来自 CC防护 2021-04-07 20:14 的文章

服务器加防_未备案_cdn抗ddos

服务器加防_未备案_cdn抗ddos

今天的恶意软件包含某种类型的内置虚拟机检测并不少见。虚拟机(vm)是恶意软件分析师工作环境的重要组成部分。毕竟,我们不想让我们的物理或"裸机"计算机感染恶意软件所能做的所有肮脏的事情。相反,我们可以将恶意软件放在虚拟机环境(VME)中,10gddos防御,并在感染发生后轻松地"刷新"我们的虚拟机。由于恶意软件编写者很清楚这一点,他们经常使用各种技术来攻击虚拟机。其中一些技术是原始的或过于简单的,只读取注册表项值。然而,cc防御服务,还有一些技术是在机器语言级别操作的,而且更难检测到。让我们看一个实际的例子。下面是一个解包的Dll勒索软件的代码,该软件在计算机的显示设备中查找与VM相关的字符串。(点击放大)为了使分析更容易,可以很容易地修补此检查并将其删除。不过,cc攻击的端口怎么防御,为了获得更持久的补救办法,还有其他选择,不限流量高防cdn加速,包括卸载VMware工具。我已经在我的沙盒虚拟机上做了这个。下面是同一勒索软件检查我的显示器时的输出然而,作为一个分析员,要确定VM检测是否发生并不总是那么容易。强化你的虚拟机可能是一个漫长的过程,可能涉及到很多工作。在某些情况下,您可能需要其他工具来隐藏VM创建的进程、文件和注册表项。最后,如果您使用VMware,那么如果您执行恶意软件分析,将这些选项添加到已关闭的.vmx文件中将非常有价值。isolation.tools.getPtrLocation.disable="真"isolation.tools.setPtrLocation.disable="真"isolation.tools.setVersion.disable="真"isolation.tools.getVersion.disable="真"监视器_control.disable\u directexec="真的"监视器_控制禁用="真的"监视器_控制禁用\ntreloc="真的"监视器_控制禁用_selfmod="真的"监视器_控制禁用重新锁定="真的"监视器_控制禁用="真的"监视器_控制禁用="真的"监视器_控制禁用="真的"监视器_控制禁用="真的"这些"未记录的"选项来自几年前的一篇研究论文,但在今天仍然可以用来防止一些虚拟机检测技术。但是请注意,这将破坏一些虚拟机功能,高防cdn和高防服务器对比,因为这些选项切断主机和来宾虚拟机之间的通信通道。_________________________________________________________________Joshua Cannell是Malwarebytes的恶意软件情报分析师,他在那里进行研究和恶意软件分析。推特:@joshcannell