备注
原文地址：https://evasions.checkpoint.com/techniques/global-os-objects.html
原文标题：Evasions: Global OS Objects
更新日期：2021年5月19日
此文后期：根据自身所学进行内容扩充
因自身技术有限，只能尽自身所能翻译国外技术文章，供大家学习，若有不当或可完善的地方，希望可以指出，用于共同完善这篇文章。


目录

全局目标检测方法
所有全局对象检测方法的基本原理是：在通常的主机上没有这样的对象，但它们存在于特定的虚拟环境和沙盒中。如果存在这样的伪装，则可以检测虚拟环境。
1.检查特定的全局互斥体
此方法检查虚拟环境中存在但通常主机系统中不存在的特定互斥体。
使用的函数：

代码样本

该代码样本归功于：VMDE project
识别标志
如果以下函数包含表列“名称”的第3个参数：

那么这就表明应用程序试图使用规避技术。
检测表

检查是否存在以下全局互斥体:

检测

名称

DeepFreeze

Frz_State

Sandboxie

Sandboxie_SingleInstanceMutex_Control

SBIE_BOXED_ServiceInitComplete_Mutex1

VirtualPC

MicrosoftVirtualPC7UserServiceMakeSureWe'reTheOnlyOneMutex

注意：DeepFreeze是一个在每次重启时恢复系统的应用程序。
2. 检查特定的虚拟设备
这种方法检查特定的虚拟设备，这些设备存在于虚拟环境中，但不在常规的主机系统中。
使用的函数：

代码样本

该代码样本归功于：VMDE project
识别标志
如果下面的函数包含第三个参数，它的字段' ObjectName->Buffer '来自表列' 名称 ':

那么这就表明应用程序试图使用规避技术。
第三个参数的类型如下:

检测表

检查是否存在以下虚拟设备：

检测

路径

VirtualBox

\\.\VBoxMiniRdDN

\\.\VBoxMiniRdrDN

\\.\VBoxGuest

\\.\VBoxTrayIPC

\\.\VBoxMouse

\\.\VBoxVideo

VMware

\\.\HGFS

\\.\vmci

3.检查特定的全局管道
管道只是虚拟设备的一个特殊情况，请参考上一节的代码样本和识别标志。
检测表

检测

字符串

VirtualBox

4.检查特定的全局对象

这种方法检查特定的全局对象，这些对象存在于虚拟环境中，但不存在于常规的主机系统中。
使用的函数：

代码样本

该代码样本归功于：VMDE project
检测表

检查是否存在以下全局对象:

检测

路径

对象

Hyper-V

VmGenerationCounter

\Device

Parallels

prl_pv

\Device

prl_tg

\Device

prl_time

\Device

Sandboxie

SandboxieDriverApi

\Device

SbieDrv

\Driver

SbieSvcPort

\RPC Control

VirtualBox

VBoxGuest

\Device

VBoxMiniRdr

\Device

VBoxVideo

\Driver

VBoxMouse

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)