近期,CrowdStrike研究人员对GuLoader的木马演进进行了分析，Guloader是一个以文件下载为主要功能的恶意软件，常使用多态shellcode规避安全检测等，技术迭代快。该恶意软件在演进过程中实现了较罕见的反虚拟机技术，本文将对该技术进行剖析。

亮点：匹配进程内存中虚拟机信息对抗分析

在以往的反虚拟机技术中，可见的虚拟机检测技术包括但不限于: 检测虚拟机特有的MAC地址、用户名、特定程序是否存在等,是较为通用的静态特征。

而GuLoader在攻击演进中采取了一种不一样的对抗虚拟机分析的技术，在内存中检测虚拟机信息的方式进行反虚拟机:

1. 利用NtQueryVirtualMemory函数对当前进程内存进行遍历，获取到页面信息

2. 在页面信息中寻找经过DJB2哈希计算后的字符串的值，进行对比匹配。如字符串:VMSwitchUserControlClass VM3DService VMDisplayChangeControlClass vmtoolsdControlWndClass

3. 如果匹配成功，则表示检测到虚拟机环境并退出

其伪代码如下：

do    {        MemBufferSize += 0x1000;  #         status = ntd11::NtoueryVirtualMemory(        oxffffffff，    # 获取当前进程        NULL，                  ntd11::MemoryBasicInformation ,        MemoryInformation,  # 获取有关进程虚拟地址空间中页面范围的信息        MemBufferSize,        NULL);        Memory_Scan Base address = MemoryInformation[1]
        For i in Memory_Scan Base address # 循环遍历字符串
        If( i is string)            djb2= DJB2value() # 进行DJB2 hash计算            if(djb2 == VM related strings[]) # 与虚拟机特定字符串hash匹配                exit()      # 匹配成功则退出    }while (status == STATUS INFO LENGTH MISMATCH);

由此可见，该方法具有一定的可行性。

与常见方式相比，该方法有如下优点:

1.这是一种通用特征，场景覆盖度较广，具有普遍性

2.相较于虚拟机中的静态特征（如MAC地址 用户名之类），在内存中的特征不容易去除和篡改，相对稳定