分享一个反反虚拟机检测的脚本,可以用这个脚本对虚拟机环境进行处理,让一部分简单的反虚拟机样本能运行,仍然攻防对抗永远是相对的,没有哪个工具能一劳永逸,也没有哪种防御手段能一直有效,这是一个长期对抗的过程。
https://github.com/d4rksystem/VMwareCloak
该PowerShell脚本试图帮助恶意软件分析师隐藏他们的VMware Windows VM,以防可能试图逃避分析的恶意软件,下面我们就来分析一下,它做了哪些对抗操作。
1.该脚本一共提供了四个可选的参数,分别执行不同的对抗操作,如下所示:
2.使用all参数运行脚本,如下所示:
3.处置完成之后,如下所示:
4.结束VM相关进程,如下所示:
5.修改VM相关的注册表项,如下所示:
6.重命名VM相关目录与文件,如下所示:
原文始发于微信公众号(安全分析与研究):反反虚拟机检测恶意样本分析辅助脚本
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论