antiVM ida pro插件-快速识别anti-vm行为
-
基本描述:
ida pro 插件,安装之后快速识别代码中的anti操作。以防万一,使用前可以先保存idb快照。目的是减少分析人员对抗时间。
- 基于Yara-Rules项目,扩充yara规则。
- 使用al-khaser做测试和丰富特征,项目提供编译版本供大家测试。
- 可以通过快捷键 Ctrl + atl + A 执行,也可以在plugins目录下允许。
使用演示:
-
项目地址:
https://github.com/Hipepper/antiVM
-
后续改进:
rules很多是宽泛的,这会导致一点点误报,比如针对进程dll的检测:
rule sandBox_usernames {meta:Author = "jentle"reference = "https://www.sentinelone.com/blog/gootkit-banking-trojan-deep-dive-anti-analysis-features/"strings:$s1="CurrentUser" wide$s2="Sandbox" wide$s3="Emily" wide$s4="HAPUBWS" wide$s5="Hong Lee" wide$s6="IT-ADMIN" wide$s7="milozs" wide$s8="Peter Wilson" wide$s9="timmy" wide$s10="user" wide$s11="sand box" wide$s12="malware" wide$s13="maltest" wide$s14="test user" wide$s15="virus" widecondition:any of them
}后续还需要优化,另外对IOA的规则本地还没有丰富完。比如对CPUID,SIDT检测,基于指令的规则会带来更大的误报,后期还需要添加。
欢迎关注 TIPFactory情报工厂,获取更多对抗技术
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!