티스토리 뷰

728x90
반응형

[Reversing] Formbook Visual Basic 외형


참조

https://jeongzzang.com/152

https://blog.vincss.net/2020/05/re014-guloader-antivm-techniques.html

https://medium.com/m4n0w4r/quick-analysis-note-about-guloader-or-cloudeye-6d4408cca61


ZwQueryVirtualMemory() 이용하여 가상환경관련 문자열이 메모리에 있으면 그 문자열을 해시 계산한 후 일치하면 종료한다. 다음으로는 EAX에 1 넣고 CPUID 어셈명령 호출하고 ECX에 31번째 비트 1인지 확인한다. 즉, EAX에 값은 넣고 CPUID을 호출하면 EAX 값에 따라 정보가 EAX, EBX, ECX, EDX 레지스터에 담긴다.

RDTSC 시간 차 기법으로 안티 VM 탐지, 이후 EnumServiceStatusA() 이용하여 현재 실행중인 서비스 목록 전체 불러와 서비스명이 VMware Tools, VMware Snapshot Provider 있는지 확인한다. 

이외 추가적으로 2~3개 정도의 안티 기법이 더 있다..


InternetReadFile() 이용하여 웹에서 바이러니를 가져온다!

 

728x90
반응형
댓글
250x250
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today