[翻译]规避技术：硬件

梦幻的彼岸

备注
原文地址：https://evasions.checkpoint.com/techniques/hardware.html
原文标题：Evasions: Hardware
更新日期：2021年5月31日
此文后期：根据自身所学进行内容扩充
因自身技术有限，只能尽自身所能翻译国外技术文章，供大家学习，若有不当或可完善的地方，希望可以指出，用于共同完善这篇文章。



目录

• 硬件信息检测方法
• 1. 检查硬盘是否有特定的名称
• 2. 检查HDD Vendor ID是否有特定值
• 3. 检查是否没有音频设备
• 4. 检查CPU温度信息是否可用
• 5. 检查物理显示适配器的IDirect3D9接口
• 识别标志
• 反制措施
  

硬件信息检测方法
虚拟环境模拟硬件设备，并在其描述中留下具体的痕迹--这些痕迹可以被查询，并对非主机操作系统做出结论。
1. 检查硬盘是否有特定的名称
使用的函数：

• SetupDiGetClassDevs
• SetupDiEnumDeviceInfo
• SetupDiGetDeviceRegistryProperty
  

代码样本：

1. hDevs = SetupDiGetClassDevs(
   
2.     &guid,  // GUID_DEVCLASS(DEVINTERFACE)_DISKDRIVE
   
3.     NULL,
   
4.     NULL,
   
5.     DIGCF_PRESENT);
   
6. 
   
7. SetupDiEnumDeviceInfo(
   
8.     hDevsInfo,
   
9.     0,
   
10.     &devinfo);  // PSP_DEVINFO_DATA
    
11. 
    
12. SetupDiGetDeviceRegistryProperty(
    
13.     hDevs,
    
14.     &devinfo,
    
15.     SPDRP_FRIENDLYNAME,
    
16.     &dword_1,
    
17.     szFriendlyName,  // HDD name will be here
    
18.     dFriendlyNameSize,
    
19.     &dword_2);
    

复制代码

检测表：

检查硬盘驱动器是否有以下名称之一:
检测	名称
QEMU	QEMU
VirtualBox	VBOX
VirtualPC	VIRTUAL HD
VMware	VMware

2. 检查HDD Vendor ID是否有特定值
使用了以下函数：

• DeviceIoControl(..., IOCTL_STORAGE_QUERY_PROPERTY, ...)
  

代码样本：

1. bool GetHDDVendorId(std::string& outVendorId) {
   
2.     HANDLE hDevice = CreateFileA(_T("\\\\.\\PhysicalDrive0"),
   
3.                                  0,
   
4.                                  FILE_SHARE_READ | FILE_SHARE_WRITE,
   
5.                                  0,
   
6.                                  OPEN_EXISTING,
   
7.                                  0,
   
8.                                  0);
   
9.     if (hDevice == INVALID_HANDLE_VALUE)
   
10.         return false;
    
11.    
    
12.     STORAGE_PROPERTY_QUERY storage_property_query = {};
    
13.     storage_property_query.PropertyId = StorageDeviceProperty;
    
14.     storage_property_query.QueryType = PropertyStandardQuery;
    
15.     STORAGE_DESCRIPTOR_HEADER storage_descriptor_header = {};
    
16.     DWORD BytesReturned = 0;
    
17.   
    
18.     if (!DeviceIoControl(hDevice, IOCTL_STORAGE_QUERY_PROPERTY,
    
19.                          &storage_property_query, sizeof(storage_property_query),
    
20.                          &storage_descriptor_header, sizeof(storage_descriptor_header),
    
21.                          &BytesReturned, )) {
    
22.         printf("DeviceIoControl() for size query failed\n");
    
23.         CloseHandle(hDevice);
    
24.         return false;
    
25.     }
    
26.     if (!BytesReturned) {
    
27.         CloseHandle(hDevice);
    
28.         return false;
    
29.     }
    
30.   
    
31.     std::vector<char> buff(storage_descriptor_header.Size); //_STORAGE_DEVICE_DESCRIPTOR
    
32.     if (!DeviceIoControl(hDevice, IOCTL_STORAGE_QUERY_PROPERTY,
    
33.                          &storage_property_query, sizeof(storage_property_query),
    
34.                          buff.data(), buff.size(), 0)) {
    
35.         CloseHandle(hDevice);
    
36.         return false;
    
37.     }
    
38.   
    
39.     CloseHandle(hDevice);
    
40.   
    
41.     if (BytesReturned) {
    
42.         STORAGE_DEVICE_DESCRIPTOR* device_descriptor = (STORAGE_DEVICE_DESCRIPTOR*)buff.data();
    
43.         if (device_descriptor->VendorIdOffset)
    
44.             outVendorId = &buff[device_descriptor->VendorIdOffset];
    
45.   
    
46.         return true;
    
47.     }
    
48.    
    
49.     return false;
    
50. }
    

复制代码

检测表：

检查硬盘供应商ID是否为以下之一:
检测	名称
VirtualBox	VBOX
VMware	vmware

3. 检查是否没有音频设备
这项技术是从TeslaCrypt恶意软件样本中提取的，并在Joe Security的这篇博文中进行了描述。
代码样本：

1. void AudioEvasion() {
   
2.   PCWSTR wszfilterName = L"audio_device_random_name";
   
3. 
   
4.   if (FAILED(CoInitialize(NULL)))
   
5.     return;
   
6. 
   
7.   IGraphBuilder *pGraph = nullptr;
   
8.   if (FAILED(CoCreateInstance(CLSID_FilterGraph, NULL, CLSCTX_INPROC_SERVER, IID_IGraphBuilder, (void**)&pGraph)))
   
9.     return;
   
10. 
    
11.   if (E_POINTER != pGraph->AddFilter(NULL, wszfilterName))
    
12.     ExitProcess(-1);
    
13. 
    
14.   IBaseFilter *pBaseFilter = nullptr;
    
15.   CoCreateInstance(CLSID_AudioRender, NULL, CLSCTX_INPROC_SERVER, IID_IBaseFilter, (void**)&pBaseFilter);
    
16.   
    
17.   pGraph->AddFilter(pBaseFilter, wszfilterName);
    
18. 
    
19.   IBaseFilter *pBaseFilter2 = nullptr;
    
20.   pGraph->FindFilterByName(wszfilterName, &pBaseFilter2);
    
21.   if (nullptr == pBaseFilter2)
    
22.     ExitProcess(1);
    
23. 
    
24.   FILTER_INFO info = { 0 };
    
25.   pBaseFilter2->QueryFilterInfo(&info);
    
26.   if (0 != wcscmp(info.achName, wszfilterName))
    
27.     return;
    
28. 
    
29.   IReferenceClock *pClock = nullptr;
    
30.   if (0 != pBaseFilter2->GetSyncSource(&pClock))
    
31.     return;
    
32.   if (0 != pClock)
    
33.     return;
    
34. 
    
35.   CLSID clsID = { 0 };
    
36.   pBaseFilter2->GetClassID(&clsID);
    
37.   if (clsID.Data1 == 0)
    
38.     ExitProcess(1);
    
39. 
    
40.   if (nullptr == pBaseFilter2)
    
41.     ExitProcess(-1);
    
42. 
    
43.   IEnumPins *pEnum = nullptr;
    
44.   if (0 != pBaseFilter2->EnumPins(&pEnum))
    
45.     ExitProcess(-1);
    
46. 
    
47.   if (0 == pBaseFilter2->AddRef())
    
48.     ExitProcess(-1);
    
49. }
    

复制代码

4. 检查CPU温度信息是否可用
这项技术是从GravityRAT恶意软件中提取的，并通过这个链接进行了描述。

代码样本(Windows cmd命令)：

1. wmic /namespace:\\root\WMI path MSAcpi_ThermalZoneTemperature get CurrentTemperature

复制代码

5. 检查物理显示适配器的IDirect3D9接口
该方法检查IDirect3D9接口实例化时系统中存在的物理显示适配器。它适用于从Windows XP开始的所有Windows版本。
使用的函数：

• Direct3DCreate9 - called from `d3d9.dll` library
• GetAdapterIdentifier - called via IDirect3D9 interface
  

代码样本：

1. #include <d3d9.h>
   
2. 
   
3. // https://github.com/qt/qtbase/blob/dev/src/plugins/platforms/windows/qwindowsopengltester.cpp#L124
   
4. 
   
5. void detect() {
   
6.     typedef IDirect3D9* (WINAPI* PtrDirect3DCreate9)(UINT);
   
7. 
   
8.     HMODULE d3d9lib = ::LoadLibraryA("d3d9");
   
9.     if (!d3d9lib)
   
10.         return;
    
11. 
    
12.     PtrDirect3DCreate9 direct3DCreate9 = (PtrDirect3DCreate9)GetProcAddress(d3d9lib, "Direct3DCreate9");
    
13.     if (!direct3DCreate9)
    
14.         return;
    
15. 
    
16.     IDirect3D9* direct3D9 = direct3DCreate9(D3D_SDK_VERSION);
    
17.     if (!direct3D9)
    
18.         return;
    
19. 
    
20.     D3DADAPTER_IDENTIFIER9 adapterIdentifier;
    
21.     const HRESULT hr = direct3D9->GetAdapterIdentifier(0, 0, &adapterIdentifier);
    
22.     direct3D9->Release();
    
23. 
    
24.     if (SUCCEEDED(hr)) {
    
25.         printf("VendorId:    0x%x\n", adapterIdentifier.VendorId);
    
26.         printf("DeviceId:    0x%x\n", adapterIdentifier.DeviceId);
    
27.         printf("Driver:      %s\n", adapterIdentifier.Driver);
    
28.         printf("Description: %s\n", adapterIdentifier.Description);
    
29.     }
    
30. }
    

复制代码

这个代码样本归功于指出它的elsamuko。
常规主机上的输出示例如下：

1. VendorId:    0x10de
   
2. DeviceId:    0x103c
   
3. Driver:      nvldumdx.dll
   
4. Description: NVIDIA Quadro K5200

复制代码

而这里是一个在虚拟机（VMware）上输出的例子：

1. VendorId:    0x15ad
   
2. DeviceId:    0x405
   
3. Driver:      vm3dum64_loader.dll
   
4. Description: VMware SVGA 3D

复制代码

检查的字段以D3DADAPTER_IDENTIFIER9结构的相应字段命名。恶意软件可以将这些字段中的值与已知存在于虚拟机中的值进行比较，如果发现匹配，则得出结论，它是在虚拟机下运行。
检测表：

检查D3DADAPTER_IDENTIFIER9结构的字段中是否存在以下值:
检测	结构字段	值	注释
VMware	VendorId	0x15AD
	DeviceId	0x405	Only when used in combination with VendorId related to VMware (0x15AD)
	Driver	vm3dum.dll
	Driver	vm3dum64_loader.dll
	Description	VMware SVGA 3D

识别标志
识别标志对每种技术都是通用的：拦截使用的函数，并跟踪它是否被调用。例如，很难说出为什么应用程序要获取硬盘名称。这并不一定意味着应用了规避技术。所以在这种情况下，最好的办法就是拦截目标函数并跟踪其调用。
反制措施

• 对比硬盘检查：重命名硬盘，使其不会被特定字符串检测到；
• 对照音频设备检查：添加音频设备；
• 对比CPU温度检查：将存根添加到虚拟机管理程序（hyperviso）以输出一些有意义的信息；
• 与物理显示适配器检查相比：在d3d9.dll中的函数GetAdapterIdentifier上设置挂钩，检查查询的适配器是否与DirectX相关，并替换返回值。