QA
| Q | A |
|---|---|
| 攻擊者使用哪個 WMI 類來檢索型號和制造商信息以進行虛擬化檢測? | Win32_ComputerSystem |
| 攻擊者執行了哪個 WMI 查詢來檢索計算機的當前溫度值? | SELECT CurrentTemperature FROM MSAcpi_ThermalZoneTemperature |
| 攻擊者加載了 PowerShell 腳本以檢測虛擬化。腳本的函數名稱是什么? | Get-VirtualizationStatus |
| 上述腳本查詢了哪個注冊表項來檢索用于虛擬化檢測的服務詳細信息? | HKLM:\SYSTEM\CurrentControlSet\Services |
| VM 檢測腳本比較哪些進程以確定系統是否正在運行 VirtualBox? | VBoxService.exe, VBoxTray.exe |
| VM 檢測腳本檢測到了哪兩個虛擬化平臺? | VMware, VirtualBox |
TASK1:hayabusa
https://github.com/Yamato-Security/hayabusa/releases/tag/v3.3.0
關鍵字搜尋:“Wmi”
$ hayabusa-3.3.0-win-x64.exe search -f "Microsoft-Windows-Powershell.evtx" -k "Wmi" -J -o "res.json"
Win32_ComputerSystem
TASK2
SELECT * FROM MSAcpi_ThermalZoneTemperature
TASK3
把 PowerShell 事件日誌轉成時間軸(Timeline)CSV 檔案
$ hayabusa-3.3.0-win-x64.exe csv-timeline -f "Windows-Powershell-Operational.evtx" -o "time.csv"
Check-VM
TASK4:虛擬化檢測的服務詳細
$ hayabusa-3.3.0-win-x64.exe search -f "Windows-Powershell-Operational.evtx" -k "HKLM" -J -o "hklm.json"
ControlSet001:系統控制組之一,Windows 通常會保存多組控制組(Control Sets),常見的有 ControlSet001、ControlSet002 等。
Services:包含所有 Windows 服務的設定資料。
HKLM:\SYSTEM\ControlSet001\Services
TASK5:VirtualBox
vboxservice.exe 和 vboxtray.exe 是 VirtualBox 虛擬機中安裝的服務和系統托盤程序,負責虛擬機與宿主機的整合功能,如時間同步和快捷操作,它們的存在通常用來判斷系統是否運行在 VirtualBox 虛擬環境中。
vboxservice.exe, vboxtray.exe
TASK6
Hyper-V, Vmware
)
第二篇《性能調優:Profile驅動優化與匯編級分析》)
