對於一些不確定行為的程序,比如外掛、木馬病毒等,需要在虛擬機里運行來觀察其行為。但是很多的程序都加了殼保護,並且有檢測虛擬機運行環境,如果是在虛擬機里,則退出。有什么方法可以繞過虛擬機檢測呢?
1. 普遍的繞過方法:
disable_acceleration = "TRUE"
monitor_control.restrict_backdoor = "TRUE"
2. 虛擬機檢測--注冊表
HKLM\System\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-08002BE10318}\0000\DriverDesc 等含有VM的子鍵。
HKLM\HARDWARE\DESCRIPTION\System\BOIS\SystemManufacturer -- SafeEngine檢測項
http://blog.csdn.net/chence19871/article/details/48650839