首页
论坛
课程
招聘
[分享]antiVM ida pro插件-快速识别anti-vm行为
2022-9-1 19:51 2645

[分享]antiVM ida pro插件-快速识别anti-vm行为

2022-9-1 19:51
2645
  • 基本描述:

ida pro 插件,安装之后快速识别代码中的anti操作。以防万一,使用前可以先保存idb快照。目的是减少分析人员对抗时间。

    • 基于Yara-Rules项目,扩充yara规则。

    • 使用al-khaser做测试和丰富特征,项目提供编译版本供大家测试。

    • 可以通过快捷键 Ctrl + atl + A 执行,也可以在plugins目录下允许。


使用演示:


  • 项目地址:

https://github.com/Hipepper/antiVM


  • 后续改进:

rules很多是宽泛的,这会导致一点点误报,比如针对进程dll的检测:

rule sandBox_usernames {
   meta:
       Author = "jentle"
       reference = "https://www.sentinelone.com/blog/gootkit-banking-trojan-deep-dive-anti-analysis-features/"

   strings:
       $s1="CurrentUser" wide
$s2="Sandbox" wide
$s3="Emily" wide
$s4="HAPUBWS" wide
$s5="Hong Lee" wide
$s6="IT-ADMIN" wide
$s7="milozs" wide
$s8="Peter Wilson" wide
$s9="timmy" wide
$s10="user" wide
$s11="sand box" wide
$s12="malware" wide
$s13="maltest" wide
$s14="test user" wide
$s15="virus" wide
   condition:
       any of them
}

后续还需要优化,另外对IOA的规则本地还没有丰富完。比如对CPUID,SIDT检测,基于指令的规则会带来更大的误报,后期还需要添加。


有些IDT检测虚拟机技术以及过时了,代码中使用的和之前公开的redpill的思路一样,但是已经对vm 12.x + 无效。


欢迎”TIPFactory情报工厂“。



[2022冬季班]《安卓高级研修班(网课)》月薪三万班招生中~

收藏
点赞2
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回