备注
原文地址：https://evasions.checkpoint.com/techniques/firmware-tables.html
原文标题：Evasions: Firmware tables
更新日期：2021年5月31日
此文后期：根据自身所学进行内容扩充
因自身技术有限，只能尽自身所能翻译国外技术文章，供大家学习，若有不当或可完善的地方，希望可以指出，用于共同完善这篇文章。

目录

固件表的检测方法

1. 检查原始固件表中是否存在特定的字符串

1.1. Windows Vista+

1.2. Windows XP

2. 检查原始SMBIOS固件表中是否存在特定字符串

2.1. Windows Vista+

2.2. Windows XP

反制措施

归功于

固件表的检测方法
如果操作系统是在虚拟环境下运行的，那么操作系统会使用一些特殊的内存区域，其中包含特定的伪装。根据操作系统版本的不同，可以使用不同的方法转储这些内存区域。
固件表是通过SYSTEM_FIRMWARE_TABLE_INFORMATION对象检索的。它的定义如下：

1. 检查原始固件表中是否存在特定的字符串
扫描检索到的固件表以确定是否存在特定字符串。

根据Windows的版本，不同的功能被用于这种检查。见下面的代码样本。
1.1. Windows Vista+
代码样本：

此代码样本归功于：VMDE项目
识别标志：
如果函数

NtQuerySystemInformation

包含：

第1个参数等于76 (SystemFirmwareTableInformation)

第2个参数的sfti->ProviderSignature字段被初始化为'FIRM'并且 sffti ->Action字段初始化为1

那么这就表明应用程序试图使用这种规避技术。
1.2. Windows XP
代码样本：

识别标志：
如果以下函数包含csrss.exe进程的PID作为其第3个参数:

HANDLE hCSRSS = OpenProcess(..., csrss_pid)

并在其后调用以下函数:

NtReadVirtualMemory(hCSRSS, 0xC0000, ...)

其中包含:

第一个参数等于csrss.exe的句柄

第2个参数等于0xC0000

那么这就表明应用程序试图使用这种规避技术。
检测表：

检查原始固件表中是否存在以下字符串:

检测

字符串

Parallels

Parallels(R)

VirtualBox

Innotek

Oracle

VirtualBox

VirtualPC

S3 Corp.

VMware

VMware

2. 检查原始SMBIOS固件表中是否存在特定字符串
检索的固件表被扫描，以确定是否存在特定的字符串。

根据Windows的版本，不同的功能被用于这种检查。见下面的代码样本。
2.1. Windows Vista+
代码样本：

这个代码样本归功于：VMDE项目
识别标志：
如果函数：

NtQuerySystemInformation

包含：

第1个参数等于76 (SystemFirmwareTableInformation)

第二个参数的sfti->ProviderSignature字段被初始化为'RSMB'并且sfti->Action字段被初始化为1。

那么这就表明应用程序试图使用这种规避技术。
2.2. Windows XP
代码样本：

识别标志：
如果以下函数包含csrss.exe进程的PID作为其第3个参数：

HANDLE hCSRSS = OpenProcess(..., csrss_pid)

并在其后调用以下函数：

NtReadVirtualMemory(hCSRSS, 0xE0000, ...)

其中包含：

第一个参数等于csrss.exe句柄

第二个参数等于0xE0000

那么这就表明应用程序试图使用这种规避技术。
检测表：

检查原始SMBIOS固件表中是否存在以下字符串:

检测

字符串

Parallels

Parallels Software International

VirtualBox

Innotek

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！