VM 去虚拟化过检测
VM 去虚拟化过检测技术旨在让虚拟机(VM)在加载恶意软件或从事其他可疑活动时逃避检测。
以下是一些关键要素:
特征隐藏:
- 篡改或隐藏虚拟机监控程序 (VMM) 的特征,例如虚拟机标识符、管理程序调用和虚拟化组件。
执行流混淆:
- 使用技术(例如指令随机化、控制流平坦化和代码混淆)来混淆恶意软件的执行流,使其难以被检测系统分析。
内存反检测:
- 修改内存管理设置以逃避虚拟机检测,例如使用 DMA 或 I/O 内存管理单元 (IOMMU) 来隐藏恶意代码。
时间同步:
- 同步恶意软件的时间戳和虚拟机环境的时间,以逃避基于时间差或事件日志的时间戳分析。
设备欺骗:
- 伪造或欺骗 VM 的设备信息(例如网络接口卡、磁盘控制器和 BIOS),以绕过检测基于设备指纹的系统。
资源限制绕过:
- 发现并绕过 VMM 强加的资源限制,例如 CPU 配额、内存分配和 I/O 访问。
沙箱逃逸:
- 从 VM 沙箱中逃逸,获得对宿主机操作系统的访问权限,从而绕过虚拟化隔离层。
![](https://img1.baidu.com/it/u=1777733440,4108520176&fm=253.jpg)