反虚拟机技术


知识点

恶意代码编写者经常使用反虚拟机技术逃避分析,恶意代码可以使用这种技术探测自己是否运行在虚拟机中。

VMware痕迹:VM虚拟环境在系统中遗留了很对痕迹,特别是在安装Vmtools之后,恶意代码可以通过存在于操作系统文件系统、注册表和进程列表中标记痕迹,探测VM虚拟环境的存在。

安装VMtools的主机上通常会运行三个相关进程:VMwareService.exeVMwareTray.exeVmwareUser.exe。恶意代码在进程列表中中搜索带有VMware字符串的进程,就能找到这些进程。

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×