トレース:

差分

このページの2つのバージョン間の差分を表示します。

この比較画面にリンクする

両方とも前のリビジョン 前のリビジョン
次のリビジョン 		前のリビジョン
最新のリビジョン 両方とも次のリビジョン
malware:vmsetting [2012/11/26 09:20]
kikuzou 		malware:vmsetting [2012/11/27 06:08]
kikuzou
行 5: 行 5:
   * 以下の設定を行うことにより、VMwareの検知機能を回避出来る場合がある。   * 以下の設定を行うことにより、VMwareの検知機能を回避出来る場合がある。
     * **完全では無いので注意!!**     * **完全では無いので注意!!**
 +
 +==== 参考サイト ====
 +  * [[http://www.hexacorn.com/blog/2012/11/25/hiding-env-tools-from-malware-a-k-a-fight-fire-with-fire-but-only-inside-vm/|Hexacorn Blog - Hiding env./tools from malware a.k.a. fight fire with fire (but only inside VM)]]
  
 ===== vmxファイル(*.vmx)の設定変更 ===== ===== vmxファイル(*.vmx)の設定変更 =====
行 37: 行 40:
  
 ===== Hacker Defender rootkit ===== ===== Hacker Defender rootkit =====
-  * comming soon...+  * 指定したファイル/フォルダ/レジストリ/プロセス等を隠蔽するツール 
 +  * 現在は配布されていない 
 +    * ウイルス対策ソフトで検知するため取扱注意 
 +  * 以下設定ファイル(hide.ini)で hxdef100.exe を実行する 
 + 
 +<code> 
 +hxdef100.exe hide.ini 
 +</code> 
 + 
 +<file> 
 +[Hidden Table] 
 +hxd* 
 +vmu* 
 +vmt* 
 +vmw* 
 +tools* 
 +procexp* 
 +ollydbg* 
 + 
 +[Root Processes] 
 +hxd* 
 +vmu* 
 +vmt* 
 +vmw* 
 +tools* 
 +procexp* 
 +ollydbg* 
 + 
 +[Hidden Services] 
 +HackerDefender100 
 +vmu* 
 +vmt* 
 +vmw* 
 +procexp* 
 + 
 +[Hidden RegKeys] 
 +VMware, Inc. 
 +Sysinternals 
 + 
 +[Hidden RegValues] 
 +vmu* 
 +vmt* 
 +vmw* 
 + 
 +[Startup Run] 
 + 
 +[Free Space] 
 + 
 +[Hidden Ports] 
 + 
 +[Settings] 
 +Password=infected 
 +BackdoorShell=cmd.exe 
 +FileMappingName=_.-=[Hacker Defender]=-._ 
 +ServiceName=HackerDefender100 
 +ServiceDisplayName=HXD Service 100 
 +ServiceDescription=NT rootkit 
 +DriverName=HackerDefenderDrv100 
 +DriverFileName=hxdefdrv.sys 
 + 
 +[Comments] 
 +</file> 
 + 
 +===== 参考情報:ScoopyNG - The VMware Detection Tool ===== 
 +  * [[http://www.trapkit.de/research/vmm/scoopyng/|trapkit.de - ScoopyNG]] 
 +  * 仮想OS上で、VMware環境か検知するツール 
 + 
 +==== 上記3つの対策を施した上で実行した結果 ==== 
 +  * 「Test 7: VMware emulation mode」で検知されてしまう。 
 +    * Derek Soeder's (eEye Digital Security) VMware emulation test 
 + 
 +<code> 
 +#################################################### 
 +::       ScoopyNG - The VMware Detection Tool     :: 
 +::              Windows version v1.0              :: 
 + 
 +[+] Test 1: IDT 
 +IDT base: 0x8003f400 
 +Result  : Native OS 
 + 
 + 
 +[+] Test 2: LDT 
 +LDT base: 0xdead0000 
 +Result  : Native OS 
 + 
 + 
 +[+] Test 3: GDT 
 +GDT base: 0x8003f000 
 +Result  : Native OS 
 + 
 + 
 +[+] Test 4: STR 
 +STR base: 0x28000000 
 +Result  : Native OS 
 + 
 + 
 +[+] Test 5: VMware "get version" command 
 +Result  : Native OS 
 + 
 + 
 +[+] Test 6: VMware "get memory size" command 
 +Result  : Native OS 
 + 
 + 
 +[+] Test 7: VMware emulation mode 
 +Result  : VMware detected (emulation mode detected)
  
 +::                   tk,  2008                    ::
 +::               [ www.trapkit.de ]               ::
 +####################################################
 +</code>
  
malware/vmsetting.txt · 最終更新: 2012/11/27 06:08 by kikuzou
 
特に明示されていない限り、本Wikiの内容は次のライセンスに従います: CC Attribution-Share Alike 4.0 International
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki