-
-
[分享]antiVM ida pro插件-快速识别anti-vm行为
-
发表于: 2022-9-1 19:51
-
基本描述:
ida pro 插件,安装之后快速识别代码中的anti操作。以防万一,使用前可以先保存idb快照。目的是减少分析人员对抗时间。
基于Yara-Rules项目,扩充yara规则。
使用al-khaser做测试和丰富特征,项目提供编译版本供大家测试。
可以通过快捷键 Ctrl + atl + A 执行,也可以在plugins目录下允许。
使用演示:
项目地址:
https://github.com/Hipepper/antiVM
后续改进:
rules很多是宽泛的,这会导致一点点误报,比如针对进程dll的检测:
后续还需要优化,另外对IOA的规则本地还没有丰富完。比如对CPUID,SIDT检测,基于指令的规则会带来更大的误报,后期还需要添加。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
