news 2026/7/10 17:55:47

makin实战教程:如何配置checks.json文件自定义虚拟机检测规则

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
makin实战教程:如何配置checks.json文件自定义虚拟机检测规则

makin实战教程:如何配置checks.json文件自定义虚拟机检测规则

【免费下载链接】makinmakin - reveal anti-debugging and anti-VM tricks [This project is not maintained anymore]项目地址: https://gitcode.com/gh_mirrors/ma/makin

在恶意软件分析领域,虚拟机检测是分析师面临的重要挑战之一。恶意软件开发者常常会嵌入反虚拟机检测机制,以逃避在虚拟环境中被分析。今天,我们将深入探讨如何使用makin工具来配置自定义的虚拟机检测规则,让您的恶意软件分析工作更加高效!🎯

makin是一个强大的反调试和反虚拟机检测工具,它通过挂钩Windows系统API来监控恶意软件的行为,并可以生成IDA Pro脚本进行进一步分析。最令人兴奋的是,您可以通过简单的JSON配置文件来自定义检测规则,无需修改源代码!

📁 checks.json文件结构解析

首先,让我们了解checks.json文件的基本结构。这个文件位于makin/checks.json,是整个工具的核心配置文件:

{ "title": "VM checks", "Registry": { "KeyChecks": { "VMware": ["vmware"], "VirtualBox": ["virtualbox", "vbox"], "misc": ["wine", "SOFTWARE\\Microsoft\\Virtual Machine\\Guest\\Parameters"] }, "ValueChecks": [ "SystemManufacturer", "SystemProductName", "Identifier", "SystemBiosVersion", "SystemBiosDate", "VideoBiosVersion" ] }, "FileSystem": { "Files": [ "virtualbox", "vmware", "vmbox", "vmmouse.sys", "vmhgfs.sys", "vm3dmp.sys", "vmci.sys", "vmhgfs.sys", "vmmemctl.sys", "vmmouse.sys", "vmrawdsk.sys", "vmusbmouse.sys" ] }, "VirtualDevices": [ "PROCEXP152", "hgfs", "vmci" ], "Processes": [ "csrss.exe", "vmbox", "vmtoolsd.exe", "vmwaretray.exe", "vmwareuser.exe", "VGAuthService.exe", "vmacthlp.exe", "vmsrvc.exe", "vmusrvc.exe", "prl_cc.exe", "prl_tools.exe", "xenservice.exe", "qemu-ga.exe" ] }

🔧 四大检测维度详解

1. 注册表检测 (Registry Detection)

注册表是恶意软件检测虚拟机环境的主要途径之一。makin监控两个关键的注册表API:

  • RegOpenKeyExInternalW- 检测注册表键访问
  • RegQueryValueExW- 检测注册表值查询

KeyChecks部分定义了要监控的注册表路径关键词。当恶意软件尝试访问包含这些关键词的注册表路径时,makin会立即报告:

"KeyChecks": { "VMware": ["vmware"], "VirtualBox": ["virtualbox", "vbox"], "misc": ["wine", "SOFTWARE\\Microsoft\\Virtual Machine\\Guest\\Parameters"] }

ValueChecks部分定义了要监控的注册表值名称。这些通常是虚拟机环境特有的系统信息字段:

"ValueChecks": [ "SystemManufacturer", "SystemProductName", "Identifier", "SystemBiosVersion", "SystemBiosDate", "VideoBiosVersion" ]

2. 文件系统检测 (File System Detection)

许多虚拟机环境会在系统中留下特定的文件痕迹。makin通过监控文件访问来检测这些痕迹:

"Files": [ "virtualbox", "vmware", "vmbox", "vmmouse.sys", "vmhgfs.sys", "vm3dmp.sys", "vmci.sys", "vmhgfs.sys", "vmmemctl.sys", "vmmouse.sys", "vmrawdsk.sys", "vmusbmouse.sys" ]

这些文件路径和名称通常与虚拟机驱动程序或工具相关。当恶意软件尝试访问这些文件时,makin会标记为可疑行为。

3. 虚拟设备检测 (Virtual Device Detection)

虚拟机环境通常包含特定的虚拟设备。makin可以检测对这些设备的访问:

"VirtualDevices": [ "PROCEXP152", "hgfs", "vmci" ]

4. 进程检测 (Process Detection)

虚拟机环境中运行的特定进程也是重要的检测指标:

"Processes": [ "csrss.exe", "vmbox", "vmtoolsd.exe", "vmwaretray.exe", "vmwareuser.exe", "VGAuthService.exe", "vmacthlp.exe", "vmsrvc.exe", "vmusrvc.exe", "prl_cc.exe", "prl_tools.exe", "xenservice.exe", "qemu-ga.exe" ]

🛠️ 自定义配置实战指南

添加新的虚拟机检测规则

假设您发现了一个新的虚拟机环境"Hyper-V",想要添加相应的检测规则:

  1. 添加注册表检测
"Hyper-V": [ "hyperv", "Microsoft\\Hyper-V", "Virtual Machines" ]
  1. 添加文件检测
"Files": [ ...现有配置... "hvservice.sys", "hvax.sys", "hvsocket.sys", "hvix64.exe" ]
  1. 添加进程检测
"Processes": [ ...现有配置... "vmms.exe", "vmwp.exe", "hvhost.exe" ]

扩展检测范围

您还可以根据特定恶意软件家族的检测需求,添加自定义的检测项:

  1. 添加自定义注册表路径
"misc": [ ...现有配置... "HARDWARE\\ACPI\\DSDT\\VBOX__", "HARDWARE\\ACPI\\FADT\\VBOX__", "HARDWARE\\ACPI\\RSDT\\VBOX__" ]
  1. 添加特定驱动程序检测
"Files": [ ...现有配置... "vboxguest.sys", "vboxmouse.sys", "vboxvideo.sys", "vmxnet.sys" ]

🚀 配置生效机制

makin的工作原理是通过asho.dll模块挂钩系统API。当您修改checks.json文件后:

  1. 实时加载:makin会在运行时动态加载checks.json配置文件
  2. API挂钩:通过asho/hook.hasho/hookFunctions.h中的代码实现API拦截
  3. 模式匹配:当恶意软件调用被监控的API时,makin会检查参数是否匹配配置的检测规则
  4. 输出报告:检测到可疑行为时,通过调试字符串输出报告

💡 最佳实践建议

1. 保持配置简洁

只添加真正有意义的检测规则,避免过度配置导致误报。

2. 定期更新规则

恶意软件技术不断发展,定期更新您的检测规则以应对新的反虚拟机技术。

3. 测试配置有效性

在安全环境中测试您的配置,确保不会误报正常软件行为。

4. 结合其他分析工具

将makin与IDA Pro、OllyDbg等其他分析工具结合使用,获得更全面的分析结果。

📊 检测结果解读

当makin检测到可疑行为时,会输出类似以下格式的信息:

[RegOpenKeyExInternalW] The debugee checks against VM (Vmware, VirtualBox, etc) related registry keys: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Tools ref: https://github.com/LordNoteworthy/al-khaser

这些信息会帮助您快速识别恶意软件使用的反虚拟机技术。

🔍 高级配置技巧

使用正则表达式模式

虽然当前版本使用简单的字符串匹配,但您可以扩展代码以支持正则表达式,实现更灵活的匹配规则。

集成自定义检测逻辑

通过修改asho/hookFunctions.h中的相关函数,您可以添加更复杂的检测逻辑,如:

  • 检查特定的注册表值内容
  • 验证文件哈希值
  • 分析进程行为模式

🎯 总结

通过本文的详细讲解,您现在应该已经掌握了如何配置makin的checks.json文件来自定义虚拟机检测规则。这个强大的工具让恶意软件分析师能够:

灵活配置:无需修改源代码即可添加新的检测规则 ✅全面覆盖:支持注册表、文件系统、设备和进程四大检测维度 ✅实时生效:配置修改后立即生效,无需重新编译 ✅易于扩展:JSON格式的配置文件简单易懂,便于维护

记住,有效的恶意软件分析需要不断更新您的检测规则库。随着新的虚拟机技术和反检测技术的出现,定期更新您的checks.json文件将确保您始终保持在对抗恶意软件的前沿!🔒

现在就去尝试配置您自己的虚拟机检测规则,让makin成为您恶意软件分析工具箱中的得力助手吧!💪

【免费下载链接】makinmakin - reveal anti-debugging and anti-VM tricks [This project is not maintained anymore]项目地址: https://gitcode.com/gh_mirrors/ma/makin

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/10 17:54:22

Fast-Ansible服务管理:自动化部署和监控Web服务的7个步骤

Fast-Ansible服务管理:自动化部署和监控Web服务的7个步骤 【免费下载链接】Fast-Ansible This repo covers Ansible with LABs: Multipass, Commands, Modules, Playbooks, Tags, Managing Files and Servers, Users, Roles, Handlers, Host Variables, Templates a…

作者头像 李华
网站建设 2026/7/10 17:54:21

Python量化交易必备:mootdx终极指南快速获取A股数据

Python量化交易必备:mootdx终极指南快速获取A股数据 【免费下载链接】mootdx 通达信数据读取的一个简便使用封装 项目地址: https://gitcode.com/GitHub_Trending/mo/mootdx 在量化交易和金融数据分析领域,获取稳定可靠的A股行情数据一直是开发者…

作者头像 李华
网站建设 2026/7/10 17:53:29

STM32F415RG与CMT-8540S-SMT音频模块开发指南

1. 项目概述:STM32与音频模块的创意结合在当今的创客和嵌入式开发领域,为项目添加互动声音元素已经成为提升用户体验的重要手段。STM32F415RG作为STMicroelectronics推出的高性能微控制器,搭配CMT-8540S-SMT这款紧凑型音频模块,能…

作者头像 李华
网站建设 2026/7/10 17:53:06

CuteR Python API详解:如何在程序中集成二维码生成功能

CuteR Python API详解:如何在程序中集成二维码生成功能 【免费下载链接】CuteR 项目地址: https://gitcode.com/gh_mirrors/cu/CuteR 想要为你的Python应用程序添加创意二维码生成功能吗?CuteR是一个强大的Python库,能够将二维码与自…

作者头像 李华
网站建设 2026/7/10 17:49:33

如何将 YouTube 频道打造为专属电子书:一套自动化 AI 工作流指南

你是否关注过某个 YouTube 频道,里面的内容深度十足,足以编写成书,但你却没时间逐一观看? 得益于 AI 技术的爆发,现在我们完全可以借助 yt-dlp、Gemini API 和 Pandoc 这三驾马车,构建一套自动化工作流&am…

作者头像 李华
网站建设 2026/7/10 17:47:04

留学用的成绩单翻译件怎么弄?4大渠道对比+零踩坑完整攻略

留学申请、院校核验、签证办理中,成绩单翻译件是核心刚需材料,满足正规涉外翻译资质、格式还原、盖章备案三大核心要求。很多同学因选错渠道,出现翻译出错、资质不被认可、材料泄露等问题。一、成绩单翻译办理费用&时效实测留学成绩单翻译…

作者头像 李华