Un script de PowerShell que intenta ayudar a los analistas de malware a ocultar sus máquinas virtuales VMware Windows del malware que puede intentar evadir el análisis. Garantizado para reducir su puntuación pafish en al menos unos pocos puntos.
El script hace esto haciendo lo siguiente:
- Se cambiaron el nombre de varias claves de registro comúnmente utilizadas por el malware para la detección de máquinas virtuales.
- Mata el proceso de VMware.
- Elimine los archivos del controlador VMware (¡esto no bloqueará su máquina virtual ya que los controladores se cargarán en la memoria de todos modos!).
- Elimine o cambie el nombre de los archivos de soporte de VMware.
Nota: esto guion ¡No se cubrirán todas las técnicas de detección de VM! Hay muchas formas de detectar máquinas virtuales, muchas de las cuales no se pueden solucionar con un simple script de Powershell. Por ejemplo, no se tratan técnicas como RDTSC y detección de tiempo, ni tampoco la detección de CPUID.
Probado en Windows 7 y Windows 10; también puede funcionar en Windows XP.
¿Encontraste algún error? ¡hágamelo saber!
uso
Para que este script funcione correctamente, debes ejecutarlo con privilegios del sistema. ¡Los derechos de administrador normalmente no son suficientes!
Aquí se explica cómo hacerlo (usando Process Hacker):
- Inicie el carácter de solicitud de PowerShell (powershell.exe).
- Habilite la piratería de procesos.
- Haga clic derecho en el proceso PowerShell.exe y seleccione «Más->Ejecutar como».
- En la lista desplegable Nombre de usuario, seleccione Sistema.
Esto generará un shell del sistema. Ahora ejecute el script normalmente:
- Ejecute el script (consulte el ejemplo de uso a continuación)
- Detona tu malware. ganancia.
- Una vez completado, reinicie la máquina virtual a un estado limpio.
Ejemplos de uso:
Cambie los inicios de sesión, elimine archivos de VMware y finalice los procesos de VMware:
- «VMwareCloak.ps1 -todos»
Simplemente haga una modificación del registro:
- «VMwareCloak.ps1-reg»
Simplemente elimine el archivo de VMware:
- «VMwareCloak.ps1 – Archivo»
Simplemente elimine el proceso de VMware:
- «VMwareCloak.ps1 -proceso»