Esistono tecniche di rilevamento VM (di malware) che sono impossibili da mitigare nel tuo VM?
Se sì, quale?
Esistono tecniche di rilevamento VM (di malware) che sono impossibili da mitigare nel tuo VM?
Se sì, quale?
Guardare le tabelle del firmware di sistema è un buon modo per dire, dal momento che la VM non userà un normale BIOS. Su Windows puoi usare EnumSystemFirmwareTables per leggerli . È possibile creare una VM che tenti di nasconderlo, ma è un processo fastidioso da configurare e in generale molto difficile da falsificare in modo convincente le tabelle del firmware di un sistema reale in modo convincente, poiché una delle tabelle è il blob del firmware BIOS / UEFI.
Anche i contenuti dei registri scratch MSR e PCH sono abbastanza difficili da falsificare, ma ciò richiede molte conoscenze specifiche della piattaforma e sforzi per implementare i controlli.
Al-Khaser è un framework di test che include molti trucchi di identificazione delle macchine virtuali, ed è un buon riferimento per questo tipo di cosa.
Nei sistemi Linux è possibile controllare il valore di / proc / cpuinfo e cercare la parola "hypervisor" nella sezione flag. Controlla questi due esempi
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx pdpe1gb rdtscp lm constant_tsc art arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf eagerfpu pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 sdbg fma cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm abm 3dnowprefetch epb invpcid_single intel_pt kaiser tpr_shadow vnmi flexpriority ept vpid fsgsbase tsc_adjust bmi1 hle avx2 smep bmi2 erms invpcid rtm mpx rdseed adx smap clflushopt xsaveopt xsavec xgetbv1 dtherm ida arat pln pts hwp hwp_notify hwp_act_window hwp_epp
E in una VM usando vmware
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts mmx fxsr sse sse2 ss ht syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts xtopology tsc_reliable nonstop_tsc aperfmperf unfair_spinlock pni pclmulqdq ssse3 cx16 sse4_1 sse4_2 popcnt aes xsave avx hypervisor lahf_lm ida arat xsaveopt pln pts dts
Leggi altre domande sui tag detection antimalware virtualhost