Keyboard layout (Win32/Banload) (todo)

• Genuine Windows installation.
• Known Sandbox hostnames and usernames.

Anti-Virtualization / Full-System Emulation

• Registry key value artifacts:

  • HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0 (Identifier) (VBOX).
  • HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0 (Identifier) (QEMU).
  • HARDWARE\Description\System (SystemBiosVersion) (VBOX).
  • HARDWARE\Description\System (SystemBiosVersion) (QEMU).
  • HARDWARE\Description\System (VideoBiosVersion) (VIRTUALBOX).
  • HARDWARE\Description\System (SystemBiosDate) (06/23/99).
  • HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0 (Identifier) (VMWARE).
  • HARDWARE\DEVICEMAP\Scsi\Scsi Port 1\Scsi Bus 0\Target Id 0\Logical Unit Id 0 (Identifier) (VMWARE).
  • HARDWARE\DEVICEMAP\Scsi\Scsi Port 2\Scsi Bus 0\Target Id 0\Logical Unit Id 0 (Identifier) (VMWARE).
  • SYSTEM\ControlSet001\Control\SystemInformation (SystemManufacturer) (VMWARE).
  • SYSTEM\ControlSet001\Control\SystemInformation (SystemProductName) (VMWARE).

• Registry Keys artifacts:

  • HARDWARE\ACPI\DSDT\VBOX__ (VBOX).
  • HARDWARE\ACPI\FADT\VBOX__ (VBOX).
  • HARDWARE\ACPI\RSDT\VBOX__ (VBOX).
  • SOFTWARE\Oracle\VirtualBox Guest Additions (VBOX).
  • SYSTEM\ControlSet001\Services\VBoxGuest (VBOX).
  • SYSTEM\ControlSet001\Services\VBoxMouse (VBOX).
  • SYSTEM\ControlSet001\Services\VBoxService (VBOX).
  • SYSTEM\ControlSet001\Services\VBoxSF (VBOX).
  • SYSTEM\ControlSet001\Services\VBoxVideo (VBOX).
  • SOFTWARE\VMware, Inc.\VMware Tools (VMWARE).
  • SOFTWARE\Wine (WINE).
  • SOFTWARE\Microsoft\Virtual Machine\Guest\Parameters (HYPER-V).
  • SYSTEM\CurrentControlSet\Services\Disk\Enum.
  • SYSTEM\CurrentControlSet\Enum\IDE.
  • SYSTEM\CurrentControlSet\Enum\SCSI.

• File system artifacts:

  • «system32\drivers\VBoxMouse.sys».
  • «system32\drivers\VBoxGuest.sys».
  • «system32\drivers\VBoxSF.sys».
  • «system32\drivers\VBoxVideo.sys».
  • «system32\vboxdisp.dll».
  • «system32\vboxhook.dll».
  • «system32\vboxmrxnp.dll».
  • «system32\vboxogl.dll».
  • «system32\vboxoglarrayspu.dll».
  • «system32\vboxoglcrutil.dll».
  • «system32\vboxoglerrorspu.dll».
  • «system32\vboxoglfeedbackspu.dll».
  • «system32\vboxoglpackspu.dll».
  • «system32\vboxoglpassthroughspu.dll».
  • «system32\vboxservice.exe».
  • «system32\vboxtray.exe».
  • «system32\VBoxControl.exe».
  • «system32\drivers\vmmouse.sys».
  • «system32\drivers\vmhgfs.sys».
  • «system32\drivers\vm3dmp.sys».
  • «system32\drivers\vmci.sys».
  • «system32\drivers\vmhgfs.sys».
  • «system32\drivers\vmmemctl.sys».
  • «system32\drivers\vmmouse.sys».
  • «system32\drivers\vmrawdsk.sys».
  • «system32\drivers\vmusbmouse.sys».

• Directories artifacts:

  • "%PROGRAMFILES%\oracle\virtualbox guest additions".
  • "%PROGRAMFILES%\VMWare".

• Memory artifacts:

  • Interupt Descriptor Table (IDT) location.
  • Local Descriptor Table (LDT) location.
  • Global Descriptor Table (GDT) location.
  • Task state segment trick with STR.

• MAC Address:

  • "\x08\x00\x27" (VBOX).
  • "\x00\x05\x69" (VMWARE).
  • "\x00\x0C\x29" (VMWARE).
  • "\x00\x1C\x14" (VMWARE).
  • "\x00\x50\x56" (VMWARE).
  • "\x00\x1C\x42" (Parallels).
  • "\x00\x16\x3E" (Xen).
  • "\x0A\x00\x27" (Hybrid Analysis).

• Virtual devices:

  • "\\.\VBoxMiniRdrDN".
  • "\\.\VBoxGuest".
  • "\\.\pipe\VBoxMiniRdDN".
  • "\\.\VBoxTrayIPC".
  • "\\.\HGFS".
  • "\\.\vmci".

• Hardware Device information:

  • SetupAPI SetupDiEnumDeviceInfo (GUID_DEVCLASS_DISKDRIVE): QEMU, VMWare, VBOX, VIRTUAL HD.
  • Power policies (S1-S4 states, thermal control).

• System Firmware Tables:

  • SMBIOS string checks (VirtualBox).
  • SMBIOS string checks (VMWare).
  • SMBIOS string checks (Qemu).
  • SMBIOS number of tables (Qemu, VirtualBox).
  • ACPI string checks (VirtualBox).
  • ACPI string checks (VMWare).
  • ACPI string checks (Qemu). Сервисы
  • VirtualBox
  • VMWare

Adapter name

• VMWare

Windows Class

• VBoxTrayToolWndClass
• VBoxTrayToolWnd

Сетевые ресурсы

• Shared Folders VirtualBox

Процессы

• vboxservice.exe (VBOX)
• vboxtray.exe (VBOX)
• vmtoolsd.exe(VMWARE)
• vmwaretray.exe(VMWARE)
• vmwareuser(VMWARE)
• VGAuthService.exe (VMWARE)
• vmacthlp.exe (VMWARE)
• vmsrvc.exe(VirtualPC)
• vmusrvc.exe(VirtualPC)
• prl_cc.exe(Parallels)
• prl_tools.exe(Parallels)
• xenservice.exe(Citrix Xen)
• qemu-ga.exe (QEMU)

WMI

• SELECT * FROM Win32_Bios (SerialNumber) (GENERIC)
• SELECT * FROM Win32_PnPEntity (DeviceId) (VBOX)
• SELECT * FROM Win32_NetworkAdapterConfiguration (MACAddress) (VBOX)
• SELECT * FROM Win32_NTEventlogFile (VBOX)
• SELECT * FROM Win32_Processor (NumberOfCores and ProcessorId) (GENERIC)
• SELECT * FROM Win32_LogicalDisk (Size) (GENERIC)
• SELECT * FROM Win32_ComputerSystem (Model and Manufacturer) (GENERIC)
• SELECT * FROM MSAcpi_ThermalZoneTemperature CurrentTemperature) (GENERIC)
• SELECT * FROM Win32_Fan (GENERIC)

DLL Exports и загруженные DLLs

• avghookx.dll (AVG)
• avghooka.dll (AVG)
• snxhk.dll (Avast)
• kernel32.dll!wine_get_unix_file_nameWine (Wine)
• sbiedll.dll (Sandboxie)
• dbghelp.dll (MS debugging support routines)
• api_log.dll (iDefense Labs)
• dir_watch.dll (iDefense Labs)
• pstorec.dll (SunBelt Sandbox)
• vmcheck.dll (Virtual PC)
• wpespy.dll (WPE Pro)
• cmdvrt32.dll (Comodo Container)
• cmdvrt64.dll (Comodo Container)

CPU

• Hypervisor presence using (EAX=0x1)
• Hypervisor vendor using (EAX=0x40000000)
  • "KVMKVMKVM\0\0\0" (KVM)
    • "Microsoft Hv"(Microsoft Hyper-V or Windows Virtual PC)
    • "VMwareVMware"(VMware)
    • "XenVMMXenVMM"(Xen)
    • "prl hyperv "( Parallels) -"VBoxVBoxVBox"( VirtualBox)

NtQueryLicenseValue с Kernel-VMDetection-Private как значение лицензии.

Антианализ

Процессы

• OllyDBG / ImmunityDebugger / WinDbg / IDA Pro / X64dbg / Cheat Engine
• SysInternals Suite Tools (Process Explorer / Process Monitor / Regmon / Filemon, TCPView, Autoruns)
• Wireshark / Dumpcap / Fiddler / Http Debugger
• ProcessHacker / SysAnalyzer / HookExplorer / SysInspector
• ImportREC / PETools / LordPE
• JoeBox Sandbox
• Resource Hacker
• Frida

Антидизассемблирование

• Переход с постоянным условием
• Инструкция перехода с той же целью
• Невозможный дизассемблинг
• Указатели на функции
• Злоупотребление указателем возврата

Макроатаки вредоносного ПО

• Document_Close / Auto_Close.
• Application.RecentFiles.Count

Техники внедрения кода/DLL

• CreateRemoteThread
• SetWindowsHooksEx
• NtCreateThreadEx
• RtlCreateUserThread
• APC (QueueUserAPC / NtQueueApcThread)
• RunPE (GetThreadContext / SetThreadContext)

Авторы

• Mattiwatti: Matthijs Lavrijsen
• gsuberland: Graham Sutherland
• hFireF0x: hfiref0x

Pull requests welcome. Пожалуйста, ознакомьтесь с Руководством для разработчиков на нашей вики, если вы хотите внести свой вклад в проект.

Ссылки

• Руководство по антиреверсу от Джоша Джексона.
• Трюки с антираспаковкой Питера Ферри.
• Искусство распаковки Марка Винсента Ясона.
• Блог Валида Ассара http://waleedassar.blogspot.de/.
• Инструмент Pafish: https://github.com/a0rtega/pafish.
• PafishMacro от JoeSecurity: https://github.com/joesecurity/pafishmacro