Nevjerojatno...
Ja u svom sw-u imam isto detekciju da li se vrti u VM-u, ali sigurno se ne baziram na tome da li na masini imam puno word dokumenata ili ne. Postoje puno bolje metode detekcije.
Nevjerojatno...
Ja u svom sw-u imam isto detekciju da li se vrti u VM-u, ali sigurno se ne baziram na tome da li na masini imam puno word dokumenata ili ne. Postoje puno bolje metode detekcije.
Nevjerojatno...
Ja u svom sw-u imam isto detekciju da li se vrti u VM-u, ali sigurno se ne baziram na tome da li na masini imam puno word dokumenata ili ne. Postoje puno bolje metode detekcije.
tocno to! likovi sposobni napisati malware u C/C++/ASM-u i onda broje word dokumente da znaju dal se malware nalazi u virtualki... pa nemojte me *!???? s glupostima.
Mislim da ste fulali bit detekcije word dokumenata - lako je skužiti je li malware u virtualci ili ne, ono što zlikovci žele ustanoviti je je li to virtualka koja se koristi za poslovne potrebe (npr. file server, db server, itd..) ili je virtualka koja se koristi za istraživanje i borbu protiv malware-a
Isto kao što autori malwarea analiziraju VM i naprave malware koji će ga pokušati detektirati, tako i stručnjaci protiv malwarea "krpaju" VM i pokušavaju ga maskirati i tako u krug, miš i mačka.
Nije isto koristiti običan VM kojeg će malware lako detektirati ili koristiti modificirani i specijalizirani VM ili sandbox za tu namjenu.
Zato ovaj malware umjesto da pokušava detektirati ovaj i onaj device, interface šta god kojeg će druga strana promijeniti, pokušava izbjeći detekciju ovako na način kojeg se stručnjaci možda nisu dosjetili prije ove vijesti.
Mogu naravno stručnjaci spoofati podatke i mijenjati varijable prilikom izvršavanja malwarea kada ga ručno analiziraju, ali ovakav način detekcije VM-a bi vjerojatno prošao kroz automatiziranu analizu i malware ostao nedetektiran, barem što je duže moguće i to je bio cilj malware autora pretpostavljam.
Function isVM {
$objWMI = Get-WmiObject Win32_BaseBoard
$bln = ($objWMI.Manufacturer.Tolower() -match 'microsoft') -or ($objWMI.Manufacturer.Tolower() -match 'vmware')
return $bln}
Function isVM {
$objWMI = Get-WmiObject Win32_BaseBoard
$bln = ($objWMI.Manufacturer.Tolower() -match 'microsoft') -or ($objWMI.Manufacturer.Tolower() -match 'vmware')
return $bln}
a Virtualbox?
Function isVM {
$objWMI = Get-WmiObject Win32_BaseBoard
$bln = ($objWMI.Manufacturer.Tolower() -match 'microsoft') -or ($objWMI.Manufacturer.Tolower() -match 'vmware')
return $bln}
a Virtualbox?
Sta je to Virtualbox? ;)
A sad bez zezanja, pokreni ovaj PS u virtualci koje je na Virtualboxu pa vidi koji manufacter info ce ti vratit. :)
Function isVM {
$objWMI = Get-WmiObject Win32_BaseBoard
$bln = ($objWMI.Manufacturer.Tolower() -match 'microsoft') -or ($objWMI.Manufacturer.Tolower() -match 'vmware')
return $bln}
a Virtualbox?
Sta je to Virtualbox? ;)
A sad bez zezanja, pokreni ovaj PS u virtualci koje je na Virtualboxu pa vidi koji manufacter info ce ti vratit. :)
Vraca 'oracle corporation'. Nisam to nikad koristio. Nije lose za znat. Ja sam koristio citanje naziva hard diska, gdje u nazivu trazim "VMWARE", "VBOX HARDDISK", ili "VIRTUAL HD" (Virtual PC). No meni to treba iz c++ koda.
Da li bi ovako nesto moglo pomoc?
http://www.kernelmode.info/forum/viewtopic.php?f=11&t=3478
...ili ako netko zna nesto drugo sto bi pomoglo u skrivanju...
Vraca 'oracle corporation'. Nisam to nikad koristio. Nije lose za znat. Ja sam koristio citanje naziva hard diska, gdje u nazivu trazim "VMWARE", "VBOX HARDDISK", ili "VIRTUAL HD" (Virtual PC). No meni to treba iz c++ koda.
Nisam developer ali mislim da PS mozes pozivat i iz C++ koda. Upitno je samo koliko je to korisno. Mozda ti je korisnije pozivat WMI nego PS. Al kao sto rekoh, nisam developer. ;)
int swallow_redpill () {
unsigned char m[2+4], rpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3";
*((unsigned*)&rpill[3]) = (unsigned)m; ((void(*)())&rpill)();
return (m[5]>0xd0) ? 1 : 0;
}
Provjerava IDTR da li se nalazi gdje bi trebao biti. Ako nije tamo gdje je inače, vraća 1. Guest i host dijele resurse pa svaki ima svoju interrupt tablicu. U 99% slučajeva radi.