>>> Врезка: детектирование VMWare
Автору известны по меньшей мере три способа обнаружения VM-Ware. Во-первых, по оборудованию: виртуальные машины несут на своем борту довольно специфический набор железа, практически не встречающийся в живой природе. Это:
q видеокарта VMware Inc [VMware SVGA II] PCI Display Adapter;
q сетевая карта: Advanced Micro Devices [AMD] 79c970 [PCnet 32 LANCE] (rev 10);
q жесткие диски: VMware Virtual IDE Hard Drive и VMware SCSI Controller.
Опросив конфигурацию оборудования, защищаемая программа сразу поймет, куда ее занесло.
Во-вторых, виртуальные сетевые карты имеют довольно предсказуемый диапазон MAC-адресов, а именно: 00-05-69-xx-xx-xx, 00-0C-29-xx-xx-xx и 00-50-56-xx-xx-xx. Защите достаточно выполнить команду "arp -a", чтобы распознать хакерские планы.
В-третьих, VM-Ware имеет коварный backdoor, оставленный разработчиками для служебных целей и управляемый через порт 5658h, при этом в регистре EAX должно содержатся "магическое" число 564D5868h. Ниже приведен фрагмент кода червя Agobot, определяющий версию VM-Ware:
mov eax, 564D5868h ; VMWARE_MAGIC
mov ecx, 0Ah ; Get VMware version
mov edx, 5658h ; VMWARE_PORT
in eax, dx
Листинг 1 определение версии VM Ware
Для маскировки виртуальной машины, Костей Кортчинским (Kostya Kortchinsky) был написан специальный патч, изменяющий идентификационные строки оборудования, MAC-адреса и магический номер backdoor'а (http://honeynet.rstack.org/tools/vmpatch.c).
Подробнее о способах детектирования виртуальных машин можно прочитать в подборке статей Know your Enemy (на английском языке): www.honeynet.org/misc/files/papers.tar.gz;
