Postoji mnoštvo načina za otkrivanje virtualnih strojeva / emulatora, uglavnom slijedeći obrazac prepoznavanja nesavršenosti u simulaciji, a zatim testiranje na nju.

Na najjednostavnijem kraju, uobičajeni alati za virtualizaciju žbukaju ih ime nad svim vrstama upravljačkih programa i uređaja sustava. Jednostavno gledanje naziva mrežnih veza ili njihove MAC adrese moglo bi biti dovoljno za prepoznavanje VMware-a ako nije posebno konfiguriran da to prikriva. Isto tako, memorija VM-a može imati puno nizova koji čine prisutnost softvera za virtualizaciju očitom.

Neki drugi VM artefakti proizlaze iz potrebe da i domaćin i gost imaju podatkovnu strukturu dostupnu procesoru koja se ne može preklapati, kao što je SIDT uputa za sastavljanje da vrati registar tablice deskriptora prekida. (IDT) Virtualni strojevi obično pohranjuju IDT na višem registru od fizičkog domaćina.

Mjerenje vremena određenih funkcija ili uputa koje bi obično zahtijevale interakciju sa sustavom za virtualizaciju način je na koji neizravno zaključujete ' ponovno izvršavanje u VM-u.

Dva su mi načina na pamet kao anti-anti-VM metode: Prvo, može se izmijeniti virtualno okruženje kako bi se uklonili svi tragovi virtualizacije, što može dobro funkcionirati protiv jednostavnih provjera 'vmware' ili slične žice, što uzrokuje svojevrsnu utrku u naoružanju između poznatih tehnika i lukave vm konfiguracije.

Drugi pristup je oslanjanje u velikoj mjeri na statičku analizu kako bi se identificirale tehnike otkrivanja VM-a i zakrpilo ​​ih kako bi se neutralizirao njihov učinak nakon što se dobije izvršna datoteka koja nije svjesna VM-a i koja se zatim može dinamički analizirati.

Nekoliko izvora s dobrim informacijama, ako su stari nekoliko godina:

• http://www.symantec.com/avcenter/reference/Virtual_Machine_Threats.pdf - Napadi Petera Ferriea na emulatore virtualnih strojeva
• http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf - Prezentacija o različitim tehnikama protiv VM i anti-VM iz 2006. godine.

popis bi mogao biti beskrajan, pa ću ga zadržati kratkim:

• artefakti virtualiziranog okruženja: ključevi registra, naziv tvrdog diska, adresa mrežne kartice, određeni upravljački programi, ...
• razlike u okruženju: nema miša, internetske veze, zvučne kartice, ...
• razlika u izvršenju: otkrivanje prevođenja blokova (stvoriti drugu nit i primijeniti statistiku na IP-u), drugačiji sustav registrira vrijednosti, ...
  • nedostatak korisničke interakcije (specifično za automatizirano okruženje): nema pomicanja miša, nema radnji s datotekama, ...
• specifične razlike u okruženju: VmWare backdoor, bug iznimke VirtualPC-a, ...

(provjerite anti- wiki Wiki za otklanjanje pogrešaka za više)

Evo nekoliko trikova za otkrivanje VM-ova:

VirtualBox

• http://pastebin.com/RU6A2UuB (9 različite metode, registar, ispušteni VBOX dll-ovi, nazivi cijevi itd.)

• http://pastebin.com/xhFABpPL (naziv dobavljača stroja)

• http://pastebin.com/v8LnMiZs (trik Innotek)

• http : //pastebin.com/fPY4MiYq (Bios Brand i Bios verzija)

• http://pastebin.com/Geggzp4G ( Marka Bios i verzija Bios)

• http://pastebin.com/T0s5gVGW (Raščlanjivanje SMBiosData u potrazi za novo predstavljenim ili bizarnim tipom)

• http://pastebin.com/AjHWApes (trik s Cadmus Mac adresom)

• http://pastebin.com/wh4NAP26 (trik VBoxSharedFolderFS)

• http://pastebin.com/Nsv5B1yk (Nastavi Trik s zastavicom)

VirtualPc

• http://pastebin.com/wuqcUaiE

• http://pastebin.com/VDDRcmdL

• http: // pastebin .com / ex AK5XQx (trik za resetiranje)

• http://pastebin.com/HVActZMC (trik za CPUID)

Otkrivanje hipervizora

• http://pastebin.com/2gv72r7d

Iako, Pokušao sam objasniti kôd, a također možete pogledati odgovarajuće postove na blogu za detaljnije informacije.

Napisao sam testni program neko vrijeme (u Delphiju).

Sljedeće dvije funkcije otkrivaju VMware i HyperV

  // VMware otkrivanje kako je opisao Elias Bachaalanyfunction IsInsideVMware: Boolean; početak Rezultat: = True; probajte asm push edx; gurnuti ecx; gurati ebx; mov eax, 'VMXh'; mov ebx, 0; mov ecx, 10; mov edx, 'VX'; u eax, dx; cmp ebx, 'VMXh'; setz [rezultat]; pop ebx; pop ecx; pop edx; kraj; osim Rezultata: = False; kraj; kraj; funkcija IsHyperV: Boolean; asm cpuid; test ecx, ecx; postavlja [Rezultat]; end;  

Sljedeća funkcija provjerava Hyper-V putem niza marke robne marke (na VMware-u to vraća "VMwareVMware":

  funkcija IsRunningUnderHyperV: BOOL; stdcall; var VMBranding: niz [0..12] od AnsiChar; započeti asm mov eax, 40000000 $; cpuid; mov dword ptr [VMBranding + 0], ebx; // Nabavite niz VM brandinga mov dword ptr [VMBranding + 4], ecx; mov dword ptr [VMBranding + 8], edx; end; VMBranding [12]: = # 0; Rezultat: = CompareText (String (VMBranding), 'Microsoft Hv') = 0; end; 

Relevantne poveznice:

• VMware KB Otkrivanje i korištenje značajki CPU-a u aplikacijama
• Codeproject, Otkrijte radi li vaš program unutar virtualnog stroja

U dodacima prije odgovora, cuckoosandbox implementira nekoliko yara pravila za otkrivanje vm-a:

https://github.com/cuckoobox/cuckoo/blob/1884b5579ff8e053b3d4a8523a5da576eee43552/data/yara/ binarne datoteke / vmdetect.yar

Uobičajene trikove možete pronaći u spremištu kukavičjeg pješčanika.

Baš kao neka vrsta povezane bilješke, ali pomalo pomicanje stvarnog pitanja. Bila je prezentacija na VB konferenciji prošle godine (2013.) u Berlinu, o modificiranom hipervizoru temeljenom na KVM-u. Zove se CXPInspector i prezentaciju koju su oni održali (prvu u tehnološkom toku) možete pronaći ovdje.

Evo odgovarajuće teze / disertacije (237 stranica) i evo povezanog nešto kraćeg rada (iako ne o CXPInspectoru izravno).

Metoda koristi novije značajke procesora. Prezentacija daje lijep pregled. U osnovi, jedini zamislivi napad - osim onih koji se temelje na nedostacima u CPU-u i implementaciji hipervizora - bio bi vremenski napad. Iako su danas mnogi strojevi brzi, to nije baš vrlo pouzdana metoda. Nekad je bilo, ali danas je to u najboljem slučaju kockanje.

Evo zbirke tehnika anti-sandbox / vm / debugger implementiranih u program otvorenog koda koji će vam dati jasnu ideju kako otkriti virtualizaciju: https://github.com/LordNoteworthy/al-khaser.

Evo popisa podržanih tehnika:

Napadi protiv otklanjanja pogrešaka

• IsDebuggerPresent
• CheckRemoteDebuggerPresent
• Blok okruženja procesa (BeingDebugged)
• Blok okruženja procesa (NtGlobalFlag)
• ProcessHeap (Zastave)
• ProcessHeap (ForceFlags)
• NtQueryInformationProcess (ProcessDebugPort)
• NtQueryInformationProcess (ProcessDebugFlags)
• NtQueryInformationProcess (ProcessDebugObject)
• NtSetInformationThread (HideTerDebuerFuerBebDebugReb (HideText) (ObjectTypeInformation)
• NtQueryObject (ObjectAllTypesInformation)
• CloseHanlde (NtClose) Invalide Handle
• SetHandleInformation (Protected Handle)
• UnhandledExceptionFilter
• OutputDebugString (GetLastErro r ())
• Hardverske točke prijeloma (SEH / GetThreadContext)
• Softverske točke prijeloma (INT3 / 0xCC)
• Točke prekida memorije (PAGE_GUARD)
• Prekid 0x2d
• Prekid 1
• Nadređeni postupak (Explorer.exe)
• SeDebugPrivilege (Csrss.exe)
• NtYieldExecution / SwitchToThread
• TLS povratni pozivi

Anti-damping

• Izbriši PE zaglavlje iz memorije
• SizeOfImage

Timing Attacks [Anti-Sandbox]

• RDTSC (s CPUID-om za prisilno izlazak iz VM-a)
• RDTSC (Locky verzija s GetProcessHeap & CloseHandle)
• Spavanje -> SleepEx -> NtDelayExecution
• Spavanje (u petlji malo kašnjenje)
• Spavanje i provjera je li vrijeme ubrzano (GetTickCount)
• SetTimer (standardni Windows tajmeri)
• timeSetEvent (multimedijski odbrojavači)
• WaitForSingleObject -> WaitForSingleObjectEx -> NtWaitForSingleObject
• WaitForMultipleObjects -> WaitForMultipleObjects li>

Ljudska interakcija / generički [Anti-Sandbox]

• Kretanje miša
• Ukupna fizička memorija (GlobalMemoryStatusEx)
• Veličina diska pomoću DeviceIoControl (IOCTL_DISK_GET_LENGTH_INFO )
• Veličina diska pomoću GetDiskFreeSpaceEx (TotalNumberOfBytes)
• Broj procesora (Win32 / Tinba - Win32 / Dyre)

Anti-Virtualization / Full -Emulacija sustava

• Artefakti vrijednosti ključa registra

  • HARDWARE \ DEVICEMAP \ Scsi \ Scsi Port 0 \ Scsi Bus 0 \ Target Id 0 \ Logical Unit Id 0 (Identifier) ​​(VBOX)
  • HARDWARE \ DEVICEMAP \ Scsi \ Scsi Port 0 \ Scsi Bus 0 \ Target Id 0 \ Logical Unit Id 0 (Identifier) ​​(QEMU)
  • OPREMA \ Opis \ Sustav (SystemBiosVersion) (VBOX)
  • HARDVER \ Opis \ Sustav (SystemBiosVersion) (QEMU)
  • HARDVER \ Opis \ Sustav (VideoBiosVersion ) (VIRTUALBOX)
  • HARDWARE \ Description \ System (SystemBiosDate) (23.06.999.)
  • HARDWARE \ DEVICEMAP \ Scsi \ Scsi Port 0 \ Scsi Bus 0 \ Target Id 0 \ ID logičke jedinice 0 (Identifikator ) (VMWARE)
  • HARDWARE \ DEVICEMAP \ Scsi \ Scsi Port 1 \ Scsi Bus 0 \ Target Id 0 \ Logical Unit Id 0 (Identifier) ​​(VMWARE)
  • HARDWARE \ DEVICEMAP \ Scsi \ Scsi Port 2 \ Scsi Bus 0 \ Id cilja 0 \ Id logičke jedinice 0 (identifikator) (VMWARE)

• Artefakti ključeva registra jak>

  • "HARDVER \ ACPI \ DSDT \ VBOX__"
  • "HARDVER \ ACPI \ FADT \ VBOX__"
  • "HARDVER \ ACPI \ RSDT \ VBOX__ "
  • " SOFTVER \ Oracle \ VirtualBox dodaci za goste "
  • " SYSTEM \ ControlSet001 \ Services \ VBoxGuest "
  • " SYSTEM \ ControlSet001 \ Services \ VBoxMouse "
  • " SYSTEM \ ControlSet001 \ Services \ VBoxService "
  • " SYSTEM \ ControlSet001 \ Services \ VBoxSF "
  • " SYSTEM \ ControlSet001 \ Services \ VBoxVideo "
  • SOFTVER \ VMware, Inc. \ VMware Tools
  • SOFTVER \ Vino

• Artefakti datotečnog sustava

  • "system32 \ drivers \ VBoxMouse.sys"
  • "system32 \ drivers \ VBoxGuest.sys"
  • "system32 \ drivers \ VBoxSF.sys "
  • " system32 \ drivers \ VBoxVideo.sys "
  • "system32\vboxdisp.dll"
  • "system32\vboxhook.dll"
  • "system32\vboxmrxnp.dll"
  • "system32 \ vboxogl. dll "
  • " system32 \ vboxoglarrayspu.dll "
  • " system32 \ vboxoglcrutil.dll "
  • " system32 \ vboxoglerrorspu.dll "
  • "system32 \ vboxoglfeedbackspu.dll"
  • "system32 \ vboxoglpackspu.dll"
  • "system32 \ vboxoglpassthroughspu.dll"
  • "system32 \ vboxservice.exe"
  • "system32\vboxtray.exe"
  • "system32\VBoxControl.exe"
  • "system32 \ drivers \ vmmouse.sys"
  • "system32 \ drivers \ vmhgfs.sys"

• Artefakti direktorija

  • "% PROGRAMILI % \ oracle \ virtualbox dodavanja za goste \ "
  • "% PROGRAMFILES% \ VMWare \ "

• Artefakti memorije

  • Mjesto tablice interupt deskriptora (IDT)
  • Mjesto tablice lokalnog deskriptora (LDT)
  • Mjesto tablice globalnog deskriptora (GDT)
  • Trik segmenta stanja zadatka sa STR

• MAC adresa

  "\ x08 \ x00 \ x27" (VBOX)
• "\ x00 \ x05 \ x69" (VMWARE)
• "\ x00 \ x0C \ x29" (VMWARE)
• "\ x00 \ x1C \ x14" (VMWARE)
• "\ x00 \ x50 \ x56" (VMWARE)

Anti-analiza

• Procesi
  • OllyDBG / ImmunityDebugger / WinDbg / IDA Pro
  • Alati SysInternals Suite (Process Explorer / Process Monitor / Regmon / Filemon, TCPView, Autoruns)
  • Wireshark / Dumpcap
  • ProcessHacker / SysAnalyzer / HookExplorer / SysInspector
  • ImportREC / PETools / LordPE
  • JoeBox Sandbox