以恶意软件的方式检测虚拟机和恶意软件分析环境

作者:Sec-Labs | 发布时间:

项目地址

https://github.com/void-stack/Hypervisor-Detection

小编记录

该项目的用途是帮助安全专业人员检测恶意软件是否正在运行在虚拟机中,以及分析环境是否存在漏洞或被攻击。同时,该项目也可以帮助企业检测员工是否在使用虚拟机或可疑的分析环境来执行潜在的不良行为。

项目介绍

该项目旨在检测运行在虚拟机中的恶意软件和分析环境。该项目支持x86和x64架构,并实现了以下四种检测技术:

  • 通过CPUID与FYL2XP1进行性能分析(最可靠的技术)
  • 检查最高低功能叶子
  • 检查无效的叶子
  • 检测已知的虚拟机供应商(KVM,HyperV,VMware,Xen,Parallels,VirtualBox)

VMware

 

ad1a1b7183152137

 

HyperV

 

ad1a1b7183152148

 

Anyrun

 

ad1a1b7183152200

 

Clean

 

ad1a1b7183152210

 

 

标签:工具分享, 主机安全