DsMlw Postado Outubro 18, 2018 em 18:55 Compartilhar Postado Outubro 18, 2018 em 18:55 Boa tarde, galera! Atualmente estou fazendo algumas análises de malware, e ultimamente estou me deparando com alguns binários que verificam se estou em um ambiente virtualizado ou não, se estiver ele não executa e acaba deletando o binário. Como estou iniciando agora o curso de ER (que nosso amigo Mercês está fazendo e disponibilizando no youtube) não estou conseguindo(ainda) identificar onde o binário checa a utilização de VM e tal. A questão acaba se tornando a seguinte, para pular esse processo de verificação de VM que o binário faz é muito complexo? Forte abraço. Link para o comentário Compartilhar em outros sites More sharing options...
Leandro Fróes Postado Outubro 18, 2018 em 19:28 Compartilhar Postado Outubro 18, 2018 em 19:28 Boa tarde @DsMlw, tudo bem? Legal que está iniciando no curso =). Sobre "pular" a técnica... isso depende muito da técnica em si, saca? Não tem um método genérico pra todas, pelo menos eu não conheço. Você tem mais alguma informação sobre? Abs Link para o comentário Compartilhar em outros sites More sharing options...
DsMlw Postado Outubro 18, 2018 em 21:57 Autor Compartilhar Postado Outubro 18, 2018 em 21:57 Opa, beleza @Leandro Fróes , e contigo? Poise foi o que imaginei, cada binário tem seu método para isso. Tentei fazer o download dele agora, mas o link que redirecionava para o malware está down. Valeu aí. abraços Link para o comentário Compartilhar em outros sites More sharing options...
ironbits Postado Março 25, 2019 em 23:36 Compartilhar Postado Março 25, 2019 em 23:36 Se estiver questionando sobre Windows, recomendo ler o livro do Peter Ferrie, basicamente ele da um apanhado geral sobre técnicas de "Anti-Debugging" que foram introduzidas desde o Windows NT 3.1 e como manipular o resultado da maioria das técnicas utilizadas por malwares que você irá encontrar, como por exemplo: IsDebuggerPresent, que espera um valor diferente de "zero" para verificar se o mesmo encontra-se em um contexto de debugging e por ai vai, boa leitura! Link para o comentário Compartilhar em outros sites More sharing options...
kassane Postado Março 26, 2019 em 11:15 Compartilhar Postado Março 26, 2019 em 11:15 Olá @DsMlw, blz? Acho que está a procura disto: Al-Khaser, é um malware que visa avaliar seu Sistema de segurança. Ele realiza um monte de testes com o objetivo de ver se consegue ser detectado. Inclusive pode detectar VMs. Spoiler Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Arquivado
Este tópico foi arquivado e está fechado para novas respostas.