Ir para conteúdo
  • Cadastre-se
DsMlw

Malwares que identificam VM

Posts Recomendados

Boa tarde, galera!

Atualmente estou fazendo algumas análises de malware, e ultimamente estou me deparando com alguns binários que verificam se estou em um ambiente virtualizado ou não, se estiver ele não executa e acaba deletando o binário. 

Como estou iniciando agora o curso de ER (que nosso amigo Mercês está fazendo e disponibilizando no youtube) não estou conseguindo(ainda) identificar onde o binário checa a utilização de VM e tal.

A questão acaba se tornando a seguinte,  para pular esse processo de verificação de VM que o binário faz é muito complexo?

 

Forte abraço.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa tarde @DsMlw, tudo bem?

Legal que está iniciando no curso =). Sobre "pular" a técnica... isso depende muito da técnica em si, saca? Não tem um método genérico pra todas, pelo menos eu não conheço. Você tem mais alguma informação sobre?

Abs

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa, beleza @Leandro Fróes , e contigo?

Poise foi o que imaginei, cada binário tem seu método para isso. Tentei fazer o download dele agora, mas o link que redirecionava para o malware está down.

Valeu aí.

abraços 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Se estiver questionando sobre Windows, recomendo ler o livro do Peter Ferrie, basicamente ele da um apanhado geral sobre técnicas de "Anti-Debugging" que foram introduzidas desde o Windows NT 3.1 e como manipular o resultado da maioria das técnicas utilizadas por malwares que você irá encontrar, como por exemplo: IsDebuggerPresent, que espera um valor diferente de "zero" para verificar se o mesmo encontra-se em um contexto de debugging e por ai vai, boa leitura!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá @DsMlw, blz?

Acho que está a procura disto:

Al-Khaser, é um malware que visa avaliar seu Sistema de segurança. Ele realiza um monte de testes com o objetivo de ver se consegue ser detectado. Inclusive pode detectar VMs.

Spoiler

al-khaser.thumb.png.dd23ff61539c728e800b4902195072b4.png

 

Editado por kassane
citação errada
  • Curtir 1
  • l33t 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Visitante
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emoticons no total são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.


  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.

×
×
  • Criar Novo...