2016. 2. 16. 14:38, 유용한 지식 자료들/악성코드 기법
최근에 분석한 악성코드.
VMWARE, VirtualBox, VM HDD Size 확인
1. VMWARE magic number ('VMXh') 체크 (이미지 생략)
2. VirtualBox 체크
- \\\.\\VBoxMiniRdrDn
- VboxHook.dll
3. HDD 용량 체크
GetLogicalDrives로 드라이브를 찾고
GetDiskFreeSpaceExW로 용량 정보를 얻어온다.
특이하게 2부터 7까지 5번 돌면서 G_bytes(위그림의..) 변수에 각 드라이브 용량 합을 20Gbyte와 비교한다.
20G 미만 VM으로 판단
이부분은 처음 봐서 정리함.
tag - e77d2f10a34
'유용한 지식 자료들 > 악성코드 기법' 카테고리의 다른 글
| New Fileless Ransomware with Code Injection Ability Detected in the Wild (0) | 2017.06.26 |
|---|---|
| “Zusy” PowerPoint Malware Spreads Without Needing Macros (0) | 2017.06.26 |
| 320악성코드의 변종(?) - Thread Context 관련 (0) | 2014.07.31 |
| 스크린캡쳐 (0) | 2013.08.05 |
| 후킹(자가보호) 해제 (0) | 2012.12.27 |
Comments, Trackbacks
