-
Notifications
You must be signed in to change notification settings - Fork 0
/
index.html
176 lines (107 loc) · 6.71 KB
/
index.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>Hexo</title>
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
<meta property="og:type" content="website">
<meta property="og:title" content="Hexo">
<meta property="og:url" content="http://yoursite.com/index.html">
<meta property="og:site_name" content="Hexo">
<meta property="og:locale" content="default">
<meta name="twitter:card" content="summary">
<meta name="twitter:title" content="Hexo">
<link rel="alternate" href="/atom.xml" title="Hexo" type="application/atom+xml">
<link rel="icon" href="/favicon.png">
<link href="//fonts.googleapis.com/css?family=Source+Code+Pro" rel="stylesheet" type="text/css">
<link rel="stylesheet" href="/css/style.css">
</head>
<body>
<div id="container">
<div id="wrap">
<header id="header">
<div id="banner"></div>
<div id="header-outer" class="outer">
<div id="header-title" class="inner">
<h1 id="logo-wrap">
<a href="/" id="logo">Hexo</a>
</h1>
</div>
<div id="header-inner" class="inner">
<nav id="main-nav">
<a id="main-nav-toggle" class="nav-icon"></a>
<a class="main-nav-link" href="/">Home</a>
<a class="main-nav-link" href="/archives">Archives</a>
</nav>
<nav id="sub-nav">
<a id="nav-rss-link" class="nav-icon" href="/atom.xml" title="RSS Feed"></a>
<a id="nav-search-btn" class="nav-icon" title="Search"></a>
</nav>
<div id="search-form-wrap">
<form action="//google.com/search" method="get" accept-charset="UTF-8" class="search-form"><input type="search" name="q" class="search-form-input" placeholder="Search"><button type="submit" class="search-form-submit"></button><input type="hidden" name="sitesearch" value="http://yoursite.com"></form>
</div>
</div>
</div>
</header>
<div class="outer">
<section id="main">
<article id="post-你好,Hexo" class="article article-type-post" itemscope itemprop="blogPost">
<div class="article-meta">
<a href="/2018/08/26/你好,Hexo/" class="article-date">
<time datetime="2018-08-26T13:26:23.083Z" itemprop="datePublished">2018-08-26</time>
</a>
</div>
<div class="article-inner">
<header class="article-header">
<h1 itemprop="name">
<a class="article-title" href="/2018/08/26/你好,Hexo/">虚拟机硬化技术</a>
</h1>
</header>
<div class="article-entry" itemprop="articleBody">
<p>  定义通过减小虚拟机和实体机的差别,从而对抗恶意软件反虚拟机的技术。最近在做项目的时候碰到了一个棘手的问题:如何对virtualBox中的安全的 win10虚拟机实现有效的硬化。如果做不好硬化工作,某些病毒样本就不能顺利的在虚拟机环境中执行,这就直接会直接导致我随后无法拿到病毒样本的内存数据。 经过一段时间的探索和对国外文献的调查总结如下。希望对以后遇到相同问题的人一定的启迪和帮助。<br>(1)注册表(以下这些注册表值都必须删除掉)<br>HKEY_LOCAL_MACHINE/HARDWARE/ACPI/DSDT/VBOX_ HKEY_LOCAL_MACHINE/HARDWARE/ACPI/ FADT/VBOX_ HKEY_LOCAL_MACHINE/HARDWARE/ACPI/RSDT/VBOX_ HKEY_LOCAL_MACHINE/<br>HARDWARE/ACPI/SSDT/VBOX_<br>(2)WMI(windows管理规范)是Microsft基于Web的企业管理(WBEM)的实践,它是开发用于访问企业环境的管理信息的标准倡议。WMI使用通用信息模型(CMI)行业标准来表示系统,应用程序,网络,设备和其他受管理组件。病毒通常会利用WMI来查看是不是用虚拟设备接入系统来判断当前是不是运行在一个虚拟机的环境中。通常我们可以人工的主动关闭这个系统服务来躲避恶意程序检测这个特征。<br>(3)内存和硬盘大小:恶意软件通常会检测当前系统环境的内存大小是否小于1G,由于通常的实体机的大小都大于1G,所以如果你配置的虚拟机内存小于1G,恶意软件则会拒绝执行。硬盘大小最好也不要小于40G<br>(4)内核数量:默认开启的CPU内核都是单核的,为了避免恶意软件检测到这一点,我们需要把内核数量设置在4核以上。<br>(5)cpu硬件时钟和本地虚拟机中的时钟不同:通常恶意软件在自己的内部调用系统的硬件时钟和本地的系统时钟counter对特定的时间段进行计时,通过时差来判断该系统是不是一个虚拟的环境,这种类型的虚拟化目前还没有有效的手段可以避免。只能期望VMware对计数器API进行校准误差来避免这种精确的检测。<br>(6)另外在执行恶意软件的时候只能使用脚本运行不能使用鼠标,由于虚拟鼠标会被恶意软件立马捕获到虚拟硬件驱动的存在而停止运行样本。<br>(7)不要开启网络:恶意软件通常会主动连接网。虚拟机环境下,虚拟网络和实体网络的区别会被恶意软件感知,比如响应时差。<br>  <a href="https://github.com/a0rtega/pafish" target="_blank" rel="noopener">pafish下载链接</a> </p>
</div>
<footer class="article-footer">
<a data-url="http://yoursite.com/2018/08/26/你好,Hexo/" data-id="cjlay91g60001nsqscxebowbt" class="article-share-link">Share</a>
</footer>
</div>
</article>
</section>
<aside id="sidebar">
<div class="widget-wrap">
<h3 class="widget-title">Archives</h3>
<div class="widget">
<ul class="archive-list"><li class="archive-list-item"><a class="archive-list-link" href="/archives/2018/08/">August 2018</a></li></ul>
</div>
</div>
<div class="widget-wrap">
<h3 class="widget-title">Recent Posts</h3>
<div class="widget">
<ul>
<li>
<a href="/2018/08/26/你好,Hexo/">虚拟机硬化技术</a>
</li>
</ul>
</div>
</div>
</aside>
</div>
<footer id="footer">
<div class="outer">
<div id="footer-info" class="inner">
© 2018 John Doe<br>
Powered by <a href="http://hexo.io/" target="_blank">Hexo</a>
</div>
</div>
</footer>
</div>
<nav id="mobile-nav">
<a href="/" class="mobile-nav-link">Home</a>
<a href="/archives" class="mobile-nav-link">Archives</a>
</nav>
<script src="//ajax.googleapis.com/ajax/libs/jquery/2.0.3/jquery.min.js"></script>
<link rel="stylesheet" href="/fancybox/jquery.fancybox.css">
<script src="/fancybox/jquery.fancybox.pack.js"></script>
<script src="/js/script.js"></script>
</div>
</body>
</html>