设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 各种编程语言和开发工具 x86ASM 虚拟机检测
返回列表 发新帖
查看: 10142|回复: 7

虚拟机检测

  [复制链接]
nbboy

5

主题

39

回帖

1

精华

铂金会员

积分
1567
发表于 2011-1-4 23:33:15 | 显示全部楼层 |阅读模式
分别用几种方法来实现的,有兴趣可以看下。
感觉在加上病毒变异技术的话,那就可以躲过杀软了。。。
.386
.model flat,stdcall
option casemap:none

include INVM.inc
                .const
               
                .data
                g_vm_0                db        'VMXh',0
                g_title                db        '这种检测的位置比较多,但是具有不同的针对性,这里就不检测了',0
                g_vm_1                db        'VX',0
                g_msg_suc        db        'in vm!',0
                g_msg_fal        db        'out vm!',0
                g_dbg_0                db        '%x',0
                g_rc                db        0
                .code

start:

        invoke GetModuleHandle,NULL
        mov    hInstance,eax
        invoke GetCommandLine
        mov                CommandLine,eax
        invoke InitCommonControls
        invoke WinMain,hInstance,NULL,CommandLine,SW_SHOWDEFAULT
        invoke ExitProcess,eax

WinMain proc hInst:HINSTANCE,hPrevInst:HINSTANCE,CmdLine:LPSTR,CmdShowWORD
        LOCAL        wc:WNDCLASSEX
        LOCAL        msg:MSG

        mov                wc.cbSize,sizeof WNDCLASSEX
        mov                wc.style,CS_HREDRAW or CS_VREDRAW
        mov                wc.lpfnWndProc,offset WndProc
        mov                wc.cbClsExtra,NULL
        mov                wc.cbWndExtra,DLGWINDOWEXTRA
        push        hInst
        pop                wc.hInstance
        mov                wc.hbrBackground,COLOR_BTNFACE+1
        mov                wc.lpszMenuName,IDM_MENU
        mov                wc.lpszClassName,offset ClassName
        invoke LoadIcon,NULL,IDI_APPLICATION
        mov                wc.hIcon,eax
        mov                wc.hIconSm,eax
        invoke LoadCursor,NULL,IDC_ARROW
        mov                wc.hCursor,eax
        invoke RegisterClassEx,addr wc
        invoke CreateDialogParam,hInstance,IDD_DIALOG,NULL,addr WndProc,NULL
        invoke ShowWindow,hWnd,SW_SHOWNORMAL
        invoke UpdateWindow,hWnd
        .while TRUE
                invoke GetMessage,addr msg,NULL,0,0
          .BREAK .if !eax
                invoke TranslateMessage,addr msg
                invoke DispatchMessage,addr msg
        .endw
        mov                eax,msg.wParam
        ret

WinMain endp


gdt_                struct
        limit        word                ?
        baselo        word                ?
        basehi        word                ?
gdt_                ends
ldt_gdt                proc
        LOCAL        gdt:gdt_
        sgdt        gdt
        mov        ax,gdt.basehi
        shr        ax,8
        cmp        al,0ffh       
        jnz        @f
        mov        eax,1
        ret
        @@:
        xor        eax,eax
        ret
ldt_gdt         endp

str_test        proc
       
        LOCAL        mem[4]:byte
        pushad
        str word ptr mem[0]
        .if mem[0] == 00h && mem[1] == 40h
       
        popad
        mov eax,1
        ret
               
        .endif
        popad
        xor eax,eax
        ret

str_test endp

time                proc
       
        pushad
        db        0fh,31h;;RDTSC
          xchg   ecx, eax
          db        0fh,31h
          sub    eax, ecx
          cmp    eax, 0FFh
          jg        Detected
          popad
          xor         eax,eax
          ret
        Detected:
        popad
          mov        eax,1
          ret

time endp

idt_                struct
        limit                word                ?
        baselo                word                ?
        basehi                word                ?
idt_                 ends
redpill                proc
        LOCAL        idt:idt_
        sidt        idt
        cmp        idt.basehi,0d000h
        jbe        @f
        mov        eax,1
        ret
@@:
        xor        eax,eax
       
        ret

redpill endp
other                proc
       
        ;;这里检测的方法很多。具体要看你收集的特征码了。比如注册表。。。。
        ret

other endp
WndProc proc hWin:HWND,uMsg:UINT,wParam:WPARAM,lParam:LPARAM

        mov                eax,uMsg
        .if eax==WM_INITDIALOG
                push        hWin
                pop                hWnd
        .elseif eax==WM_COMMAND
                mov                eax,wParam
                and                eax,0FFFFh
                .if eax==IDM_FILE_EXIT
                        invoke SendMessage,hWin,WM_CLOSE,0,0
                .elseif eax==IDM_HELP_ABOUT
                        invoke ShellAbout,hWin,addr AppName,addr AboutMsg,NULL
               
                       
                .elseif eax==1002
                        ;;idt&gdt检测
                        call ldt_gdt
                        .if        eax==1
                                invoke MessageBox,NULL,offset g_msg_suc,NULL,0
                        .elseif
                                invoke MessageBox,NULL,offset g_msg_fal,NULL,0
                        .endif
                       
                       
                .elseif eax==1003
                        ;;str检测
                        call str_test
                        .if        eax==1
                                invoke MessageBox,NULL,offset g_msg_suc,NULL,0
                        .elseif
                                invoke MessageBox,NULL,offset g_msg_fal,NULL,0
                        .endif
                .elseif eax==1004
                        ;;时间差检测
                        call time
                        .if        eax==1
                                invoke MessageBox,NULL,offset g_msg_suc,NULL,0
                        .elseif
                                invoke MessageBox,NULL,offset g_msg_fal,NULL,0
                        .endif
                .elseif eax==1005
                        ;;特征检测
                        invoke MessageBox,NULL,offset g_title,NULL,0
                .elseif eax == 1006
                        call redpill
                        .if        eax==1
                                invoke MessageBox,NULL,offset g_msg_suc,NULL,0
                        .elseif
                                invoke MessageBox,NULL,offset g_msg_fal,NULL,0
                        .endif
                       
                .endif
;        .elseif eax==WM_SIZE
        .elseif eax==WM_CLOSE
                invoke DestroyWindow,hWin
        .elseif uMsg==WM_DESTROY
                invoke PostQuitMessage,NULL
        .else
                invoke DefWindowProc,hWin,uMsg,wParam,lParam
                ret
        .endif
        xor    eax,eax
        ret

WndProc endp

end start

评分

参与人数 1 +20 +20 水晶币 +20 +20 收起 理由
Tesla.Angela + 20 + 20 + 20 + 20 精品文章

查看全部评分

回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2011-1-5 20:42:21 | 显示全部楼层
据说有个方法是测试指令时间。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

Xor

40

主题

324

回帖

0

精华

铂金会员

Eax=0

积分
1575
发表于 2011-3-16 12:14:40 | 显示全部楼层
:L=:L
=:D
还得手动转换...
不过确实是精品!
Do my best.
回复

举报

Xor

40

主题

324

回帖

0

精华

铂金会员

Eax=0

积分
1575
发表于 2011-3-16 12:18:36 | 显示全部楼层
帮你修正该死的表情符号:
  1. .386
  2. .model flat,stdcall
  3. option casemap:none

  5. include INVM.inc
  6.                 .const
  7.                
  8.                 .data
  9.                 g_vm_0                db        'VMXh',0
  10.                 g_title                db        '这种检测的位置比较多,但是具有不同的针对性,这里就不检测了',0
  11.                 g_vm_1                db        'VX',0
  12.                 g_msg_suc        db        'in vm!',0
  13.                 g_msg_fal        db        'out vm!',0
  14.                 g_dbg_0                db        '%x',0
  15.                 g_rc                db        0
  16.                 .code

  18. start:

  20.         invoke GetModuleHandle,NULL
  21.         mov    hInstance,eax
  22.         invoke GetCommandLine
  23.         mov                CommandLine,eax
  24.         invoke InitCommonControls
  25.         invoke WinMain,hInstance,NULL,CommandLine,SW_SHOWDEFAULT
  26.         invoke ExitProcess,eax

  28. WinMain proc hInst:HINSTANCE,hPrevInst:HINSTANCE,CmdLine:LPSTR,CmdShow:DWORD
  29.         LOCAL        wc:WNDCLASSEX
  30.         LOCAL        msg:MSG

  32.         mov                wc.cbSize,sizeof WNDCLASSEX
  33.         mov                wc.style,CS_HREDRAW or CS_VREDRAW
  34.         mov                wc.lpfnWndProc,offset WndProc
  35.         mov                wc.cbClsExtra,NULL
  36.         mov                wc.cbWndExtra,DLGWINDOWEXTRA
  37.         push        hInst
  38.         pop                wc.hInstance
  39.         mov                wc.hbrBackground,COLOR_BTNFACE+1
  40.         mov                wc.lpszMenuName,IDM_MENU
  41.         mov                wc.lpszClassName,offset ClassName
  42.         invoke LoadIcon,NULL,IDI_APPLICATION
  43.         mov                wc.hIcon,eax
  44.         mov                wc.hIconSm,eax
  45.         invoke LoadCursor,NULL,IDC_ARROW
  46.         mov                wc.hCursor,eax
  47.         invoke RegisterClassEx,addr wc
  48.         invoke CreateDialogParam,hInstance,IDD_DIALOG,NULL,addr WndProc,NULL
  49.         invoke ShowWindow,hWnd,SW_SHOWNORMAL
  50.         invoke UpdateWindow,hWnd
  51.         .while TRUE
  52.                 invoke GetMessage,addr msg,NULL,0,0
  53.           .BREAK .if !eax
  54.                 invoke TranslateMessage,addr msg
  55.                 invoke DispatchMessage,addr msg
  56.         .endw
  57.         mov                eax,msg.wParam
  58.         ret

  60. WinMain endp


  63. gdt_                struct
  64.         limit        word                ?
  65.         baselo        word                ?
  66.         basehi        word                ?
  67. gdt_                ends
  68. ldt_gdt                proc
  69.         LOCAL        gdt:gdt_
  70.         sgdt        gdt
  71.         mov        ax,gdt.basehi
  72.         shr        ax,8
  73.         cmp        al,0ffh        
  74.         jnz        @f
  75.         mov        eax,1
  76.         ret
  77.         @@:
  78.         xor        eax,eax
  79.         ret
  80. ldt_gdt         endp

  82. str_test        proc
  83.         
  84.         LOCAL        mem[4]:byte
  85.         pushad
  86.         str word ptr mem[0]
  87.         .if mem[0] == 00h && mem[1] == 40h
  88.         
  89.         popad
  90.         mov eax,1
  91.         ret
  92.                
  93.         .endif
  94.         popad
  95.         xor eax,eax
  96.         ret

  98. str_test endp

  100. time                proc
  101.         
  102.         pushad
  103.         db        0fh,31h;;RDTSC
  104.           xchg   ecx, eax
  105.           db        0fh,31h
  106.           sub    eax, ecx
  107.           cmp    eax, 0FFh
  108.           jg        Detected
  109.           popad
  110.           xor         eax,eax
  111.           ret
  112.         Detected:
  113.         popad
  114.           mov        eax,1
  115.           ret

  117. time endp

  119. idt_                struct
  120.         limit                word                ?
  121.         baselo                word                ?
  122.         basehi                word                ?
  123. idt_                 ends
  124. redpill                proc
  125.         LOCAL        idt:idt_
  126.         sidt        idt
  127.         cmp        idt.basehi,0d000h
  128.         jbe        @f
  129.         mov        eax,1
  130.         ret
  131. @@:
  132.         xor        eax,eax
  133.         
  134.         ret

  136. redpill endp
  137. other                proc
  138.         
  139.         ;;这里检测的方法很多。具体要看你收集的特征码了。比如注册表。。。。
  140.         ret

  142. other endp
  143. WndProc proc hWin:HWND,uMsg:UINT,wParam:WPARAM,lParam:LPARAM

  145.         mov                eax,uMsg
  146.         .if eax==WM_INITDIALOG
  147.                 push        hWin
  148.                 pop                hWnd
  149.         .elseif eax==WM_COMMAND
  150.                 mov                eax,wParam
  151.                 and                eax,0FFFFh
  152.                 .if eax==IDM_FILE_EXIT
  153.                         invoke SendMessage,hWin,WM_CLOSE,0,0
  154.                 .elseif eax==IDM_HELP_ABOUT
  155.                         invoke ShellAbout,hWin,addr AppName,addr AboutMsg,NULL
  156.                
  157.                         
  158.                 .elseif eax==1002
  159.                         ;;idt&gdt检测
  160.                         call ldt_gdt
  161.                         .if        eax==1
  162.                                 invoke MessageBox,NULL,offset g_msg_suc,NULL,0
  163.                         .elseif
  164.                                 invoke MessageBox,NULL,offset g_msg_fal,NULL,0
  165.                         .endif
  166.                         
  167.                         
  168.                 .elseif eax==1003
  169.                         ;;str检测
  170.                         call str_test
  171.                         .if        eax==1
  172.                                 invoke MessageBox,NULL,offset g_msg_suc,NULL,0
  173.                         .elseif
  174.                                 invoke MessageBox,NULL,offset g_msg_fal,NULL,0
  175.                         .endif
  176.                 .elseif eax==1004
  177.                         ;;时间差检测
  178.                         call time
  179.                         .if        eax==1
  180.                                 invoke MessageBox,NULL,offset g_msg_suc,NULL,0
  181.                         .elseif
  182.                                 invoke MessageBox,NULL,offset g_msg_fal,NULL,0
  183.                         .endif
  184.                 .elseif eax==1005
  185.                         ;;特征检测
  186.                         invoke MessageBox,NULL,offset g_title,NULL,0
  187.                 .elseif eax == 1006
  188.                         call redpill
  189.                         .if        eax==1
  190.                                 invoke MessageBox,NULL,offset g_msg_suc,NULL,0
  191.                         .elseif
  192.                                 invoke MessageBox,NULL,offset g_msg_fal,NULL,0
  193.                         .endif
  194.                         
  195.                 .endif
  196. ;        .elseif eax==WM_SIZE
  197.         .elseif eax==WM_CLOSE
  198.                 invoke DestroyWindow,hWin
  199.         .elseif uMsg==WM_DESTROY
  200.                 invoke PostQuitMessage,NULL
  201.         .else
  202.                 invoke DefWindowProc,hWin,uMsg,wParam,lParam
  203.                 ret
  204.         .endif
  205.         xor    eax,eax
  206.         ret

  208. WndProc endp

  210. end start
复制代码
Do my best.
回复

举报

乔丹二世

280

主题

203

回帖

0

精华

版主

积分
1808
发表于 2012-4-25 09:37:44 | 显示全部楼层
这种宏汇编代码,看着真别扭。
回复

举报

DevilLiao

1

主题

60

回帖

0

精华

铜牌会员

积分
122
发表于 2013-1-11 00:46:54 | 显示全部楼层
时间差检测。。。
回复

举报

upring

30

主题

693

回帖

0

精华

钻石会员

积分
2815
发表于 2015-4-27 10:32:24 | 显示全部楼层
看的眼花缭乱*_*!
回复

举报

550832467

0

主题

26

回帖

0

精华

贵宾会员

积分
534
发表于 2017-3-20 09:46:27 | 显示全部楼层
学习····················
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表