Anti-VM bypass | Anti-VM 우회

악성코드 중에서 디스크 디바이스를 검색해서 VMWARE, VBOX, VIRTUAL이라는 문자열이 들어가면 가상머신인것을 탐지하여 실행되지 않게하는 악성코드가 있으므로..

 

우회 해주려면 다음 스크립트를 사용하면 된다. vmx 수정해서 vmware tools 못쓰는것보단 낫다.

 

참고로.. 대부분의 악성코드가 레지스트리 검사해서 3가지 문자열을 검사하므로 치환해주면 된다.

 

import os
import sys
#VMware Disk name = SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S&Rev_1.0\4&5fcaafc&0&000
VirtualDisks = ['VMware', 'VBox', 'Virtual']
if sys.platform == 'win32':
    import _winreg
    key = _winreg.HKEY_LOCAL_MACHINE
    subkey = 'SYSTEM\\ControlSet001\\Services\\Disk\\Enum'
    registry = _winreg.CreateKey(key, subkey)


    t = _winreg.OpenKey(key, subkey, _winreg.KEY_ALL_ACCESS)
    print '[+] Connecting registry key : "HKLM\\' + subkey + '\\"'
    
    count = 0
    findValue = 0
    try:
        while 1:
            name, value, type = _winreg.EnumValue(t, count)
            for i in range(0, len(VirtualDisks)):
                if str(value).find(VirtualDisks[i]) != -1:
                    findValue = 1
                    print '[+] Founded Virtual Disk strings. [' + VirtualDisks[i] + ']'
                    answer = raw_input('>> Do you want bypass Anti-VM? (y or n) ')
                    if answer.lower() == 'y' or answer.lower() == 'yes':
                        _winreg.SetValueEx( registry, name, 0, _winreg.REG_SZ, value.replace('V', '@'))
                        print '[+] Successfully Modified.'
                        print '    replaced name : ' + value.replace('V', '@')
                    else:
                        print '[-] registry not modified.'
                        print '    Disk name : ' + value
                    break
            count+=1
    except:pass
    if findValue is 0:
        print '[-] 404 Not Found about virtual disk strings.'

 

>> 실행 결과

 

 

Anti-VM 되어 있는 악성코드 실행 결과 바로 죽어버리는 현상 (우회 전)

 

Anti-VM 되어 있는 악성코드 실행 결과 악성 행위를 정상적으로 실행 (우회 후)