makin实战教程如何配置checks.json文件自定义虚拟机检测规则【免费下载链接】makinmakin - reveal anti-debugging and anti-VM tricks [This project is not maintained anymore]项目地址: https://gitcode.com/gh_mirrors/ma/makin在恶意软件分析领域虚拟机检测是分析师面临的重要挑战之一。恶意软件开发者常常会嵌入反虚拟机检测机制以逃避在虚拟环境中被分析。今天我们将深入探讨如何使用makin工具来配置自定义的虚拟机检测规则让您的恶意软件分析工作更加高效makin是一个强大的反调试和反虚拟机检测工具它通过挂钩Windows系统API来监控恶意软件的行为并可以生成IDA Pro脚本进行进一步分析。最令人兴奋的是您可以通过简单的JSON配置文件来自定义检测规则无需修改源代码 checks.json文件结构解析首先让我们了解checks.json文件的基本结构。这个文件位于makin/checks.json是整个工具的核心配置文件{ title: VM checks, Registry: { KeyChecks: { VMware: [vmware], VirtualBox: [virtualbox, vbox], misc: [wine, SOFTWARE\\Microsoft\\Virtual Machine\\Guest\\Parameters] }, ValueChecks: [ SystemManufacturer, SystemProductName, Identifier, SystemBiosVersion, SystemBiosDate, VideoBiosVersion ] }, FileSystem: { Files: [ virtualbox, vmware, vmbox, vmmouse.sys, vmhgfs.sys, vm3dmp.sys, vmci.sys, vmhgfs.sys, vmmemctl.sys, vmmouse.sys, vmrawdsk.sys, vmusbmouse.sys ] }, VirtualDevices: [ PROCEXP152, hgfs, vmci ], Processes: [ csrss.exe, vmbox, vmtoolsd.exe, vmwaretray.exe, vmwareuser.exe, VGAuthService.exe, vmacthlp.exe, vmsrvc.exe, vmusrvc.exe, prl_cc.exe, prl_tools.exe, xenservice.exe, qemu-ga.exe ] } 四大检测维度详解1. 注册表检测 (Registry Detection)注册表是恶意软件检测虚拟机环境的主要途径之一。makin监控两个关键的注册表APIRegOpenKeyExInternalW- 检测注册表键访问RegQueryValueExW- 检测注册表值查询KeyChecks部分定义了要监控的注册表路径关键词。当恶意软件尝试访问包含这些关键词的注册表路径时makin会立即报告KeyChecks: { VMware: [vmware], VirtualBox: [virtualbox, vbox], misc: [wine, SOFTWARE\\Microsoft\\Virtual Machine\\Guest\\Parameters] }ValueChecks部分定义了要监控的注册表值名称。这些通常是虚拟机环境特有的系统信息字段ValueChecks: [ SystemManufacturer, SystemProductName, Identifier, SystemBiosVersion, SystemBiosDate, VideoBiosVersion ]2. 文件系统检测 (File System Detection)许多虚拟机环境会在系统中留下特定的文件痕迹。makin通过监控文件访问来检测这些痕迹Files: [ virtualbox, vmware, vmbox, vmmouse.sys, vmhgfs.sys, vm3dmp.sys, vmci.sys, vmhgfs.sys, vmmemctl.sys, vmmouse.sys, vmrawdsk.sys, vmusbmouse.sys ]这些文件路径和名称通常与虚拟机驱动程序或工具相关。当恶意软件尝试访问这些文件时makin会标记为可疑行为。3. 虚拟设备检测 (Virtual Device Detection)虚拟机环境通常包含特定的虚拟设备。makin可以检测对这些设备的访问VirtualDevices: [ PROCEXP152, hgfs, vmci ]4. 进程检测 (Process Detection)虚拟机环境中运行的特定进程也是重要的检测指标Processes: [ csrss.exe, vmbox, vmtoolsd.exe, vmwaretray.exe, vmwareuser.exe, VGAuthService.exe, vmacthlp.exe, vmsrvc.exe, vmusrvc.exe, prl_cc.exe, prl_tools.exe, xenservice.exe, qemu-ga.exe ]️ 自定义配置实战指南添加新的虚拟机检测规则假设您发现了一个新的虚拟机环境Hyper-V想要添加相应的检测规则添加注册表检测Hyper-V: [ hyperv, Microsoft\\Hyper-V, Virtual Machines ]添加文件检测Files: [ ...现有配置... hvservice.sys, hvax.sys, hvsocket.sys, hvix64.exe ]添加进程检测Processes: [ ...现有配置... vmms.exe, vmwp.exe, hvhost.exe ]扩展检测范围您还可以根据特定恶意软件家族的检测需求添加自定义的检测项添加自定义注册表路径misc: [ ...现有配置... HARDWARE\\ACPI\\DSDT\\VBOX__, HARDWARE\\ACPI\\FADT\\VBOX__, HARDWARE\\ACPI\\RSDT\\VBOX__ ]添加特定驱动程序检测Files: [ ...现有配置... vboxguest.sys, vboxmouse.sys, vboxvideo.sys, vmxnet.sys ] 配置生效机制makin的工作原理是通过asho.dll模块挂钩系统API。当您修改checks.json文件后实时加载makin会在运行时动态加载checks.json配置文件API挂钩通过asho/hook.h和asho/hookFunctions.h中的代码实现API拦截模式匹配当恶意软件调用被监控的API时makin会检查参数是否匹配配置的检测规则输出报告检测到可疑行为时通过调试字符串输出报告 最佳实践建议1. 保持配置简洁只添加真正有意义的检测规则避免过度配置导致误报。2. 定期更新规则恶意软件技术不断发展定期更新您的检测规则以应对新的反虚拟机技术。3. 测试配置有效性在安全环境中测试您的配置确保不会误报正常软件行为。4. 结合其他分析工具将makin与IDA Pro、OllyDbg等其他分析工具结合使用获得更全面的分析结果。 检测结果解读当makin检测到可疑行为时会输出类似以下格式的信息[RegOpenKeyExInternalW] The debugee checks against VM (Vmware, VirtualBox, etc) related registry keys: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Tools ref: https://github.com/LordNoteworthy/al-khaser这些信息会帮助您快速识别恶意软件使用的反虚拟机技术。 高级配置技巧使用正则表达式模式虽然当前版本使用简单的字符串匹配但您可以扩展代码以支持正则表达式实现更灵活的匹配规则。集成自定义检测逻辑通过修改asho/hookFunctions.h中的相关函数您可以添加更复杂的检测逻辑如检查特定的注册表值内容验证文件哈希值分析进程行为模式 总结通过本文的详细讲解您现在应该已经掌握了如何配置makin的checks.json文件来自定义虚拟机检测规则。这个强大的工具让恶意软件分析师能够✅灵活配置无需修改源代码即可添加新的检测规则 ✅全面覆盖支持注册表、文件系统、设备和进程四大检测维度 ✅实时生效配置修改后立即生效无需重新编译 ✅易于扩展JSON格式的配置文件简单易懂便于维护记住有效的恶意软件分析需要不断更新您的检测规则库。随着新的虚拟机技术和反检测技术的出现定期更新您的checks.json文件将确保您始终保持在对抗恶意软件的前沿现在就去尝试配置您自己的虚拟机检测规则让makin成为您恶意软件分析工具箱中的得力助手吧【免费下载链接】makinmakin - reveal anti-debugging and anti-VM tricks [This project is not maintained anymore]项目地址: https://gitcode.com/gh_mirrors/ma/makin创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
makin实战教程:如何配置checks.json文件自定义虚拟机检测规则
发布时间:2026/7/10 17:56:06
makin实战教程如何配置checks.json文件自定义虚拟机检测规则【免费下载链接】makinmakin - reveal anti-debugging and anti-VM tricks [This project is not maintained anymore]项目地址: https://gitcode.com/gh_mirrors/ma/makin在恶意软件分析领域虚拟机检测是分析师面临的重要挑战之一。恶意软件开发者常常会嵌入反虚拟机检测机制以逃避在虚拟环境中被分析。今天我们将深入探讨如何使用makin工具来配置自定义的虚拟机检测规则让您的恶意软件分析工作更加高效makin是一个强大的反调试和反虚拟机检测工具它通过挂钩Windows系统API来监控恶意软件的行为并可以生成IDA Pro脚本进行进一步分析。最令人兴奋的是您可以通过简单的JSON配置文件来自定义检测规则无需修改源代码 checks.json文件结构解析首先让我们了解checks.json文件的基本结构。这个文件位于makin/checks.json是整个工具的核心配置文件{ title: VM checks, Registry: { KeyChecks: { VMware: [vmware], VirtualBox: [virtualbox, vbox], misc: [wine, SOFTWARE\\Microsoft\\Virtual Machine\\Guest\\Parameters] }, ValueChecks: [ SystemManufacturer, SystemProductName, Identifier, SystemBiosVersion, SystemBiosDate, VideoBiosVersion ] }, FileSystem: { Files: [ virtualbox, vmware, vmbox, vmmouse.sys, vmhgfs.sys, vm3dmp.sys, vmci.sys, vmhgfs.sys, vmmemctl.sys, vmmouse.sys, vmrawdsk.sys, vmusbmouse.sys ] }, VirtualDevices: [ PROCEXP152, hgfs, vmci ], Processes: [ csrss.exe, vmbox, vmtoolsd.exe, vmwaretray.exe, vmwareuser.exe, VGAuthService.exe, vmacthlp.exe, vmsrvc.exe, vmusrvc.exe, prl_cc.exe, prl_tools.exe, xenservice.exe, qemu-ga.exe ] } 四大检测维度详解1. 注册表检测 (Registry Detection)注册表是恶意软件检测虚拟机环境的主要途径之一。makin监控两个关键的注册表APIRegOpenKeyExInternalW- 检测注册表键访问RegQueryValueExW- 检测注册表值查询KeyChecks部分定义了要监控的注册表路径关键词。当恶意软件尝试访问包含这些关键词的注册表路径时makin会立即报告KeyChecks: { VMware: [vmware], VirtualBox: [virtualbox, vbox], misc: [wine, SOFTWARE\\Microsoft\\Virtual Machine\\Guest\\Parameters] }ValueChecks部分定义了要监控的注册表值名称。这些通常是虚拟机环境特有的系统信息字段ValueChecks: [ SystemManufacturer, SystemProductName, Identifier, SystemBiosVersion, SystemBiosDate, VideoBiosVersion ]2. 文件系统检测 (File System Detection)许多虚拟机环境会在系统中留下特定的文件痕迹。makin通过监控文件访问来检测这些痕迹Files: [ virtualbox, vmware, vmbox, vmmouse.sys, vmhgfs.sys, vm3dmp.sys, vmci.sys, vmhgfs.sys, vmmemctl.sys, vmmouse.sys, vmrawdsk.sys, vmusbmouse.sys ]这些文件路径和名称通常与虚拟机驱动程序或工具相关。当恶意软件尝试访问这些文件时makin会标记为可疑行为。3. 虚拟设备检测 (Virtual Device Detection)虚拟机环境通常包含特定的虚拟设备。makin可以检测对这些设备的访问VirtualDevices: [ PROCEXP152, hgfs, vmci ]4. 进程检测 (Process Detection)虚拟机环境中运行的特定进程也是重要的检测指标Processes: [ csrss.exe, vmbox, vmtoolsd.exe, vmwaretray.exe, vmwareuser.exe, VGAuthService.exe, vmacthlp.exe, vmsrvc.exe, vmusrvc.exe, prl_cc.exe, prl_tools.exe, xenservice.exe, qemu-ga.exe ]️ 自定义配置实战指南添加新的虚拟机检测规则假设您发现了一个新的虚拟机环境Hyper-V想要添加相应的检测规则添加注册表检测Hyper-V: [ hyperv, Microsoft\\Hyper-V, Virtual Machines ]添加文件检测Files: [ ...现有配置... hvservice.sys, hvax.sys, hvsocket.sys, hvix64.exe ]添加进程检测Processes: [ ...现有配置... vmms.exe, vmwp.exe, hvhost.exe ]扩展检测范围您还可以根据特定恶意软件家族的检测需求添加自定义的检测项添加自定义注册表路径misc: [ ...现有配置... HARDWARE\\ACPI\\DSDT\\VBOX__, HARDWARE\\ACPI\\FADT\\VBOX__, HARDWARE\\ACPI\\RSDT\\VBOX__ ]添加特定驱动程序检测Files: [ ...现有配置... vboxguest.sys, vboxmouse.sys, vboxvideo.sys, vmxnet.sys ] 配置生效机制makin的工作原理是通过asho.dll模块挂钩系统API。当您修改checks.json文件后实时加载makin会在运行时动态加载checks.json配置文件API挂钩通过asho/hook.h和asho/hookFunctions.h中的代码实现API拦截模式匹配当恶意软件调用被监控的API时makin会检查参数是否匹配配置的检测规则输出报告检测到可疑行为时通过调试字符串输出报告 最佳实践建议1. 保持配置简洁只添加真正有意义的检测规则避免过度配置导致误报。2. 定期更新规则恶意软件技术不断发展定期更新您的检测规则以应对新的反虚拟机技术。3. 测试配置有效性在安全环境中测试您的配置确保不会误报正常软件行为。4. 结合其他分析工具将makin与IDA Pro、OllyDbg等其他分析工具结合使用获得更全面的分析结果。 检测结果解读当makin检测到可疑行为时会输出类似以下格式的信息[RegOpenKeyExInternalW] The debugee checks against VM (Vmware, VirtualBox, etc) related registry keys: HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Tools ref: https://github.com/LordNoteworthy/al-khaser这些信息会帮助您快速识别恶意软件使用的反虚拟机技术。 高级配置技巧使用正则表达式模式虽然当前版本使用简单的字符串匹配但您可以扩展代码以支持正则表达式实现更灵活的匹配规则。集成自定义检测逻辑通过修改asho/hookFunctions.h中的相关函数您可以添加更复杂的检测逻辑如检查特定的注册表值内容验证文件哈希值分析进程行为模式 总结通过本文的详细讲解您现在应该已经掌握了如何配置makin的checks.json文件来自定义虚拟机检测规则。这个强大的工具让恶意软件分析师能够✅灵活配置无需修改源代码即可添加新的检测规则 ✅全面覆盖支持注册表、文件系统、设备和进程四大检测维度 ✅实时生效配置修改后立即生效无需重新编译 ✅易于扩展JSON格式的配置文件简单易懂便于维护记住有效的恶意软件分析需要不断更新您的检测规则库。随着新的虚拟机技术和反检测技术的出现定期更新您的checks.json文件将确保您始终保持在对抗恶意软件的前沿现在就去尝试配置您自己的虚拟机检测规则让makin成为您恶意软件分析工具箱中的得力助手吧【免费下载链接】makinmakin - reveal anti-debugging and anti-VM tricks [This project is not maintained anymore]项目地址: https://gitcode.com/gh_mirrors/ma/makin创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考