 SMART PLC 选型样本手册
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本
虚拟机检测手段
weixin_30500289的博客
07-14 938
  学习一下虚拟机检测的手段,在网上找了一些,练习一下,顺便学习一下涉及的其他知识。   但是由于现在虚拟机技术愈发大的发展,虚拟机检测技术作用也愈发的小了,然而学以致用,或许在其他方面有所帮助。 代码编辑时的配置:   UNICODE字符集;   VS2015 WinXP平台;   静态编译。   或许由于调用过多CRT函数,编译出来的程序体积约几百Kb。   部分虚拟机检测方法对现在的虚...
检测vmware等类似的虚拟机
zhangmiaoping23的专栏
01-23 2123
转:http://bbs.pediy.com/showthread.php?t=214890 Anti-Virtualization / Full-System Emulation Registry key value artifacts HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Un
虚拟机检测技术
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
05-05 2978
第一次尝试恶意代码分析就遇到了虚拟机检测,于是就想着先学习一下检测的技术然后再尝试绕过。学习后最终发现,似乎最好的方法不应该是去patch所有检测方法,而是直接调试并定位检测函数再绕过。但既然已经研究了两天,索性将收集到的资料整理一下,方便后人查找。
汇总病毒样本的常用反调试技术、反分析技巧(持续更新)
ATree的博客
09-06 1213
自己在看到一些没见过的反调试技术时,感觉很好奇,不清楚时如何反调试的,但是还是会很努力的去弄懂它们,现在呢,我希望记录下我见过的一些反调试手段,这样后面大家如果碰到类似的反调试技术时,都会很容易理解这段恶意代码的作用了。 1、下图中是通过检测kernel32.dll模块中是否有导出wine_get_unix_file_name函数,来判断当前环境是否是Wine模拟器环境 2、下图中的v3的...
使用 QEMU 进行系统仿真
探索之路
11-14 359
机器中的机器 文档选项 &lt;noscript&gt;&lt;/noscript&gt; &lt;noscript&gt;&amp;amp;lt;tr valign=&amp;amp;quot;top&amp;amp;qu...
Neo4j ERROR: Detected VM stop-the-world pause: {pauseTime=111, gcTime=0, gcCount=0}
aCupxxx的博客
10-11 722
问题: 服务访问慢,neo4j执行cql查询语句慢,neo4j日志报错警告: Detected VM stop-the-world pause.原因: 服务端存在单条CQL语句对大量节点node执行修改的语句;单条CQL操作数据量大(2M),执行耗时长(4h).解决: 优化改慢修改慢查询CQL,改为批量修改等方式. 2022-10-10 11:24:58.437+0800 WARN [o.n.k.i.c.VmPauseMonitorComponent] Detected VM stop-the-world
Indirect descriptors for Xen PV disks
Wang Shen
03-05 925
转自:Indirect descriptors for Xen PV disks Indirect descriptors for Xen PV disksSome time ago Konrad Rzeszutek Wilk (the Xen Linux maintainer) came up with a list of possible improvements to the Xen PV b
基于Qemu搭建x86_64虚拟环境运行Linux内核
w512的专栏
09-05 6769
主机软件版本信息 主机系统: wxer@wxer:~$ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 20.04.1 LTS Release: 20.04 Codename: focal 模拟器版本(Qemu版本): wxer@wxer:~$ qemu-system-x86_64 --version QEMU emulator version 4.2.0 Copyrig
藏经阁-机器学习在恶意样本检测方面 的实践之路.pdf
08-31
面对日益增长的恶意样本,传统的判定规则已经无法满足需求,因此引入机器学习作为人工智能和大数据分析的关键技术,以提高检测效率和准确性。 在实践中,公司采用了以下方法: 1. 样本不均衡问题的解决:通过过采样...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值