일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 파워쉘
- pdf 악성코드
- Python GetProcAddress
- PPT Malware
- Mouse Over
- PowerShell
- 파이썬 외부프로그램 실행
- c# 프로그램 종료
- 한글 악성코드
- c# xml 파싱
- c# 디렉토리 파일 조회
- Hover Action
- 악성코드
- hex2bin
- FTP Server/Client
- c# 파일 읽기쓰기
- Python LoadLibrary
- VMware
- c# 파일 IO
- UDP Server/Client
- 파이썬
- anti vm
- Universal ShellCode
- 최순실 악성코드
- Python Win32 API
- TCP Socket
- TCP Server/Client
- vbscript
- c# 외부 프로그램 실행
- c# 파일명 변경
- Today
- Total
그냥저냥
[Anti VM] Artifact 기반 탐지 본문
1. %SYSTEMROOT%\drivers 에 파일 존재 유무 체크 (FindFirstFile / FindNextFile)
=> hsfs.sys vmhgfs.sys prleth.sys prlfs.sys prlmouse.sys prlvideo.sys prl_pv32.sys vpc-s3.sys vmsrvc.sys vmx86.sys vmnet.sys
2. GetModuleHandle 함수로 프로세스에 아래 DLL이 로드되었는지 확인
=> dbghelp SbieDll api_log dir_watch pstorec
3-1. 레지스트리 값 체크 (서비스) 경로 : HKLN \ SYSTEM \ ControlSet001 \ Services
[VMware] => vmicheartbeat vmicvss vmicshutdown vmicexchange vmci vmdebug vmmouse VMTools VMMEMCTL vmware vmx86
[ETC] => vpcbus vpc-s3 vpcuhub msvmmouf VBoxMouse VBoxGuest VBoxGuest VBoxSF xenevtchn xennet xennet6 xensvc xenvdb
3-2. 레지스트리 값 체크 (SCSI 장치정보) 경로 : HKLM\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0\\Identifier
=> vmware vbox
3-3. 레지스트리 값 체크 (ACPI 정보) or SMBiosData 값 Find
경로1 : HKLM\HARDWARE\ACPI\DSDT
경로2 : HKLM\HARDWARE\ACPI\FADT
경로3 : HKLM\HARDWARE\ACPI\RSDT
=> VBOX xen
3-5. 레지스트리 값 체크 (Microsoft) 경로 : HKLM\SOFTWARE\Microsoft
=> Hyper-V VirtualMachine
4. GetAdaptersInfo 함수로 MAC Address 체크
[VMware] => 0x0569 0x0C29 0x1C14 0x5056
5. Disc Driver Name
디스크 이름에 VMware , VBOX 단어가 들어가는 경우
6. DirectX Info
시스템 제조업체 및 시스템 모델 부분 확인
7. SetupLog
중간중간 VBOX , VMware 단어가 등장
'Reversing > Anti Debugging & Anti VM' 카테고리의 다른 글
[Anti VM] RDTSC (CPU 사이클 차이 탐지) (0) | 2016.07.31 |
---|---|
[Anti VM] I/O Port (Backdoor I/O Port) (0) | 2016.07.31 |
[Anti VM] Single Step Flag (0) | 2016.07.31 |
[Anti VM] CPUID 기반 탐지 (0) | 2016.07.31 |
[Anti VM] IDT 기반 탐지 (0) | 2016.07.31 |