Malwares que identificam VM

[DsMlw 0]

Boa tarde, galera!

Atualmente estou fazendo algumas análises de malware, e ultimamente estou me deparando com alguns binários que verificam se estou em um ambiente virtualizado ou não, se estiver ele não executa e acaba deletando o binário. 

Como estou iniciando agora o curso de ER (que nosso amigo Mercês está fazendo e disponibilizando no youtube) não estou conseguindo(ainda) identificar onde o binário checa a utilização de VM e tal.

A questão acaba se tornando a seguinte,  para pular esse processo de verificação de VM que o binário faz é muito complexo?

 

Forte abraço.

[Leandro Fróes 17]

Boa tarde @DsMlw, tudo bem?

Legal que está iniciando no curso =). Sobre "pular" a técnica... isso depende muito da técnica em si, saca? Não tem um método genérico pra todas, pelo menos eu não conheço. Você tem mais alguma informação sobre?

Abs

[DsMlw 0]

Opa, beleza @Leandro Fróes , e contigo?

Poise foi o que imaginei, cada binário tem seu método para isso. Tentei fazer o download dele agora, mas o link que redirecionava para o malware está down.

Valeu aí.

abraços 

[ironbits 1]

Se estiver questionando sobre Windows, recomendo ler o livro do Peter Ferrie, basicamente ele da um apanhado geral sobre técnicas de "Anti-Debugging" que foram introduzidas desde o Windows NT 3.1 e como manipular o resultado da maioria das técnicas utilizadas por malwares que você irá encontrar, como por exemplo: IsDebuggerPresent, que espera um valor diferente de "zero" para verificar se o mesmo encontra-se em um contexto de debugging e por ai vai, boa leitura!

[kassane 17]

Olá @DsMlw, blz?

Acho que está a procura disto:

Al-Khaser, é um malware que visa avaliar seu Sistema de segurança. Ele realiza um monte de testes com o objetivo de ver se consegue ser detectado. Inclusive pode detectar VMs.

Spoiler

 

Edited March 26, 2019 by kassane
citação errada