[原创]纯R3超强检测虚拟机秒杀99%虚拟机隐藏-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]纯R3超强检测虚拟机秒杀99%虚拟机隐藏

发表于: 2019-6-10 15:34 8432

[原创]纯R3超强检测虚拟机秒杀99%虚拟机隐藏

chengqiyan 活跃值

2019-6-10 15:34

8432

#include <iostream>
#include <vector>
using namespace std;
typedef struct __MemRleace
{
	byte souce[256];
	int in_len;
	byte out[256];
	int out_len;


}MemRplace;



//提权
bool EnableDebugPrivilege()
{
	HANDLE hToken;
	LUID sedebugnameValue;
	TOKEN_PRIVILEGES tkp;
	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
	{
		return   FALSE;
	}
	if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue))
	{
		CloseHandle(hToken);
		return false;
	}
	tkp.PrivilegeCount = 1;
	tkp.Privileges[0].Luid = sedebugnameValue;
	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL))
	{
		CloseHandle(hToken);
		return false;
	}
	return true;
}

#include <tlhelp32.h>
DWORD  FindProcessByName(char* Name)
{
	PROCESSENTRY32 PP;
	PP.dwSize = sizeof(PROCESSENTRY32);
	HANDLE H_p = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (H_p == INVALID_HANDLE_VALUE)
	{
		return 0;
		//	 printf("erro");
	}
	BOOL ret = ::Process32First(H_p, &PP);
	while (ret)
	{
		if (strnicmp(Name, PP.szExeFile, strlen(Name)) == NULL)
		{
			::CloseHandle(H_p);
			return PP.th32ProcessID;
		}
		ret = Process32Next(H_p, &PP);
	}

	::CloseHandle(H_p);
	return 0;
}
void FindMemory(DWORD pid, vector<MemRplace>& src)
{
	int findcount =0;
	MEMORY_BASIC_INFORMATION mbi;
	DWORD memoryAddress = 0;
	BYTE *dataBuffer = NULL;
	BOOL readReturn = 0;
	HANDLE pHandle = OpenProcess(PROCESS_ALL_ACCESS, 0, pid);
	while (VirtualQueryEx(pHandle, (LPVOID)memoryAddress, &mbi, sizeof(mbi)))
	{
		if (mbi.Type == MEM_PRIVATE && mbi.Protect != PAGE_EXECUTE && mbi.Protect != PAGE_NOACCESS && mbi.Protect != 128)
		{
			dataBuffer = new BYTE[mbi.RegionSize];
			memset(dataBuffer, 0, mbi.RegionSize);
			readReturn = ReadProcessMemory(pHandle, (LPVOID)memoryAddress, dataBuffer, mbi.RegionSize, 0);
			if (readReturn != 0)
			{
				for (int i = 0; i< mbi.RegionSize; i++)
				{

					for each (auto var in src)
					{
						if (i+var.in_len<mbi.RegionSize)
						{
							if (memcmp(dataBuffer + i, var.souce, var.in_len) == 0)
							{
								DWORD  ol;
								//WriteProcessMemory(pHandle, (LPVOID)(memoryAddress+ i), var.out, var.out_len, &ol);
								findcount++;
								printf("地址：%x 找到：%d  %S size:%d\r\n", memoryAddress + i ,findcount, (WCHAR*)(dataBuffer + i),var.in_len);
								break;

							}
						}
						
					}
				
				}
			}
			else
			{
			}
			delete[]dataBuffer;
		}
		memoryAddress = memoryAddress + mbi.RegionSize;
	}
	CloseHandle(pHandle);
}

void  add_WCHAR_code(vector<MemRplace>&src, WCHAR* code,WCHAR* writecode)
{
	//编译器若是多字节 sizeof wchar的大小不同
	WCHAR* ZZ = L"1";
	int sizexor = wcslen(ZZ) == 1?sizeof(WCHAR):1;
	MemRleace xx;
	memcpy(xx.souce, code, wcslen(code));
	xx.in_len = wcslen(code)*sizexor;

	memcpy(xx.out, writecode, wcslen(writecode));
	xx.out_len = wcslen(writecode);

	src.push_back(xx);
	
}
int main()
{
	EnableDebugPrivilege();
	DWORD pid = FindProcessByName("services");
	if (pid !=0)
	{
		vector<MemRplace> FindArray;
		add_WCHAR_code(FindArray, L"VMware 物理磁盘助手服务", L"1");
		add_WCHAR_code(FindArray, L"VM", L"1");
		FindMemory(pid, FindArray);
		getchar();
	}

}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2019-6-10 16:06 被chengqiyan编辑，原因：

#系统底层 #调试逆向

收藏・20

免费・3

支持

最新回复 (20)
StriveXjun 雪币： 1036 活跃值： (1306) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 2 楼直接爆搜 VM 关键字也是6。这就不能算误伤了。应该是杀敌800 自损1000 2019-6-10 16:33 0
chengqiyan 雪币： 261 活跃值： (547) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 163 粉丝 15 关注私信	chengqiyan 3 楼 StriveXjun 直接爆搜 VM 关键字也是6。这就不能算误伤了。应该是杀敌800 自损1000 命中率还是很高的啊能搜到30+ 总不会每个都错的也可以增加关键词的长度 2019-6-10 16:39 0
Mxixihaha 雪币： 4343 活跃值： (4328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 4 楼写了一大堆仅仅只是检测了一个 Vmware 虚拟机 2019-6-10 16:55 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 5 楼如果仅仅是检测vmware虚拟机，哪里用得着这么麻烦啊。来个文件遍历不是更好？像everything这样的工具，分分钟就把整个硬盘的文件给拿出来了。至于行不行，我也不晓得，因为我也是瞎说的，哈哈 2019-6-10 18:39 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 6 楼宁可杀错不可放过，成规模用不现实。 2019-6-10 20:00 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 7 楼真机虚拟机我就是那幸运的1%？最后于 2019-6-10 20:36 被hzqst编辑，原因： 2019-6-10 20:35 0
Rookietp 雪币： 1042 活跃值： (495) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 8 楼我以为会是什么未公开的API之类的猥琐流 2019-6-10 21:39 0
chengqiyan 雪币： 261 活跃值： (547) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 163 粉丝 15 关注私信	chengqiyan 9 楼 hzqst 真机虚拟机我就是那幸运的1%？是WCHAR类型的 CE勾上UNICODE 2019-6-11 13:27 0
whathhh 雪币： 712 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 2 关注私信	whathhh 10 楼为什么老检测虚拟机啊 2019-6-11 13:42 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 11 楼 chengqiyan 是WCHAR类型的 CE勾上UNICODE 都说了这种方法杀敌800自损1000 我的真机都被你当成虚拟机了 2019-6-11 14:11 0
VCKFC 雪币： 9941 活跃值： (2143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 319 粉丝 16 关注私信	VCKFC 12 楼宁杀错不放过 2019-6-11 14:41 0
黑洛雪币： 6124 活跃值： (4636) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 71 关注私信	黑洛 1 13 楼我真机都被你当成虚拟机了 2019-6-11 17:11 0
深圳建文软件雪币： 510 能力值： (RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	深圳建文软件 14 楼检测虚拟机加载的某些驱动 2019-6-12 01:59 0
齐格弗里德雪币： 176 活跃值： (369) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	齐格弗里德 15 楼还不如枚举驱动呢 2019-6-12 09:24 0
chengqiyan 雪币： 261 活跃值： (547) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 163 粉丝 15 关注私信	chengqiyan 16 楼齐格弗里德还不如枚举驱动呢枚举驱动抄一份代码都可以绕过去这个是在应用层的全局变量 2019-6-12 13:10 0
chengqiyan 雪币： 261 活跃值： (547) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 163 粉丝 15 关注私信	chengqiyan 17 楼 hzqst 都说了这种方法杀敌800自损1000我的真机都被你当成虚拟机了没有这个进程的系统服务表定义不然是可以无误差查询的 2019-6-12 13:13 0
shun其自然雪币： 3144 活跃值： (1624) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 4 关注私信	shun其自然 18 楼 Rookietp [em_2]我以为会是什么未公开的API之类的猥琐流哈哈，你又来偷师学艺！ 2019-6-12 13:16 0
pushmop 雪币： 775 活跃值： (2323) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 203 粉丝 3 关注私信	pushmop 19 楼只负责找，不负责判定真假。无差别攻击？ 2019-7-30 16:30 0
iamasbcx 雪币： 3839 活跃值： (3613) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 190 粉丝 8 关注私信	iamasbcx 20 楼我都是判断硬盘大小（200G）基本不会错 2019-8-3 21:55 0
自天佑之雪币： 258 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	自天佑之 21 楼楼主辛苦 2020-1-15 14:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

chengqiyan

发帖

163

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
StriveXjun 雪币： 1036 活跃值： (1306) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 2 楼直接爆搜 VM 关键字也是6。这就不能算误伤了。应该是杀敌800 自损1000 2019-6-10 16:33 0
chengqiyan 雪币： 261 活跃值： (547) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 163 粉丝 15 关注私信	chengqiyan 3 楼 StriveXjun 直接爆搜 VM 关键字也是6。这就不能算误伤了。应该是杀敌800 自损1000 命中率还是很高的啊能搜到30+ 总不会每个都错的也可以增加关键词的长度 2019-6-10 16:39 0
Mxixihaha 雪币： 4343 活跃值： (4328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 4 楼写了一大堆仅仅只是检测了一个 Vmware 虚拟机 2019-6-10 16:55 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 5 楼如果仅仅是检测vmware虚拟机，哪里用得着这么麻烦啊。来个文件遍历不是更好？像everything这样的工具，分分钟就把整个硬盘的文件给拿出来了。至于行不行，我也不晓得，因为我也是瞎说的，哈哈 2019-6-10 18:39 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 6 楼宁可杀错不可放过，成规模用不现实。 2019-6-10 20:00 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 7 楼真机虚拟机我就是那幸运的1%？最后于 2019-6-10 20:36 被hzqst编辑，原因： 2019-6-10 20:35 0
Rookietp 雪币： 1042 活跃值： (495) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 8 楼我以为会是什么未公开的API之类的猥琐流 2019-6-10 21:39 0
chengqiyan 雪币： 261 活跃值： (547) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 163 粉丝 15 关注私信	chengqiyan 9 楼 hzqst 真机虚拟机我就是那幸运的1%？是WCHAR类型的 CE勾上UNICODE 2019-6-11 13:27 0
whathhh 雪币： 712 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 2 关注私信	whathhh 10 楼为什么老检测虚拟机啊 2019-6-11 13:42 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 11 楼 chengqiyan 是WCHAR类型的 CE勾上UNICODE 都说了这种方法杀敌800自损1000 我的真机都被你当成虚拟机了 2019-6-11 14:11 0
VCKFC 雪币： 9941 活跃值： (2143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 319 粉丝 16 关注私信	VCKFC 12 楼宁杀错不放过 2019-6-11 14:41 0
黑洛雪币： 6124 活跃值： (4636) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 71 关注私信	黑洛 1 13 楼我真机都被你当成虚拟机了 2019-6-11 17:11 0
深圳建文软件雪币： 510 能力值： (RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	深圳建文软件 14 楼检测虚拟机加载的某些驱动 2019-6-12 01:59 0
齐格弗里德雪币： 176 活跃值： (369) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	齐格弗里德 15 楼还不如枚举驱动呢 2019-6-12 09:24 0
chengqiyan 雪币： 261 活跃值： (547) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 163 粉丝 15 关注私信	chengqiyan 16 楼齐格弗里德还不如枚举驱动呢枚举驱动抄一份代码都可以绕过去这个是在应用层的全局变量 2019-6-12 13:10 0
chengqiyan 雪币： 261 活跃值： (547) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 163 粉丝 15 关注私信	chengqiyan 17 楼 hzqst 都说了这种方法杀敌800自损1000我的真机都被你当成虚拟机了没有这个进程的系统服务表定义不然是可以无误差查询的 2019-6-12 13:13 0
shun其自然雪币： 3144 活跃值： (1624) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 50 粉丝 4 关注私信	shun其自然 18 楼 Rookietp [em_2]我以为会是什么未公开的API之类的猥琐流哈哈，你又来偷师学艺！ 2019-6-12 13:16 0
pushmop 雪币： 775 活跃值： (2323) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 203 粉丝 3 关注私信	pushmop 19 楼只负责找，不负责判定真假。无差别攻击？ 2019-7-30 16:30 0
iamasbcx 雪币： 3839 活跃值： (3613) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 190 粉丝 8 关注私信	iamasbcx 20 楼我都是判断硬盘大小（200G）基本不会错 2019-8-3 21:55 0
自天佑之雪币： 258 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	自天佑之 21 楼楼主辛苦 2020-1-15 14:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]纯R3超强检测虚拟机 秒杀99%虚拟机隐藏

[原创]纯R3超强检测虚拟机秒杀99%虚拟机隐藏