[Anti VM] Artifact 기반 탐지

1. %SYSTEMROOT%\drivers 에 파일 존재 유무 체크 (FindFirstFile / FindNextFile) 

=> hsfs.sys vmhgfs.sys prleth.sys prlfs.sys prlmouse.sys prlvideo.sys prl_pv32.sys vpc-s3.sys vmsrvc.sys vmx86.sys vmnet.sys 

2. GetModuleHandle 함수로 프로세스에 아래 DLL이 로드되었는지 확인 

=> dbghelp SbieDll api_log dir_watch pstorec 

3-1. 레지스트리 값 체크 (서비스) 경로 : HKLN \ SYSTEM \ ControlSet001 \ Services 

[VMware] => vmicheartbeat vmicvss vmicshutdown vmicexchange vmci vmdebug vmmouse VMTools VMMEMCTL vmware vmx86 

[ETC] => vpcbus vpc-s3 vpcuhub msvmmouf VBoxMouse VBoxGuest VBoxGuest VBoxSF xenevtchn xennet xennet6 xensvc xenvdb 

3-2. 레지스트리 값 체크 (SCSI 장치정보) 경로 : HKLM\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0\\Identifier 

=> vmware vbox 

3-3. 레지스트리 값 체크 (ACPI 정보) or SMBiosData 값 Find 

경로1 : HKLM\HARDWARE\ACPI\DSDT 

경로2 : HKLM\HARDWARE\ACPI\FADT 

경로3 : HKLM\HARDWARE\ACPI\RSDT 

 => VBOX xen 

3-5. 레지스트리 값 체크 (Microsoft) 경로 : HKLM\SOFTWARE\Microsoft 

 => Hyper-V VirtualMachine

4. GetAdaptersInfo 함수로 MAC Address 체크 

[VMware] => 0x0569 0x0C29 0x1C14 0x5056 

5. Disc Driver Name 

디스크 이름에 VMware , VBOX 단어가 들어가는 경우 

6. DirectX Info 

시스템 제조업체 및 시스템 모델 부분 확인 

7. SetupLog 

중간중간 VBOX , VMware 단어가 등장