Anti-VM — Détection de machine virtuelle
★★★★★
Principe
Les malwares détectent les environnements virtualisés/sandbox pour suspendre leur activité malveillante et tromper l'analyse. Le reverser doit identifier et neutraliser ces vérifications.
Techniques de détection
# Artefacts matériels / registre
recherche 'VMware','VBOX','QEMU' dans registre/MAC/devices
# Instructions
cpuid (bit hyperviseur) ; in 'VX' (VMware backdoor port 0x5658)
# Timing
rdtsc avant/après : la virtualisation ralentit certaines ops
# Artefacts disque/processus (vmtoolsd, vboxservice) Contournement
Patcher les vérifications (forcer le "non-VM"), masquer les artefacts (renommer services, MAC, modèle CPU), ou analyser sur bare-metal. Outils : scripts anti-anti-VM (al-khaser comme référence des techniques).