[求助]有没有猥琐的检测虚拟机方法？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
a糊涂虫雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 261 粉丝 0 关注私信	a糊涂虫 2 楼强烈关注 2016-4-2 23:48 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 3 楼这个简单，直接WMI命令扫描硬件信息，基本所有信息，都会有带有VMware开头的。 2016-4-3 01:37 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 4 楼拦截WMI命令，抹掉VMware 2016-4-3 02:18 0
Morgion 雪币： 608 活跃值： (703) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 5 楼枚举一下PCI设备，就什么都有了 2016-4-3 06:18 0
安全裤雪币： 420 活跃值： (1190) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 31 粉丝 3 关注私信	安全裤 6 楼虚拟mac，特定驱动文件，硬盘序列号，cpu，硬盘名称,硬盘大小，很猥琐。 2016-4-3 08:12 0
TABin 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	TABin 7 楼特权指令 mov eax, 'VMXh' mov ecx, 10 // 指定功能号，用于获取VMWare版本 mov edx, 'VX' // in eax, dx // 获取版本，则进入异常 redpill （多核心问题有待研究） unsigned char IDT[2+4], redpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3"; ((unsigned)&redpill[3]) = (unsigned)IDT; ((void(*)())&redpill)(); 遍历设备管理器设备网卡MAC 注册表 system32的文件服务项进程快照全局描述符 unsigned char GDT[2]; __asm sgdt GDT; if(GDT[0] == 0xff) //虚拟机中 GDT开始值为0XFFXXXXXX check = true; 2016-4-3 09:49 0
忆秋暝枫雪币： 26 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	忆秋暝枫 8 楼硬件信息带vm的，似乎可以通过修改驱动重新安装来改变 2016-4-3 13:30 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 9 楼改哪几个配置项，可以反虚拟机检测，能说说吗 2016-4-4 00:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
a糊涂虫雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 261 粉丝 0 关注私信	a糊涂虫 2 楼强烈关注 2016-4-2 23:48 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 3 楼这个简单，直接WMI命令扫描硬件信息，基本所有信息，都会有带有VMware开头的。 2016-4-3 01:37 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 4 楼拦截WMI命令，抹掉VMware 2016-4-3 02:18 0
Morgion 雪币： 608 活跃值： (703) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 5 楼枚举一下PCI设备，就什么都有了 2016-4-3 06:18 0
安全裤雪币： 420 活跃值： (1190) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 31 粉丝 3 关注私信	安全裤 6 楼虚拟mac，特定驱动文件，硬盘序列号，cpu，硬盘名称,硬盘大小，很猥琐。 2016-4-3 08:12 0
TABin 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	TABin 7 楼特权指令 mov eax, 'VMXh' mov ecx, 10 // 指定功能号，用于获取VMWare版本 mov edx, 'VX' // in eax, dx // 获取版本，则进入异常 redpill （多核心问题有待研究） unsigned char IDT[2+4], redpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3"; ((unsigned)&redpill[3]) = (unsigned)IDT; ((void(*)())&redpill)(); 遍历设备管理器设备网卡MAC 注册表 system32的文件服务项进程快照全局描述符 unsigned char GDT[2]; __asm sgdt GDT; if(GDT[0] == 0xff) //虚拟机中 GDT开始值为0XFFXXXXXX check = true; 2016-4-3 09:49 0
忆秋暝枫雪币： 26 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	忆秋暝枫 8 楼硬件信息带vm的，似乎可以通过修改驱动重新安装来改变 2016-4-3 13:30 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 9 楼改哪几个配置项，可以反虚拟机检测，能说说吗 2016-4-4 00:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复