反反虚拟机检测恶意样本分析辅助脚本

‍

‍安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

很多恶意软件都会使用一些对抗技术，其中就包含反虚拟机技术，会检测样本是否运行在虚拟机环境或沙箱环境，以逃避自动化分析，这时候就需要对分析环境进行一些处理使样本能用效运行，攻防对抗就是矛与盾的关系。

分享一个反反虚拟机检测的脚本，可以用这个脚本对虚拟机环境进行处理，让一部分简单的反虚拟机样本能运行，仍然攻防对抗永远是相对的，没有哪个工具能一劳永逸，也没有哪种防御手段能一直有效，这是一个长期对抗的过程。

辅助脚本

辅助分析脚本开源地址：

https://github.com/d4rksystem/VMwareCloak

该PowerShell脚本试图帮助恶意软件分析师隐藏他们的VMware Windows VM，以防可能试图逃避分析的恶意软件，下面我们就来分析一下，它做了哪些对抗操作。

1.该脚本一共提供了四个可选的参数，分别执行不同的对抗操作，如下所示：

2.使用all参数运行脚本，如下所示：

3.处置完成之后，如下所示：

4.结束VM相关进程，如下所示：

5.修改VM相关的注册表项，如下所示：

6.重命名VM相关目录与文件，如下所示：

基本上就是做了上面这些处理，把虚拟机相关的进程、文件、注册表都处理了，使一些反虚拟机恶意软件在运行的过程中检测虚拟机进程、文件、注册表的时候，检测不到这些特征，这样就达到了反反虚拟机的目的，从而可以让一些简单的反虚拟机恶意软件正常运行。

总结结尾

如果对恶意软件分析感兴趣的，可以加入笔者的全球安全分析与研究专业群，一起共同分析和研究全球流行恶意软件家族。

王正

笔名：熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究

‍

‍