浅谈VMware环境去虚拟化
最近在调试一个病毒样本 , 外壳加了VMP3.5 , 虚拟化工具和反调试使得在原虚拟机系统上不是那么的方便 。 由于我使用的是OD , 分析绕过的只有VMP的反调试 , 所以我选择寻求去虚拟化系统来减少工作量(嘿嘿) 。 如果你的Ollydbg或者操作环境已经能够绕过虚拟化检测 , 那么恭喜你 , 你很强 。
文章图片
虚拟化检测通过
隔壁网安的告诉我 , 用ollydbg的都是低端人士 , 高手人人都用IDA 。 虽然心有不甘 , 但是我觉得对于这种强加密虚拟化的病毒样本 , 用Ollydbg来分析跟踪相比于IDA来说会更加方便一些 , 即使两者不是一个量级 。
0x00虚拟化检测工具
虚拟化检测工具字如其名是为了检测该程序是否存在于虚拟化环境中 , 先对虚拟机进行检测 , 防止在动态分析样本时出现虚拟化异常 。
这里我在吾爱破解论坛上找到份18年的比赛作品 , 从8个方面检测虚拟机环境:
查询通信端口
通过地址检测
检测
通过主板序列号、型号、系统盘所在磁盘名称等其他硬件信息
搜索特定进程检测
通过注册表检测
通过服务检测
文件路径检测
通过时间差检测
文章图片
检测工具
0x01去虚拟化思路
其中较为难解决的是CPUID和进程、服务的隐藏 , 其他可以通过修改设备信息做到 。
CPUID
CPUID检测是大多数检测程序都会用到的 , 这里我们可想.vmx配置文件中添加
在绕VMP3.5的虚拟机检测时也需要在上断点置为 , 这里CPUID就算完成了 , 接下来我们需要对关键进程和服务进行隐藏 。
进程和服务隐藏
简单的解决办法就是不安装VMtool , 自行安装虚拟机系统所需要的驱动 , 实在需要VMTOOL的话 , 可以使用对其进程进行隐藏 , 这种已经烂大街了 , 需要的可以直接在百度上看看 。 如果要深入研究 , 和 , 可以看下当年Github大佬的驱动级隐藏服务进程 。
点我前去
实在找不到的话 , 可以通过加载启动他人的驱动文件底层过滤掉检测函数 , 达到绕过进程服务检测 , 不过这样的话需要对系统进行(对于64位系统而言) , 绕过的工具和文章百度值得拥有 。
0x02配置系统并进行检测
配置好系统和文件后 , 一定要对虚拟机系统进行虚拟化检测 , 避免在调试跟踪时出现难以预料的问题:
文章图片
GIF
很好 , 虚拟化检测全部绕过 , 目前该操作环境与真实环境基本无区别 , 后续可以较为安心地调试程序或者其他样本 。
【浅谈VMware环境去虚拟化】0x03比赛作品的部分代码
- 操作系统|浅谈如何搭建家庭游戏服务器
- 净水器作为现代厨房不可或缺的环境电器之一|飞利浦小白龙700g净水器为你解决了三个难题
- 在日常生活中|海尔拖地机,让你的家居环境更整洁
- 以游APP浅谈智慧旅游平台如何保护用户隐私安全?
- 本文转自:北京日报王斌温室气体和塑料废物是当今世界面临的两个重大环境问题。|新型太阳能反应器能处理废气和塑料垃圾
- 大数据|智能工厂那些事 ▏浅谈工业大数据
- |小米12S会不会降价?这个问题值得深究,跟环境有很大关系
- 浅谈研发样机销售的会计处理
- 一加科技|游戏文化浅谈:富哥任性装机玩法——多显卡互联技术
- |中科三方:浅谈DNS攻击类型和DNS安全防护措施