-
-
[原创]反虚拟机技术总结
-
发表于: 2018-4-5 17:00
-
大概是在一年半以前我在自己CSDN博客上写了详解反虚拟机技术和详解反调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“反调试”和“反虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。
恶意代码编写者经常使用反虚拟机技术逃避分析,这种技术可以检测自己是否运行在虚拟机中。如果恶意代码探测到自己在虚拟机中运行,它会执行与其本身行为不同的行为,其中最简单的行为是停止自身运行。近年来,随着虚拟化技术的使用不断增加,采用反虚拟机技术的恶意代码数量逐渐下降。恶意代码编写者已经开始意识到,目标主机是虚拟机,也并不意味着它就没有攻击价值。随着虚拟化技术的不断发展和普通应用,反虚拟机技术可能变得更加少见。这里研究最常见的反虚拟机技术(包括VMware、virtualbox和virtualpc,重点是最常用的VMware),并且介绍一些如何防御它们的办法。
通过禁用VMware加速可以防止No Pill技术的探测。
对付这种反虚拟化技术的最简单方法是使用NOP指令替换in指令,或修补条件跳转,使得它不论比较结果如何,都执行到未探测到虚拟机的程序分支。
这个输出表明脚本检测到了三条漏洞指令类型。滚动到IDA PRO的反汇编窗口,我们看到三条红色高亮显示的指令sidt、str和sldt。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2018-4-5 21:03
被houjingyi编辑
,原因:
|
|
|---|---|
|
|
图片没有帖上来,建议重新帖一下。可以用截图软件截,然后直接粘贴到论坛编辑器里。
 |
|
|
OK,已经重新编辑 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
现在VM都支持VT嵌套,在里面跑的VT,修改下CPUID的返回,很容易绕过。 |
|
|
|
|
|
|
|
|
知道这个,这里面大部分我应该都提了,我讲的应该要详细一点 |
|
|
|
|
|
|
|
|
|
|
|
好文!几天不来,论坛就又有这么多好文章了?
|
|
|
|
|
|
LZ辛苦了
|
|
|
|
|
|
|
