恶意样本分析手册-虚拟机检测篇(下)

在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。

虚拟机检测

一、VMWare

1.1查找注册表

通过检测注册表“HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0”,在数据项中查找目标数据VMWARE

 

1.2搜索特定程序

 

1.3通过执行特权指令

Vmware为真主机与虚拟机之间提供了相互沟通的通讯机制,它使用“IN”指令来读取特定端口的数据以进行两机通讯,但由于IN指令属于特权指令,在处于保护模式下的真机上执行此指令时,除非权限允许,否则将会触发类型为“EXCEPTION_PRIV_INSTRUCTION”的异常,而在虚拟机中并不会发生异常,在指定功能号0A(获取VMware版本)的情况下,它会在EBX中返回其版本号“VMXH”;而当功能号为0x14时,可用于获取VMware内存大小,当大于0时则说明处于虚拟机中。VMDetect正是利用前一种方法来检测VMware的存在,其检测代码分析如下:

 

1.4查找特定的驱动模块

1.5 CPUID

原理介绍:当eax=1时,运行CPUID之后,ecx的高31位可以判断出是否在虚拟机中,如果ecx的高31位为0表示在虚拟机下,否则在主机下

参考代码:

 

1.6检测系统对象

在WinXP和Win7中都有VMwareToolsQuitEvent_wmsvc和VMwareToolsDumpStateEvent_vmsvc,可以通过检测这两项事件对象是否存在来判断是不是运行在虚拟机里

图:XP下检测结果

图:win7下检测结果

1.7查询csrss.exe内存中的可疑字符

1.8硬件特征

VMWare硬件特征如下所示:

显卡 Name=VMware SVGA II

网卡 Name=VMware Accelerated AMD PCNet Adapter

鼠标 Name=VMware Pointing Device

磁盘驱动器 Caption=VMware Virtual IDE Hard Drive

SCSI控制器 name=VMware VMSCSI Controller

可以通过获取当前系统的硬件信息来判定是否运行在虚拟机中。

二、Virtual PC

2.1使用非法指令:

使用非法指令0x0F,0x3F,0xXX,0xXX。这些指令在VirtualPC上不会产生异常,但是在主机和其他虚拟机中会产生异常。并且需要注册异常处理函数来处理

参考代码:

 

2.2检测系统对象

2.3硬件特征

Virtual PC的硬件特征如下:

光驱:Caption=MS C/DVD-ROM  Name=MS C/DVD-ROM

硬盘:Caption=Virtual HD        Model=Virtual HD

显卡:Caption=Virtual PC Intergration Components S3 Trio32/64

Description=Virtual PC Intergration Components S3 Trio32/64

Name= Virtual PC Intergration Components S3 Trio32/64

InfSection=vpc-s3     VideoProcessor=S3 732

主板:Manufacturer=Microsoft Corporation        Product=Virtual Machine

特定指令:CPUID

功能号:0x40000001

返回: eax=“VPC7” ,最后一个数字可变

可以通过获取硬件特征值来进行判定是否运行在虚拟机里

三、VirtualBox

3.1搜索注册表项

搜索特定的注册表项来判断是不是运行在虚拟系统中。

3.2CPUID

原理介绍:当eax=0x40000000时,运行CPUID之后,ebx,ecx,edx不等于0,则运行在虚拟机里,如果等于0表示不在虚拟机里。

实例代码:

 

3.3硬件特征

VirtualBox的硬件特征如下:

光驱:Caption=VBOX CD-ROM      Name=VBOX CD-ROM

硬盘:Caption=VBOX HARDDISK   Model=VBOX HARDDISK

显卡:Caption=VirtualBox Graphics Adapter        Description=VirtualBox Graphics Adapter

InfSection=VBOXVideo    Name=VirtualBox Graphics Adapter

VideoProcessor=VBOXVideo

BIOS:Manufacturer=innotek GmbH     SMBIOSVersion=VirtualBox

Version=VBOX – 1

主板:Manufacturer=Oracle Corporation      Product=VirtualBox

可以通过获取硬件特征值来进行判定是否运行在虚拟机里

3.4搜索特定进程

在虚拟机里,会有一些虚拟机特有的进程,可以通过检测这些进程是否存在来判断是不是运行在虚拟机里。

VBoxService.exe

VBoxTray.exe

3.5查找底层模块

虚拟机的服务需要有底层模块的支持,一些比较明显的模块有如下几个。

VBoxGuest.sys

VBoxSF.sys

VBoxMouse.sys

VBoxVideo.sys

VBoxDisp.dll

四、SandBox

4.1检测系统对象

Sandbox开启之后,会在会在RPC Control目录下,有一个端口名称:SbieSvcPort

4.2查看当前进程是否包含目标动态库

在当前的进程空间中搜索目标动态库来判断是否运行在沙箱中

Comodo sandbox—–cmdvrt32.dll

Qihoo360 sandbox—-SxIn.dll

Sandboxie sandbox—–SbieDll.dll

参考代码:

 

 

4.3检测SbieDll.dll与API完整性

SandBoxie会注入SBIEDLL.DLL,HOOK应用程序使用的API函数,API函数会先跳转到该DLL。

Sanboxie可能会隐藏该SbieDll.dll,所以另一种方法是检测NTDLL API函数的完整性。

如果要检测要调用的API函数是否被HOOK,可以判断对应函数的前5个字节是不是0xE9 0xXXXXXXXX,如果被HOOK了,可以通过使用枚举进程模块的方法查看是被哪个模块HOOK了。

4.4检测CPU个数

通常情况下,虚拟机或者沙箱中的CPU个数是1,所以通过检测虚拟机的个数也可以检测是否运行在虚拟机中。

4.5可成功提权的进程个数

沙盒提供了与主机环境非常相似的环境,很多恶意软件的分析就是在沙盒中进行的,检测程序是否运行在沙盒当中的方法就是通过对已有进程的提权操作然后进行统计,统计为可以成功提权的进程数小于等于10(这里为统计值)的时候为程序运行在沙盒环境。

图:主机运行结果

图:沙箱运行结果

五、其他(PARALLELS、QEMU、XEN、BOCHS)

5.1 PARALLELS

这是一款运行在Mac电脑上安装windows系统的虚拟机软件,这样就能够在Mac下非常方便的运行Widows操作系统的应用,并且可以轻松切换到苹果的Mac系统,对于苹果电脑用户来说还是很实用的。

检测程序是否运行在PARALLELS中可以通过硬件特征,CPU ID指令和进程特征进行检测

硬件特征:

显卡:    Caption= Parallels Video Adapter           Description= Parallels Video Adapter

Name= Parallels Video Adapter              VideoProcessor= Virtual Adapter

网卡:    Caption= Parallels Ethernet Adapter             Description= Parallels Ethernet Adapter

Manufacturer= Parallels                  Name= Parallels Ethernet Adapter

ProductName= Parallels Ethernet Adapter

鼠标:    Caption= Parallels Mouse Synchronization Device

Description= Parallels Mouse Synchronization Device

Manufacturer= Parallels           Name= Parallels Mouse Synchronization Device

声卡:    Caption= Parallels Audio Controller (x32)      Manufacturer= Parallels

Description= Parallels Audio Controller (x32)

Name= Parallels Audio Controller (x32)

ProductName= Parallels Audio Controller (x32)

主板:    Manufacturer= Parallels Software International Inc.

Product= Parallels Virtual Platform

BIOS:  Manufacturer= Parallels Software International Inc.

SerialNumber= Parallels-5E 48 47 9F B5 30 7A 47 84 DB 58 97 C5 AF AB 85

Version= PRLS   – 1

进程特征:

coherence.exe     prl-tool-service.exe

特殊指令,CPUID,类型如下:

检测结果如下图所示:

5.2 QEMU

QEMU是一款开源的模拟器及虚拟机监管器(Virtual Machine Monitor, VMM)。QEMU主要提供两种功能给用户使用。一是作为用户态模拟器,利用动态代码翻译机制来执行不同于主机架构的代码。二是作为虚拟机监管器,模拟全系统,利用其他VMM(Xen, KVM, etc)来使用硬件提供的虚拟化支持,创建接近于主机性能的虚拟机。

可以使用qemu的硬件特征和CPUID指令来检测程序是否运行在qemu虚拟机里面。

QEMU的硬件特征为

CPU:Name = QEMU Virtual CPU Version

DISK:Caption=QEMU HARDDISK

BIOS:Manufacturer=Seabios

CDROM:Caption=QEMU QEMU DVD-ROM

Name=QEMU QEMU DVD-ROM

特殊指令:CPUID,使用的功能号为eax= 0x80000002,这样的话,CPUID指令将提取处理器商标的字符串,在qemu下面是QEMU Virtual CPU Version

5.3 XEN

硬件特征:

DISK:Caption=XENSRC PVDISK SCSI Disk Device

BIOS:Manufacturer=Xen

CDROM:Caption=QEMU QEMU DVD-ROM ATA Device

Name=QEMU QEMU DVD-ROM ATA Device

SCSI控制器:Catption=Citrix PV Storage Host Adapter

特殊指令:使用CPUID指令,类型如下:

图:检测结果

5.4 BOCHS

Bochs是一个x86硬件平台的开源模拟器。它可以模拟各种硬件的配置。Bochs模拟的是整个PC平台,包括I/O设备、内存和BIOS。

检测方法通过硬件特征和特殊指令

硬件特征:

光驱:  Caption=BOCHS Generic CD-ROM        Name=BOCHS Generic CD-ROM

BIOS:   BiosVersion=BOCHS -1            Manufacturer=The Bochs Project

SMBIOSVersion=Bochs         Version=BOCHS -1

特殊指令:CPUID

功能号如下:

执行指令后如果返回值:eax=0x40  ebx=0x40  ecx=0x3  edx=0x20,那么程序运行在虚拟机中。

图:检测结果

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论