平板模式-AOC商用丨全面升级！智能会议平板新品重磅来袭，颠覆传统会议模式！

开会时做会前准备太繁琐，浪费时间？投影显示亮度低，看不清？设备连接接口不匹配，或接口线太短？会后整理会议记录，效率低？多人异地沟通不通畅，太麻烦？企业会议中往往会遇到多种“会议难题”，基于此，AOC于传统智能会议平板基础上进行全面升级，以全新会议解决方案赋能企业发展，提高会议效率！

双模式智能书写：灵活批注，同屏书写

AOC全新升级的智能会议平板专注于会议的高效与表达平板模式，其智能书写白板分为标准模式与经典模式，可实现粗细笔自动识别，更支持多个书写点，由多人进行同屏内容书写，而且还拥有点擦、圈擦、清屏等多种擦除方式，使内容擦除更具灵活性。

双系统兼容运转：适用多种会议场景

自带安卓8.0系统，支持安卓及Windows双系统运转，其中安卓系统环境下可预置小鱼会议系统平板模式，登录会议账号即能一键快速进入视频会议，另搭载选配的OPS模块即可运行Windows系统，连接相关系统设备时可快速进行操作。此外智能会议平板兼容多种第三方远程会议软件的安装和应用，使异地轻松交流，拉近伙伴距离。

双4K显示：呈现高清画面

不同于模糊不清的传统投影，全新升级的AOC智能会议平板不仅内置4KUI界面，实现多功能高清显示，更可提供像素点距更精细，画面更艳丽逼真的4K高清分辨率画质。3/4mm防眩光钢化玻璃避免因反射而出现部分角度观看反光、模糊不清等情况，让所有参与人员能够洞察画面细节。

全新升级的智能会议平板所打造的会议解决方案高效、便捷、易操作，充分解决了异地沟通不畅、会前准备、会后整理工作繁琐等问题，全方位革新会议；敏捷、灵动的触控书写方案，还能激发设计人群的艺术灵感。AOC智能会议平板，将为各行业带来全新的会议体验，赋能企业发展！

目前全新升级的智能会议平板已于AOC各大线下门店热销中，欲购从速！

长按上方二维码加入我们

———END———
限 时 特 惠： 本站每日持续更新海量各大内部创业教程，一年会员只需98元，全站资源免费下载 点击网站首页每天更新
站 长 微 信： aiwo51889

本文为看雪论坛优秀文章

看雪论坛作者ID：SpyGOD

引子

相比反调试技术，反虚拟机技术相对而言简单些，本来想写反调试的，但是发现坛子反调试技术精华一大堆。逆向工程师遇到最多的应该是反调试技术，可能只有反病毒工程师会遇到反虚拟机技术。

反虚拟机技术没有固定的方法，就像做饭一样，蒸着吃炸着吃烤着吃，怎么吃都能吃，怎么吃都好吃，没法总结，也不可能总结全面。虚拟机检测是一门艺术，没有固定的章法。这里只列举一些最常见的希望各路大佬多多补充。

在进程列表中查找VMware字符串

安装了VMware Tools之后进程列表中会多出来三个进程：

VMwareService.exe VMwareTray.exe VMwareUser.exe

BOOL IsVMWarePre(){     PROCESSENTRY32 pe32;    pe32.dwSize = sizeof(pe32);    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);    if(hProcessSnap == INVALID_HANDLE_VALUE)    {        return FALSE;    }    BOOL bMore = Process32First(hProcessSnap, &pe32);    while(bMore)    {        if (strcmp(pe32.szExeFile, "VMwareService.exe")==0 || strcmp(pe32.szExeFile, "VMwareTray.exe")==0 || strcmp(pe32.szExeFile, "VMwareUser.exe")==0 )        {            return TRUE;        }        bMore = Process32Next(hProcessSnap, &pe32);    }    CloseHandle(hProcessSnap);    return FALSE;}

在虚拟机注册表中搜索VMware字符串

注册表项包括虚拟机硬盘驱动器，适配器和虚拟鼠标：

[HKEY_LOCAL_MACHINE_HARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Target Id 0Logical Unit Id 0]"Identifier"="VMware Virtual IDE Hard Drive""Type"="DiskPeripheral" [HKEY_LOCAL_MACHINE_HARDWARESOFTWAREMicrosoftWindowsCurrentVersionReinstall000]"DeviceDesc"="VMware Accelerated AMD PCNet Adapter""DisplayName"="VMware Acceleeated AMD PCNet Adapter""Mfg"="VMware,Inc.""ProviderName"="VMware,Inc." [HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96F-E325-11CE-BFC1-08002BE10318}000]"LocationInformationOverride"="plugged into PS/2 mouse port""InfPath"="oem13.inf""InfSection"="VMMouse""ProviderName"="VMware,Inc."

根据MAC地址

通常，MAC地址的前三个字节标识一个提供商，VMware对应的MAC地址开头为00:0C:29

string mac;if (mac=="00-0c-29"){    return TRUE;}else    return FALSE;

查找漏洞指令

虚拟机监视器VMM（Virtual Machine Monitor）是一个运行在宿主机系统，用来监视虚拟机状态的监视器。VMM为客户及操作系统提供一个完整的虚拟平台。但是VMM也存在一些可以被恶意代码探测到虚拟化的安全缺陷。

内核模式下，VMWare使用二进制翻译技术进行模拟指令的操作，运行于内核态的某些特权指令被解释和模拟，也就是说他们不再物理处理器上运行。相反，在用户模式下，代码直接在处理器运行虚拟机怎么卸载，几乎和所有硬件交互的指令，要么是特权之灵，要么就是会产生内核态陷阱指令或者是终端指令，vmware截获终端并处理他们，一遍虚拟机仍然认为我是一个真实的主机。

但是在x86架构上，一些指令在获取硬件信息的时候并不产生异常，比如说sldt、cpuid等。VMware为了正确模拟这些指令，就需要在所有指令上进行二进制翻译，这些指令包括但不限于特权指令。

这么干的话由于进行了二进制翻译，所以会造成很大的性能损失。VMware的开发人员显然考虑到了这点，所以允许一些特定指令在没有正确虚拟化的前提下运行，这样的话会造成某些特定的指令在VMWare虚拟机会返回和物理机不一样的结果。

处理器使用某些关键的数据结构和表会被加载与真实系统不同的偏移量，也就是全虚拟化的一个副作用。中断描述表IDT是CPU里面的一个用来确保正确响应终端和异常的数据结构。

在x86架构下，所有的内存获取要么是通过全局描述表GDT获得，要么就是通过本地描述表LDT获得。这些表中包含段描述符提供每一个端的详细储存信息，比如说段基址类型、长度以及权限等等。

其实CPU内部有用来存放IDT、GDT和LDT表的基址和大小的寄存器，也就是IDTR、GDTR和LDTR。这里需要提醒一点，操作系统不需要使用这些表，比如说Windows的平面内存模型就是默认使用GDT不适用LDT。

sidt、sgdt和sldt指令可以读取这些表的位置，并且将相应寄存器存入对应的内存地址。虽然说这些指令通常情况下是操作系统使用的，但是x86架构下这三个指令其实不是特权指令，换句话说就是，可以在用户态内存执行。

在x86架构下，IDTRGDTRLDTR的值必须对宿主机操作系统有效，同时，他们偏离了虚拟机操作系统的预期值，原因是sidt、sgdt和sldt可以随时被用户态的代码使用，而且不会产生陷阱，这样的话VMWare就不会正确虚拟化这些指令。

Red Pill和No Pill反虚拟机技术

Red Pill通过运行sidt指令获取IDTR寄存器的值。虚拟机监视器必须重新定位Guest系统的IDTR，来避免与Host系统的IDTR冲突。因为在虚拟机中运行sidt指令时，虚拟机监视器不会得到通知，所以会返回虚拟机的IDTR。

Red Pill通过测试这种差异来探测VMWare的使用。这种方法存在一个缺陷，由于IDT的值只针对处于正在运行的处理器而言，在单CPU中它是个常量，但当它处于多CPU时就可能会受到影响了，因为每个CPU都有其自己的IDT，这样问题就自然而然的产生了。

针对此问题，有一种方法就是利用Red Pill反复地在系统上循环执行任务，以此构造出一张当前系统的IDT值变化统计图，但这会增加CPU负担；另一种方法就是windows API函数SetThreadAffinityMask()将线程限制在单处理器上执行，当执行此测试时只能准确地将线程执行环境限制在本地处理器，而对于将线程限制在VM处理器上就可能行不通了，因为VM是计划在各处理器上运行的，VM线程在不同的处理器上执行时，IDT值将会发生变化，因此此方法也很少被使用。

需要注意的是Red Pill只在但处理器的主机上才能够有效，针对多核心和多处理器可能会出现是小的情况，因为每一个处理器都会有一个对应的IDT，所以sidt指令结果可能不唯一。

用sgdt和sldt指令去探测VMWare环境的技术叫做No Pill，No Pill实现的原理是：LDT数据结构由处理器分配而不是操作系统分配。正常情况下，Windows操作系统里面不会使用LDT数据结构，但是VMware却提供了LDT的虚拟化支持，在VMWare里面，LDT还和一般的LDT不太一样：宿主机系统中LDT位置的值是0，但是在虚拟机中不是0。

BOOL IsVMWarePre(){    ULONG xdt = 0 ;    ULONG InVM = 0;    __asm    {        push edx        sidt [esp-2]        pop edx        nop        mov xdt , edx    }    if (xdt > 0xd0000000)    {         InVM = 1;    }    else    {        InVM = 0;    }    __asm    {        push edx        sgdt [esp-2]        pop edx        nop        mov xdt , edx    }    if (xdt > 0xd0000000)    {        InVM += 1;    }    if (InVM == 0)    {        return FALSE;    }    else    {        return TRUE;    }

查询I/O通信端口

VMware使用虚拟化I/O端口完成宿主机和虚拟机之间的通信，比如剪切板功能。这个技术的关键在于x86指令集中的in指令，in指令是从一个源操作数指定的端口复制数据到目的操作数指定的内存地址中。

在VMware环境下，虚拟化程序会监视in指令的执行并不或目的通信通道端口为0x5668的I/O操作。VMWare同事会检查第二个而操作数是不是0x5668(VX)，如果恰好第二个操作数是VX的话，EAX寄存机载入的值是0x564D5868(VMXh)，ECX寄存器中必须被载入对应端口上执行性相应操作的值。0xA表示”get VMWare Version type”；0x14表示“get memory size”。这两个值可以用来探测VMware环境。

bool IsVMWarePre(){  bool rc = true;   __try  {    __asm    {      push   edx      push   ecx      push   ebx      mov    eax, 'VMXh'      mov    ebx, 0  // 将ebx设置为非幻数’VMXH’的其它值      mov    ecx, 10 // 指定功能号，用于获取VMWare版本，当它为0x14时用于获取VMware内存大小      mov    edx, 'VX' // 端口号      in     eax, dx // 从端口dx读取VMware版本到eax，若上面指定功能号为0x14时，可通过判断eax中的值是否大于0，若是则说明处于虚拟机中      cmp    ebx, 'VMXh' // 判断ebx中是否包含VMware版本’VMXh’，若是则在虚拟机中      setz   [rc] // 设置返回值      pop    ebx      pop    ecx      pop    edx    }  }  __except(EXCEPTION_EXECUTE_HANDLER)  //如果未处于VMware中，则触发此异常  {    rc = false;  }   return rc;}

对于这种方法的话虚拟机怎么卸载，我们可用NOP去替换in指令，或者修补条件跳转，这样的话不论比较结果如何都执行到位探测到虚拟机的程序分支。

根据安装目录

VMware的安装目录C:Program FilesVMwareVMware Tools也会留下恨及：

BOOL IsVMwarePre(){    if (PathIsDirectory("C:\Program Files\VMware\VMware Tools\") == 0)    {        return FALSE;    }    else        return TRUE;

反虚拟机技术如何绕过

修改二进制代码绕过检测，在反汇编或调试的过程中修补二进制代码。

在IDA中高亮显示反虚拟机代码。

在IDA中可以用如下脚本查找前面提到的指令：

from idautils import *from idc import * heads = Heads(SegStart(ScreenEA()), SegEnd(ScreenEA()))antiVM = [for i in heads:    if (GetMnem(i) == "sidt" or GetMnem(i) == "sgdt" or GetMnem(i) == "sldt" or GetMnem(i) == "smsw" or GetMnem(i) == "str" or GetMnem(i) == "in" or GetMnem(i) == "cpuid"):        antiVM.append(i) print "Number of potential Anti-VM instructions: %d" % (len(antiVM)) for i in antiVM:    SetColor(i, CIC_ITEM, 0x0000ff)    Message("Anti-VM: xn" % i)

调整VMware的配置

修改如下配置可用于伪装：

isolation.tools.getPtrLocation.disable = "TRUE"isolation.tools.setPtrLocation.disable = "TRUE"isolation.tools.getVersion.disable = "TRUE"isolation.tools.setVersion.disable = "TRUE"monitor_control.disable_directexec = "TRUE"monitor_control.disable_chksimd = "TRUE"monitor_control.disable_ntreloc = "TRUE"monitor_control.disable_selfmod = "TRUE"monitor_control.disable_reloc = "TRUE"monitor_control.disable_btinout = "TRUE"monitor_control.disable_btmemspace = "TRUE"monitor_control.disable_btpriv = "TRUE"monitor_control.disable_btseg = "TRUE"

除此之外，还建议卸载VMware Tools,禁用共享文件夹。

– End –

看雪ID：SpyGOD

*本文由看雪论坛 SpyGOD 原创，转载请注明来自看雪社区。

#往期推荐

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

———END———
限 时 特 惠： 本站每日持续更新海量各大内部创业教程，一年会员只需98元，全站资源免费下载 点击网站首页每天更新
站 长 微 信： aiwo51889