Описание Маскируемся под виртуалку [fakevm]

Тема в разделе "WINDOWS - КОМПЬЮТЕР БЕЗ АНТИВИРУСОВ !", создана пользователем Антоха, 7 янв 2017.

↑ ↓
  1. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.255
    Симпатии:
    11.143
    Пол:
    Мужской
    Репа:
    +11.302 / 49 / -6
    Jabber:
    Skype:
    Sosyal-Medyada-Güvende-Miyiz-940x470.
    Где-то в треде на форуме упоминал комментарий юзера с Хабра. Суть его была в том, что большое количество вредоносов имеет на борту функции антивиртуалки, антидебага и т.д. То есть во избежание изучения, малварь тупо не запускается на виртуальных машинах, крашится в ольке или же к примеру не отрабатывает при наличии в системе определённых процессов софта от Руссиновича. И было выдвинуто предложение, а что если эту фишку зловредов использовать против них самих же. Навтыкать фейковых процессов, ключей реестра, определённых служб в реальную систему (в общем всех признаков по которым малварь и проверяет окружающую среду в которой её запускают). Мысль понятна? В итоге комментарий потонул под грудой других коммов и развития не получил.
    Сейчас наткнулся на статью в одном бложеке, где чел написал пруф-концепт подобного
    GitHub - theevilbit/fakevm: POC kernel driver to make a normal Windows desktop show up as a VM.
    Это обычный скрипт на питоне с помощью которого можно замаскировать реальную систему под Vbox или VMware. Аверы пока не особо торопятся взять эту фичу на вооружение. Блогер упомянул лишь HitmanPro.Alert который имеет эту функцию, а так же похожий инструмент который включает в себя и фейковые признаки наличия Olly Debugger.
    Полная статья The Evil Bit Blog: Make your desktop a fake Virtual Machine to defend against malware
    Не рекомендуется использовать вышеописанное на рабочей системе. Это же пруф-концепт как никак..

    Кто что думает? Будет ли развитие подобной стороны защиты в АВ индустрии?

    p.s. В дополнение к тексту выше - защита от вредоносных программ с помощью фейковых окон отладчика.
     
    • Мне нравится Мне нравится x 2
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.871
    Симпатии:
    460
    Пол:
    Мужской
    Репа:
    +1.008 / 158 / -29
    Jabber:
    Telegram:
    Врядли, тогда и легальные программы могут не запуститться, да и зачем ?

    Лучше развивать механизмы виртуальной среды, детект по поведению и облачный детект, это позволит наверное до 90% обнаружить вирусов, сейчас антивирусы уже не плохих успехов добились, многие по облаку достаточно неплохо обнаруживают, но нужен доступ в Интернет !
     

Поделиться этой страницей