vmware에서 가상머신을 사용하게 된다고 가정해보자.
1. 속도 등의 이유로 모든 게스트 운영체제의 명령어를 가상화를 하지는 않고 직접 cpu에서 실행을 하는 명령어들이 몇몇 있는데(ex : idtsc 등) 이러한 명령어의 실행결과에 따라 조건분기를 하게 된다.
2. 특정 IO 통신 포트를 질의함으로서 확인을 할 수 있다.
3. 레지스트리 키나 서비스 등을 확인함으로서 가상머신에서의 실행을 방해할 수 있다.
'악성코드 분석' 카테고리의 다른 글
| kimsuky 분석 1 - 드롭퍼 (0) | 2020.04.28 |
|---|---|
| 64 bit 악성코드 (0) | 2020.04.07 |
| 안티 디버깅 기법 (0) | 2020.03.06 |
| 안티 디스어셈블리 (0) | 2020.03.04 |
| 네트워크 시그니쳐 생성 (0) | 2020.03.01 |