VM-detection umgehen?

P

public

0
Hi,

Ich wurde hierhin verwiesen, da es hier anscheinend Leute mit Ahnung gibt ;)

Also, meine Frage:

Ich analysier hobbymäßig Malware auf einem Virtual PC. Allerdings gibt es ja VM-detections, die ein Ausführen auf einem virtuellen PC verhindern (da sie zB die Hardware erkennen o.Ä.).

Kann man diese detections umgehen? Gibt es irgendwelche "VM-Patches", welche zB die Hardwarebezeichnung verändert?

mfg
 
Original von public
Ich analysier hobbymäßig Malware auf einem Virtual PC. Allerdings gibt es ja VM-detections, die ein Ausführen auf einem virtuellen PC verhindern (da sie zB die Hardware erkennen o.Ä.).

Kann man diese detections umgehen? Gibt es irgendwelche "VM-Patches", welche zB die Hardwarebezeichnung verändert?
Zum Vergrößern anklicken....

Ich kenn mich auf dieser Ebene zwar nicht aus, aber: wenn du die Malware kennst und auch gut genug bist, sie zu analysieren, dann wirst du doch wohl auch analysieren können (anhand des Codes mit RE), mit welchen Funktionen sie die Umgebung auf eine VM überprüft. Und diese Funktionen könntest du doch dann genau wie auch in einem anderen OS hooken bzw. irgendwie umbiegen, sodass der Malware falsche Werte vorgegeben werden.

Das ist natürlich umständlicher als ein allgemeiner Patch (den es kaum geben wird), aber wäre doch eine Möglichkeit oder?
 
Nein, sowas gibt es nicht. Die einzige Moeglichkeit ist die, dass du herausfindest, welche Maßnahmen ergriffen werden und Gegenmaßnahmen entwickelst. Uebrigens ist der Grund dafuer, dass es sowas nicht gibt, dass jeder halbwegs professioneller Malwareresearcher echte Maschinen benutzt um genau das zu verhindern (da muss er sich nur sorgen daraum machen, dass sein Debugger oder Decompiler normal laufen ;)).
Es gibt uebrigens so viele Wege eine VM zu entdecken, da es ein Weit verbreitetes Produkt ist und sich so selbst targeted attacks lohnen.

Was mich noch interessiert, wie analysierst du denn Malware?
 
ok, danke für die Antworten.

ich nutze versch. Programme zum analysieren: zB. Cain & Abel, tcpview, filemon, regmon, hexeditor etc ;)
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben