Cách mã độc kiểm tra hệ thống đang chạy là máy ảo

[Math95]

Em mới đọc được 1 bài báo, đại ý có nói là hiện tại mã độc có thể check hệ điều hành đang chạy có phải là máy ảo hay không để thực thi mã.

Nếu có trường hợp như vậy thì khi nghiên cứu, test trên máy ảo thấy không có vấn đề gì, mang ra máy thật chạy lại dính chưởng.

Xin hỏi các bạn cơ chế để mã độc check đang chạy trên máy thật hay ảo là thế nào ạ?

 

Để kiểm tra máy ảo, tùy vào trình độ người lập trình mã độc có nhiều cách kiểm tra đơn giản, phức tạp khác nhau:
- Kiểm tra các chương trình như VirtualBox Guest Additions, VMware Tools... có được cài đặt trên máy hay không.
- Kiểm tra các process như VBoxTray.exe, vmware-tray.exe
- Truy vấn các thông tin hệ thống như là System Model, System Manufacturer.

Ví dụ với máy ảo VirtualBox và VMware:

​

​

- Kiểm tra địa chỉ MAC
- Kiểm tra các thư viện .dll đã load
- Kiểm tra các key registry
​​​​​​​...

 

có thể sử dụng một số cách đơn giản như :
- kiểm tra địa chỉ MAC của card mạng để phát hiện nhà phân phối
- kiểm tra registry key đặc trưng để nhận biết máy ảo. ví dụ đối với VMWARE:"HARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Target Id 0Logical Unit Id 0"
- kiểm tra các công cụ hỗ trợ ví dụ như vmware tool có được cài đặt hay không ?
- kiểm tra các tiến trình hoặc tên dịch vụ đặc trưng
- kiểm tra các cổng giao tiếp và hành vi
- thực thi các mã assembly đặc biệt và so sánh kết quả
- kiểm tra vị trí của cấu trúc hệ thống và các bảng mô tả
bạn có thể tham khảo thêm code tại code project:lhttp://www.codeproject.com/Articles/9823/Detect-if-your-program-is-running-inside-a-Virtual

 

Bạn xem thêm bài này: https://whitehat.vn/forum/thao-luan/thao-luan-chung/59815-ma-doc-tim-ra-cach-moi-de-phat-hien-may-ao

Mã độc sẽ đọc log của bộ Office trên máy, máy ảo thường là môi trường sạch chưa mở file văn bản bao giờ do restore lại từ file capture, còn máy thật sẽ có lịch sử truy xuất văn bản.