티스토리 뷰

728x90
반응형

[Reversing] Formbook Visual Basic 외형


참조

https://jeongzzang.com/152

https://blog.vincss.net/2020/05/re014-guloader-antivm-techniques.html

https://medium.com/m4n0w4r/quick-analysis-note-about-guloader-or-cloudeye-6d4408cca61


ZwQueryVirtualMemory() 이용하여 가상환경관련 문자열이 메모리에 있으면 그 문자열을 해시 계산한 후 일치하면 종료한다. 다음으로는 EAX에 1 넣고 CPUID 어셈명령 호출하고 ECX에 31번째 비트 1인지 확인한다. 즉, EAX에 값은 넣고 CPUID을 호출하면 EAX 값에 따라 정보가 EAX, EBX, ECX, EDX 레지스터에 담긴다.

RDTSC 시간 차 기법으로 안티 VM 탐지, 이후 EnumServiceStatusA() 이용하여 현재 실행중인 서비스 목록 전체 불러와 서비스명이 VMware Tools, VMware Snapshot Provider 있는지 확인한다. 

이외 추가적으로 2~3개 정도의 안티 기법이 더 있다..


InternetReadFile() 이용하여 웹에서 바이러니를 가져온다!

 

728x90
반응형
댓글
댓글쓰기 폼
250x250
반응형
공지사항
«   2021/08   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        
Total
204,347
Today
6