有些病毒能检测是否是在虚拟机里运行,是怎么做到的?

阿炭 5月前  安全   413

早上听到技术人员在讨论某单位中了一个病毒,用杀毒软件识别出来了,但是无法将它清除。本来我想拿病毒样本在虚拟机里测试研究一下,但技术人员还提到,它是反虚拟机反沙箱的,也就是病毒可以识别自身是否在虚拟机或沙箱中运行,请问这是怎么做到的?

1 个回答
  • 小何同志 5月前
    2
    其实原理没想的这么复杂,通过检测相关的VMwareg或VirtualBox的相关进程、注册表项、硬盘文件、系统服务即可检测。
    比如通过进程名检测:
    Vmware:
    Vmtoolsd.exe
    Vmwaretrat.exe
    Vmwareuser.exe
    Vmacthlp.exe

    VirtualBox:
    vboxservice.exe
    vboxtray.exe

    再比如注册表项检测:
    HKLM\SOFTWARE\Vmware Inc\Vmware Tools
    HKLM\HARDWARE\DEVICEMAP\Scsi\Scsi Port 2\Scsi Bus 0\Target Id 0\Logical Unit Id 0\Identifier
    HKEY_CLASSES_ROOT\Applications\VMwareHostOpen.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\VirtualBox Guest Additions
    1 回复引用 引用
    • 探知网
      3
        立即登录 立即注册
返回
发新帖