그냥저냥

[DISASM] 000000 // aaaaaa //Default color df69d2 //Regular comment b15cb1 //Repeatable comment deeef4 //Automatic comment ffffff //Instruction a4cfcf //Dummy Data Name b9ebeb //Regular Data Name 1c0adf //Demangled Name c0c0c0 //Punctuation 00d269 //Char constant in instruction 00ff00 //String constant in instruction 3250d2 //Numeric constant in instruction 4646ff //Void operand cba21a //Code ref..

1. %SYSTEMROOT%\drivers 에 파일 존재 유무 체크 (FindFirstFile / FindNextFile) => hsfs.sys vmhgfs.sys prleth.sys prlfs.sys prlmouse.sys prlvideo.sys prl_pv32.sys vpc-s3.sys vmsrvc.sys vmx86.sys vmnet.sys 2. GetModuleHandle 함수로 프로세스에 아래 DLL이 로드되었는지 확인 => dbghelp SbieDll api_log dir_watch pstorec 3-1. 레지스트리 값 체크 (서비스) 경로 : HKLN \ SYSTEM \ ControlSet001 \ Services [VMware] => vmicheartbeat vmicvss vmicshutdo..

- Host OS 환경의 CPU 속도와 Guest OS 환경의 CPU 속도가 100% 동일하지는 않을 것이라는 생각에서 시작 - RDTSC 명령을 이용하여 프로세스 실행 순간부터 2개의 RDTSC 명령을 만나는 순간까지 CPU 사이클의 차이를 확인 - Host OS 512 int main(){ unsigned long a,b,c; __asm{ push eax push ebx rdtsc // 첫 번째 CPU 사이클 계산 -> eax 에 저장 mov b, eax mov ebx, eax rdtsc // 두 번째 CPU 사이클 계산 mov c, eax sub eax, ebx mov a, eax pop eax pop ebx } printf(“첫번째 RDTSC CPU 사이클 : %..