标签:
对于一些不确定行为的程序,比如外挂、木马病毒等,需要在虚拟机里运行来观察其行为。但是很多的程序都加了壳保护,并且有检测虚拟机运行环境,如果是在虚拟机里,则退出。有什么方法可以绕过虚拟机检测呢?
1. 普遍的绕过方法:
disable_acceleration = "TRUE"
monitor_control.restrict_backdoor = "TRUE"
2. 虚拟机检测--注册表
HKLM\System\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-08002BE10318}\0000\DriverDesc 等含有VM的子键。
HKLM\HARDWARE\DESCRIPTION\System\BOIS\SystemManufacturer -- SafeEngine检测项
http://blog.csdn.net/chence19871/article/details/48650839
标签:
原文地址:http://www.cnblogs.com/findumars/p/5636493.html
