Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

AntiVirtualMachineEvasion

VirtualBox를 개조하여 가상머신을 탐지하지 못하게 한다.
by

형석 김

on 12 December 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of AntiVirtualMachineEvasion

2013.6.25
사이버테러
발생!!!!!
왜?

대응이 늦어졌을까?
Real Machine
악성코드 실행 O
Virtual Machine
악성코드 실행 X
악성코드
악성코드가 가상머신을 탐지하여 실행 X
How
Solusion?

VirtualBox
Real Machine
개 조
Purpoe
Why
VirtualBox?

1. 프로그램 개조 가능

2. Code 분석으로 가상화 기술을 이해 할 수 있다.

3. Global하게 여러 사람들과 공유하여 발전 할 수 있다.

4. 기타

OpenSource
So How
HyperVisor(가상화) 연구

가상화 탐지 기법 조사 및 연구

VirtualBox 빌드 환경 구축

VirtualBox 소스코드 분석

VirtualBox 패치

가상 탐지 프로그램 조사
탐지 프로그램 리버싱
Intel Manual 번역 및 연구
국내에 가상화 기반 기술에 대한 연구가 부족하다.
각종 문서 조사 및 연구
리버싱
자체 VirtualBox 탐지 프로그램 제작
VirtualBox 탐지 프로그램 실행 결과
VirtualBox 탐지 분류 후 실행
VirtualBox 탐지 분류 결과
https://my-project-khs.googlecode.com/svn/trunk/VirtualBoxDetector
이유 분석
문서화
빌드환경 가상머신 Image파일 제공 & 문서화
One Click으로 VirBox Box 자동빌드
ValBox SourceCode 분석
VirtualBox 소스코드 패치 전
VirtualBox 소스코드 패치 후
코드 패치
Random
Real Machine RDTSC Differ
Virtual Box No Patch RDTSC Differ
Virtual Box Patch RDTSC Differ
Real Machine
VMWARE
VirtualBox No Patch
VirtualBox Patch
산출물
시연
Full transcript