детектирование VMWare, soft-ice, olly и проч

вот интересная ссылка на сабжевую тему (если кто еще не видел)

www.honeynet.org/papers/bots/botnet-code.html



а вот еще: http://www.honeynet.org/papers/individual/DefeatingHPs-IAW05.pdf

 

Ну вот в книге ~ Арапетяна про Soft_Ice в конце книги не менее 10 способов детектирования, а тут тока тривиальные CreateFile... Про VM сказать ничего не могу, нерюх.

 

soft-ice не распознает только ленивый

а вот захачить VM-Ware это интересно

 

А можно написать прогу которая сможет вылезти из любого современного эмулятора (ex:VirtualPC) в нормальную среду выполнения?

 

есть такие способы.

если VM и host связаны сетью (а это часто так и есть),

то из-под VM можно атаковать host'а через все дыры,

на которые только не наложены заплатки.

 

Код (Text):

1. function IsVMwarePresent(): LongBool; stdcall;
2. begin
3.    Result := False;
4.    try
5.      asm
6.              mov     eax, 564D5868h
7.              mov     ebx, 00000000h
8.              mov     ecx, 0000000Ah
9.              mov     edx, 00005658h
10.              in      eax, dx
11.              cmp     ebx, 564D5868h
12.              jne     @@exit
13.              mov     Result, True
14.      @@exit:
15.      end;
16.    except
17.      Result := False;
18.    end;
19.  end;

Код (Text):

1. function running_inside_vpc: boolean; assembler;
2.  asm
3.    push ebp
4.  
5.    mov  ecx, offset @@exception_handler
6.    mov  ebp, esp
7.  
8.    push ebx
9.    push ecx
10.    push dword ptr fs:[0]
11.    mov  dword ptr fs:[0], esp
12.  
13.    mov  ebx, 0
14.    mov  eax, 1
15.  
16.   db 00Fh, 03Fh, 007h, 00Bh
17.  
18.    mov eax, dword ptr ss:[esp]
19.    mov dword ptr fs:[0], eax
20.    add esp, 8
21.  
22.    test ebx, ebx
23.    setz al
24.    lea esp, dword ptr ss:[ebp-4]
25.    mov ebx, dword ptr ss:[esp]
26.    mov ebp, dword ptr ss:[esp+4]
27.    add esp, 8
28.    jmp @@ret
29.    @@exception_handler:
30.    mov ecx, [esp+0Ch]
31.    mov dword ptr [ecx+0A4h], -1
32.   add dword ptr [ecx+0B8h], 4
33.   xor eax, eax
34.   ret
35.    @@ret:
36.  end;

А про детектинг дебагеров много где написано.

 

В книге "Crackproof Your Software" от автора SVKP их тоже не мало

 

kaspersky



То есть кроме как через сеть никак? По идее если нет никаких различий в выполнении кода в эмуляторе/обычной среде, шансов действительно нуль. Интересно бы узнать как в эмуляторах осуществляется преобразование адресов, может попытка обращения выполняемого в нем процесса за пределы 4Гб, выйдет для эмулятора боком.

 

> То есть кроме как через сеть никак?

универсально - никак.

в VM Ware 3.x вроде бы был баг,

позволяющий эмулируемой программе писать

в секцию данных самого эмулятора,

но в VM 4.x эту нычку уже прикрыли,

хотя если поискать, наверное, можно

нарыть что-то еще...

 

> function IsVMwarePresent()



BTW, детект версии вмвары отключается одной строчкой в конфиге, и соответсно ничего не продетектится.

 

Dr.Golova

> BTW, детект версии вмвары отключается одной строчкой

> в конфиге, и соответсно ничего не продетектится.

бак-дор все равно остается...

и два других способа детеката VMWare тоже -

по конфигрурации оборудования и MAC-адресам.

вот падч который решает проблему,

заткая все три известных сопосба детекта VMWare:

honeynet.rstack.org/tools/vmpatch.c

 

Еще довольно надежный способ детекта эмуляторов - замер времени обработки ексцепшена. Для эмулятора он будет на 2 порядка больше, чем для нормальной системы. Тоже самое будет и при работе под юзермодным дебагером.

Можно также померять число тактов нужное для выполнения привилегированых комманд в ринг0, под эмулятором будет тоже на порядок больше нормы.

 

> будет тоже на порядок больше нормы



Критерий "нормы" и как ее узнать в студию!

 

В форуме детектирование VM обсуждалось здесь

 

Dr.Golova

В pdfе, который дал в начале темы kaspersky, пункт

III.D.Timing issues

это случайно не то?

 

Айрапетян их спер из "Crackproof Your Software" , а сама книга - вообще перевод официального мануала. В печку ее! )

 

> это случайно не то?



Сильно сомневаюсь что эмуляторы не умеют эмулить rdtsc и им подобное.

 

Dr.Golova

Ни WmVare ни VirtualPC не эмулируют команды исполняющиеся в ring3, только привилегированые команды. И при разработке этих эмуляторов не ставилась цель защитится от их обнаружения программами. Так что можно еще кучу способов придумать, например скан оборудования из ринг0 даст результаты специфичные для эмулятора, а не id настоящего оборудования.

 

вот еще http://chitchat.at.infoseek.co.jp/

 

> Ни WmVare ни VirtualPC не эмулируют команды исполняющиеся в ring3



Да ну? Код сначала распарсивается дизасмом, и выполняются толко безопасные участки, все остальное эмулится, например sidt - выдаст тебе фейковый адрес (так тоже кстати детектят а popfd если я трапфлаг поставлю? Если бы весь ring3 выполнялся без проверок, то уронить всю такую систему было бы намного проще.



ЗЫ: Пятая версия вмваре недавно вышла, так что не буду утверждать что в какой-нить первой версии код не выполнялся без проверок =)