[原创] 看我安排反虚拟机检测-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创] 看我安排反虚拟机检测

发表于: 2018-9-20 11:14 32486

[原创] 看我安排反虚拟机检测

hzqst

2018-9-20 11:14

32486

已开源，MIT协议

总的来说就是先改vmx撸掉cpuid的hypervisor present bit和几个后门特权指令

然后特征定位到管理SystemFirmwareTable的链表，把里面填充信息的handler接管了，任何人请求firmware信息的时候都先在buffer里搜索一遍有没有不和谐的特征"VMWare" "Virtual"有就撸掉

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2018-9-20 11:19 被hzqst编辑，原因：

收藏・74

免费・14

支持

打赏 + 3.00雪花

junkboy

demoscene

打赏次数 2

雪花 + 3.00

junkboy	+2.00	2018/09/20
demoscene	+1.00	2018/09/20

最新回复 (38) 1 2 ▶
asd 雪币： 7146 活跃值： (3731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 2 楼大表哥安排妥妥的 2018-9-20 11:17 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 3 楼顶大表哥一个！ 2018-9-20 11:18 0
FANTASYING 雪币： 2435 活跃值： (750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 149 粉丝 6 关注私信	FANTASYING 4 楼表哥666 2018-9-20 11:18 0
万剑归宗雪币： 914 活跃值： (2468) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 5 楼安排就完事儿了 2018-9-20 11:18 0
病毒小子雪币： 3848 活跃值： (642) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 147 粉丝 1 关注私信	病毒小子 6 楼 777777777777777777 2018-9-20 11:30 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 7 楼 66666 2018-9-20 11:30 0
淡淡的荧光雪币： 79 活跃值： (1494) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 49 粉丝 15 关注私信	淡淡的荧光 1 8 楼表哥666 2018-9-20 11:44 0
Thead 雪币： 407 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 9 楼大表哥请问一下“\\Device\\VirtualDiskXClient\\VDXCLN1”这种是个什么设备的名字？在你的Syscall-Monitor里见到的 2018-9-20 12:01 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 10 楼 7的意志 2018-9-20 12:05 0
syser 雪币： 3574 活跃值： (4719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 11 楼表白大表哥 2018-9-20 12:12 0
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 12 楼 lz牛逼. 最后于 2018-9-20 12:50 被猪会被杀掉编辑，原因： 2018-9-20 12:17 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 13 楼 Thead 大表哥请问一下“\\Device\\VirtualDiskXClient\\VDXCLN1”这种是个什么设备的名字？在你的Syscall-Monitor里见到的记得是某个网吧无盘（貌似是顺网?）的虚拟磁盘的设备 2018-9-20 13:39 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 14 楼很好奇你是怎么知道虚拟机哪些地方被检测的?怎么研究的 2018-9-20 14:04 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 15 楼 killpy 很好奇你是怎么知道虚拟机哪些地方被检测的?怎么研究的 https://github.com/LordNoteworthy/al-khaser 2018-9-20 14:50 0
开花的水管雪币： 1535 活跃值： (695) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 358 粉丝 2 关注私信	开花的水管 16 楼 666666666666666666 2018-9-20 14:54 0
ssarg 雪币： 465 活跃值： (667) 能力值： ( LV4，RANK：40 ) 在线值：发帖 63 回帖 484 粉丝 2 关注私信	ssarg 17 楼看上去很NNNNNNNNNB,就问一个问题，最后图片如果只是突显文字的话，背景图是什么鬼？ 2018-9-20 15:07 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 18 楼我一般是直接在 vmx文件里面设置cpuid撸掉hypervisor present bit，应用层获取FirmwareTable 的直接hook api搞定。这种方法只适合VMP，SE的检测虚拟机方法还会去检测注册表位置。 2018-9-20 15:30 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 19 楼 StriveXjun 我一般是直接在 vmx文件里面设置cpuid撸掉hypervisor present bit，应用层获取FirmwareTable 的直接hook api搞定。这种方法只适合VMP，SE的检测虚拟 ... SE的我看了，注册表需要https://github.com/JKornev/hidden，不然就得一个个手动删掉明天我把注册表的部分安排上 2018-9-20 17:04 0
wuzhuyecao 雪币： 54 活跃值： (923) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	wuzhuyecao 20 楼 good 牛逼 2018-9-20 20:15 0
wuzhuyecao 雪币： 54 活跃值： (923) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	wuzhuyecao 21 楼 10楼老V 哪里都有老V 2018-9-20 20:16 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 22 楼 66666 2018-9-20 23:28 0
uu123 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	uu123 23 楼安排的妥妥 2018-9-21 01:02 0
wuzhouzcx 雪币： 6140 活跃值： (2604) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 7 关注私信	wuzhouzcx 24 楼 666666666666666666 2018-9-21 08:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hzqst

发帖

1793

回帖

280

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (38) 1 2 ▶
asd 雪币： 7146 活跃值： (3731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 2 楼大表哥安排妥妥的 2018-9-20 11:17 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 3 楼顶大表哥一个！ 2018-9-20 11:18 0
FANTASYING 雪币： 2435 活跃值： (750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 149 粉丝 6 关注私信	FANTASYING 4 楼表哥666 2018-9-20 11:18 0
万剑归宗雪币： 914 活跃值： (2468) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 5 楼安排就完事儿了 2018-9-20 11:18 0
病毒小子雪币： 3848 活跃值： (642) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 147 粉丝 1 关注私信	病毒小子 6 楼 777777777777777777 2018-9-20 11:30 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 7 楼 66666 2018-9-20 11:30 0
淡淡的荧光雪币： 79 活跃值： (1494) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 49 粉丝 15 关注私信	淡淡的荧光 1 8 楼表哥666 2018-9-20 11:44 0
Thead 雪币： 407 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 9 楼大表哥请问一下“\\Device\\VirtualDiskXClient\\VDXCLN1”这种是个什么设备的名字？在你的Syscall-Monitor里见到的 2018-9-20 12:01 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 10 楼 7的意志 2018-9-20 12:05 0
syser 雪币： 3574 活跃值： (4719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 11 楼表白大表哥 2018-9-20 12:12 0
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 12 楼 lz牛逼. 最后于 2018-9-20 12:50 被猪会被杀掉编辑，原因： 2018-9-20 12:17 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 13 楼 Thead 大表哥请问一下“\\Device\\VirtualDiskXClient\\VDXCLN1”这种是个什么设备的名字？在你的Syscall-Monitor里见到的记得是某个网吧无盘（貌似是顺网?）的虚拟磁盘的设备 2018-9-20 13:39 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 14 楼很好奇你是怎么知道虚拟机哪些地方被检测的?怎么研究的 2018-9-20 14:04 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 15 楼 killpy 很好奇你是怎么知道虚拟机哪些地方被检测的?怎么研究的 https://github.com/LordNoteworthy/al-khaser 2018-9-20 14:50 0
开花的水管雪币： 1535 活跃值： (695) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 358 粉丝 2 关注私信	开花的水管 16 楼 666666666666666666 2018-9-20 14:54 0
ssarg 雪币： 465 活跃值： (667) 能力值： ( LV4，RANK：40 ) 在线值：发帖 63 回帖 484 粉丝 2 关注私信	ssarg 17 楼看上去很NNNNNNNNNB,就问一个问题，最后图片如果只是突显文字的话，背景图是什么鬼？ 2018-9-20 15:07 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 18 楼我一般是直接在 vmx文件里面设置cpuid撸掉hypervisor present bit，应用层获取FirmwareTable 的直接hook api搞定。这种方法只适合VMP，SE的检测虚拟机方法还会去检测注册表位置。 2018-9-20 15:30 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 19 楼 StriveXjun 我一般是直接在 vmx文件里面设置cpuid撸掉hypervisor present bit，应用层获取FirmwareTable 的直接hook api搞定。这种方法只适合VMP，SE的检测虚拟 ... SE的我看了，注册表需要https://github.com/JKornev/hidden，不然就得一个个手动删掉明天我把注册表的部分安排上 2018-9-20 17:04 0
wuzhuyecao 雪币： 54 活跃值： (923) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	wuzhuyecao 20 楼 good 牛逼 2018-9-20 20:15 0
wuzhuyecao 雪币： 54 活跃值： (923) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	wuzhuyecao 21 楼 10楼老V 哪里都有老V 2018-9-20 20:16 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 22 楼 66666 2018-9-20 23:28 0
uu123 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	uu123 23 楼安排的妥妥 2018-9-21 01:02 0
wuzhouzcx 雪币： 6140 活跃值： (2604) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 7 关注私信	wuzhouzcx 24 楼 666666666666666666 2018-9-21 08:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复