使用的CPU检测方法1.通过CPUID指令检查供应商ID字符串2.通过CPUID指令检查是否在Hypervisor中运行3.检查全局表位置：IDT/GDT/LDT4.使用异域指令愚弄虚拟模拟器5.通过执行非法指令检测环境（仅Vi...

目录所使用的网络检测方法1. 具体的网络属性1.1. 检查MAC地址是否是特定的1.2. 检查适配器名称是否是特定的1.3. 检查网络共享的提供者的名称是否是特定的2. 检查网络是否属于安全范围3. 基于Net...

目录进程和库的检测方法1.检查特定的正在运行进程和已加载的库1.1. 检查特定进程是否正在运行1.2. 检查进程地址空间中是否加载了特定的库1.3. 检查特定库中是否存在特定函数1.4. 反制措施2.检查...

目录操作系统特征检测方法1. 检查调试权限2. 使用不平衡的堆栈反制措施归功于操作系统特征检测方法该组中的规避技术利用了操作系统的工作方式的特征性。1. 检查调试权限如果恶意软件在调试器或...

目录用户界面伪装检测方法1.检查操作系统中是否存在具有特定类名的窗口2.检查顶层窗口数量是否过少识别标志反制措施归功于用户界面伪装检测方法这一组描述的技术滥用了这样一个事实：一些窗口的...

目录全局目标检测方法1.检查特定的全局互斥体2.检查特定的虚拟设备3.检查特定的全局管道4.检查特定的全局对象5.检查特定对象目录（仅限于沙盒）6.检查系统中是否存在虚拟注册表（仅限于沙盒）反...

目录注册表检测方法1.检查是否存在特定的注册表路径2. 检查特定的注册表键是否包含指定的字符串反制措施归功于注册表检测方法所有注册表检测方法的原则如下：在通常的主机中没有这样的注册表键...

总的来说就是先改vmx撸掉cpuid的hypervisor present bit和几个后门特权指令 然后特征定位到管理SystemFirmwareTable的链表，把里面填充信息的handler接管了，请求firmware信息时，先在缓存里面...