[Перевод] Как я убедил виртуальную машину, что у неё есть кулер
Зачем вообще этим заморачиваться?
Некоторые образцы malware выполняют различные проверки, чтобы определить, запущены ли они в виртуальной машине. Один из самых частых способов — проверка наличия определённых аппаратных компонентов, обычно не эмулируемых в виртуальных средах. Один из таких компонентов — кулер процессора. Например, malware может проверять наличие кулера процессора, поискав в WMI класс Win32_Fan:
wmic path Win32_Fan get *
Они делают это, чтобы не запускаться в виртуальных машинах, усложнив таким образом процесс анализа для исследователей безопасности.
Зловредное ПО может определять, запущено ли оно в виртуальной машине, множеством разных способов. Есть различные классы WMI, позволяющие обнаружит присутствие виртуальной машины, например, Win32_CacheMemory, Win32_VoltageProbe и множество других.
В этом посте я расскажу о кулере процессора. Мне просто понравилась идея убедить виртуальную машину, что он у неё есть. Однако такой же подход можно применить к другим аппаратным компонентам и классам WMI.
Читать далееИсточник: Хабрахабр
Похожие новости
- Крауд, социальные и сабмиты: сколько Web 2.0 ссылок нужно для продвижения сайта в топ выдачи и где их взять
- Работа с блогерами 2025: что ждет рынок после ввода новых ограничений
- Используем RFM-анализ для повышения конверсии: пошаговое руководство
- DOT на лидирующих позициях в Рейтинге Рунета 2025
- Как найти клиентов и генерить лиды. Инструкция для агентств, продакшенов и фрилансеров
- Студия Лаба: Секунда в секунду: наладили мгновенный обмен данными между 1С, Битрикс24 и базой клиентов в 70 магазинах по всей России
- HackTheBox Labs (Starting Point) — Dancing
- Комплексная защита веб-приложений: обзор взаимодействия разных типов ИБ-решений
- Что делать с раскрытыми паролями
- Джейлбрейкаем чатботы: ChatGPT без фильтров