티스토리 뷰
728x90
반응형
[Reversing] Formbook Visual Basic 외형
참조
> https://blog.vincss.net/2020/05/re014-guloader-antivm-techniques.html
> https://medium.com/m4n0w4r/quick-analysis-note-about-guloader-or-cloudeye-6d4408cca61
ZwQueryVirtualMemory() 이용하여 가상환경관련 문자열이 메모리에 있으면 그 문자열을 해시 계산한 후 일치하면 종료한다. 다음으로는 EAX에 1 넣고 CPUID 어셈명령 호출하고 ECX에 31번째 비트 1인지 확인한다. 즉, EAX에 값은 넣고 CPUID을 호출하면 EAX 값에 따라 정보가 EAX, EBX, ECX, EDX 레지스터에 담긴다.
RDTSC 시간 차 기법으로 안티 VM 탐지, 이후 EnumServiceStatusA() 이용하여 현재 실행중인 서비스 목록 전체 불러와 서비스명이 VMware Tools, VMware Snapshot Provider 있는지 확인한다.
이외 추가적으로 2~3개 정도의 안티 기법이 더 있다..
InternetReadFile() 이용하여 웹에서 바이러니를 가져온다!
728x90
반응형
'Reversing > Reversing Tech' 카테고리의 다른 글
| [Reversing] Python Reverse a String (0) | 2020.07.20 |
|---|---|
| [Reversing] Python zlib unpacking (0) | 2020.07.13 |
| [Reversing] PE-sieve 도구 by Hasherezade (0) | 2020.06.30 |
| [Reversing] EAT 이용하여 라이브러리 함수 얻기 (0) | 2020.04.10 |
| [Reversing] Wscript & VBA Tip (0) | 2020.04.07 |
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
250x250