|
|
|
[原创]终端对抗-反虚拟环境指南
还有就是沙箱存在误报,我没有用到GetSystemInfo来检测CPU逻辑线程数。但报了。硬件检测所有过程不存在shellcode,但也报了。 |
|
[原创]终端对抗-反虚拟环境指南
我刚改动了一下我的小工具,启动时,直接显示硬件页,想看看沙箱环境的电脑主板等信息,结果。没有可用的“运行截图”,刚开始我以为是我原来的各种反调式检测到调试自动退出了运行。后来又改动了代码,如果检测到调试的,显示一个对话框,改动后,提交上去,也是没有可用的“运行截图”
最后于 2024-6-21 11:37
被kagayaki编辑
,原因:
|
|
Windows 可视化管理 1.0.8.2
1.0.7.3 (2024-6-21 更新) (WVM.exe MD5:C7F0E98C2AD52817424C203F73E2CC16) 改进部份 API 调用(d3dx9_33.dll 相关功能改为动态加载)。
最后于 2024-6-21 11:24
被kagayaki编辑
,原因:
|
|
[原创]终端对抗-反虚拟环境指南
判断沙箱环境这个,感觉你是上面的代码是检测到USB设备触发的,我测试了一下,沙箱上是4线程,内存是5G,而检测USB设置这个,我实机也没用过USB,网吧还原环境按理也检测不了 |
|
|
|
Windows 可视化管理 1.0.8.2
1.0.7.2 (2024-6-20 更新) (WVM.exe MD5:9857E135FEBCF37A91F0754B47E65290) 减掉一半体积(VMProtect 选低版本, 现在是6MB, 不加VMP是1MB)。 优化内部性能。 优花“硬盘”检测方面的内存。 调整部份术语。 调整部份检测功能显示(原来检测到一些无意义的值都是不显示相关功能的,现在改为显示)。 调整并增加“命名空间”菜单相关功能。 增加并调整“清理页“中“右键菜单”子页“命名空间”相关功能。 增加“清理页“中“右键菜单”菜单识别。 增加新“启动项“识别。 增加“总揽“页中,“病毒防护“、和“间谍软件和垃圾软件防护“、“网络防火墙“等相关检测。 备注未有空排查的问题: 1、已知这个在特定路径中,进程页第一次显示要十几秒才刷新出来。 (***中文\WVM\WVM\WVM1.0.7.2\WVM.exe 这样的目录运行秒出) (***中文\WVM\WVM\WVM.exe 这样的目录运行要十几秒出才刷新出)
最后于 2024-6-21 10:56
被kagayaki编辑
,原因:
|
|
|
|
Windows 可视化管理 1.0.8.2
1.0.7.1 (2024-6-10 更新) (WVM.exe MD5:FD07556E40EA41646097085360A24CDA) 修正虚拟显示器识别(当时不小注释了部份代码)。 优化内部 API 调用来调整性能。 调整部份硬盘 SMART 相关术语并增加相关功能。 (“硬件”中的“总揽“页“硬盘”温度检测方式当时参考网上文章来做的,不通用所有硬盘) 改进“硬件”页的“硬盘 SMART”页来检测“剩余寿命”和“温度” 增加显卡测试(Direct3D 测试)。 |
|
Windows 可视化管理 1.0.8.2
昨天检查代码时,发现以前的虚拟显示器识别结果不准确(当时因检测方法不通用旧的显示器,所以注释了部份代码导致检测没能调用,但取检测值了)。 |
|
Windows 可视化管理 1.0.8.2
mahuan 报错退出了,运行以后 挨个菜单看一下, 在什么功能上报错退出? 我这边重试了一下,没有重现,目前已知一个会报错的地方是“硬件”页中的“显示器”页,这个功能,以前在一间网吧中,无意测试到会报错,原因可能是这个网吧的显示器设备安装和正常的设备不同,但我这边没有这个环境,所以重现不了错误,所以在显示器这页,会有日志输出,用来了解以后如果有报错的,代码出错在什么地方。如果是“显示器”页报错的,可以把日志内容发出来看看, 日志里面只会有1到5的数字,不包含个人隐私。
最后于 2024-5-26 17:28
被kagayaki编辑
,原因:
|
|
Windows 可视化管理 1.0.8.2
1.0.7.0 (2024-5-25 更新) (WVM.exe MD5:1F4798280945487256DD405FC3B4061E) 完善硬件访问检测。 完善光驱其他特性检测。 完善光驱托盘弹出和关闭控制。 增加光驱托盘状态检测(打开或关闭)。 (目前无硬件测试) 增加光驱读写速度检测、光盘刻录模式、虚拟光驱等检测。 增加虚拟硬件识别(硬盘、网卡等)。 增加网卡工作模式、唤醒计算机等检测。 完善一些介面小细节(并调整部份术语、增加相关检测)。 调整调用检测壳软件的调用目录(有一些软件不支持) |
|
PE文件入门,一篇就够了
支持 |
|
|
|
Windows 可视化管理 1.0.8.2
有术语翻译不正确的,大家也可以提出来 |
|
|
|
Windows 可视化管理 1.0.8.2
1.0.6.10 (2024-5-9 更新) (WVM.exe MD5:F430EBB83C9DF3A5999E0128B1329A31) 完善光驱支持、特性等检测。并调整个别术语(优化序列号、光盘类型支持)。 完善一些介面小细节。 完善 USB 设备检测一些细节(部份功能未用到,所以未调用)。 调整 CPU 检测输出的 CPUID 信息位置。 删除上个版本中,光驱检测项中的的“支持媒体类型(DVD-ROM)”,改功能为“光盘加载方式” 检测信息: 光驱: PLDS DVD-RW DS8A8SH ATA Device / 制造商:联想 / 序列号:88S85N8888Z1ZMJR88CWGT / 地理区域:6,中国 / 用户更改剩余次数:3 / 厂商更改剩余次数:4 / 地区码:1 (区域已设置) / 区域播放控制:223 / 支持的缓冲区大小:768KB 光盘加载方式:托盘式 / 总线类型:AT附件包接口(ATAPI) / 固件修订:EL3A / 固件日期:2014年10月28日12小时00分00秒 / 驱动版本:6.1.7601.17514 / 驱动日期:6-21-2006 光盘类型支持: 蓝光只读光盘(BD-ROM):不支持 BD-R:不支持 BD-RE:不支持 高清数字多功能只读光盘(HD DVD-ROM):不支持 HD DVD-R Dual Layer:不支持 HD DVD-RW Dual Layer:不支持 HD DVD-R:不支持 HD DVD-RW:不支持 HD DVD-RAM:不支持 数字多功能只读光盘(DVD-ROM):只读 DVD+R9 Dual Layer:读/写 DVD+RW9 Dual Layer:不支持 DVD+R:读/写 DVD+RW:读/写 DVD-R9 Dual Layer:读/写 单面双层可重写式数字多功能光盘(DVD-RW9 Dual Layer):不支持 可记录式数字多功能光盘(DVD-R):读/写 可重记录型数字多功能光盘(DVD-RW):读/写 数字多功能光盘随机存储器(DVD-RAM):读/写 只读光盘(CD-ROM):只读 可刻录光盘(CD-R):读/写 可擦写光盘(CD-RW):读/写 光驱特性: 已支持: 防缓存欠载保护(BUF) C2 错误指针 CD+G CD-Text 可刻录 DVD-Download 光盘 光盘控制块 DVD 内容保护机制识别码(CPRM) DVD-内容扰乱系统(CSS) 电源管理 跳层录制 模拟音频播放 写测试 写保护 随机可写 随机可读 多重读取 超时 缺陷管理 增量流式处理可写 实时流式处理 变形 未支持: 高级访问内容系统(AACS) BD-R伪覆盖 混合光盘 微代码升级 Mount Rainier OSSC 锁码刻(SecurDisc) 自我监测分析与报告技术(SMART) 视频内容保护系统(VCPS) 写入一次 扇区可擦除 及时安全记录(TSR) 嵌入式更换器(EC) 增强型缺陷报告 数字端口(1) 数字端口(2)
最后于 2024-5-9 14:56
被kagayaki编辑
,原因:
|
|
1.0.6.8 (2024-3-14 重新更新) (WVM.exe MD5:01B476F21A300073F5116FAEBA8FF8A8)
修正检查“操作痕迹”数据时,为方便调试指定数据,而注释掉其他类型的“操作痕迹”数据,导致不执行相关的检查代码。 (方便用户单独发日志文件给我调试分析数据) 增加检查“操作痕迹”时,如有未能识别的数据,输出到日志中。 增加“操作痕迹”数据识别。 增加“操作痕迹”右键菜单的相关的查找功能。 去掉“清理”页,中“操作痕迹”子页中的“童锁”功能。 增加“设置”页,中“本软件”子页中的调用“查壳”工具相关功能。 增加“设置”页,中“其他”子页中“查询文件使用情况”。 增加“设置”页,中“其他”子页中“视觉保护豆沙绿色”。 增加“设置”页,中“其他”子页中的“文件校验”里面的修改PE32 时间戳。 增加“硬件”页,中“总揽”子页中的“附近设备”检测(客厅电视、网关等设备)。 增加“硬件”页,“显示器”相关制造商支持。 增加“硬件”页,“主板”相关制造商支持。 完善“操作痕迹”数据识别。 完善一些介面小细节。 完善上个版本的一些功能。 优化部份功能性能。
最后于 2024-3-14 16:01
被kagayaki编辑
,原因:
|