¿Existen técnicas de detección de vm (de malware) que sean imposibles de mitigar en tu vm?
Si es así, ¿cuál?
¿Existen técnicas de detección de vm (de malware) que sean imposibles de mitigar en tu vm?
Si es así, ¿cuál?
Mirar las tablas de firmware del sistema es una buena forma de saberlo, ya que la máquina virtual no usará un BIOS normal. En Windows puede usar EnumSystemFirmware Tables para leerlos . Puede crear una VM que intente ocultar esto, pero es un proceso molesto de configurar y, en general, es muy difícil falsificar las tablas de firmware de un sistema real de manera convincente, ya que una de las tablas es el blob de firmware BIOS / UEFI.
Los contenidos de MSR y el registro de registro de PCH también son bastante difíciles de falsificar, pero eso requiere mucho conocimiento y esfuerzo específico de la plataforma para implementar las comprobaciones.
Al-Khaser es un marco de prueba que incluye muchos trucos de identificación de máquinas virtuales, y es una buena referencia para este tipo de cosa.
En los sistemas Linux, puede verificar el valor de / proc / cpuinfo y buscar la palabra "hipervisor" en la sección de bandera. Mira estos dos ejemplos
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx pdpe1gb rdtscp lm constant_tsc art arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf eagerfpu pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 sdbg fma cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm abm 3dnowprefetch epb invpcid_single intel_pt kaiser tpr_shadow vnmi flexpriority ept vpid fsgsbase tsc_adjust bmi1 hle avx2 smep bmi2 erms invpcid rtm mpx rdseed adx smap clflushopt xsaveopt xsavec xgetbv1 dtherm ida arat pln pts hwp hwp_notify hwp_act_window hwp_epp
Y en una VM usando vmware
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts mmx fxsr sse sse2 ss ht syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts xtopology tsc_reliable nonstop_tsc aperfmperf unfair_spinlock pni pclmulqdq ssse3 cx16 sse4_1 sse4_2 popcnt aes xsave avx hypervisor lahf_lm ida arat xsaveopt pln pts dts
Lea otras preguntas en las etiquetas detection antimalware virtualhost