Faux ventilateur CPU dans une VM

Les malwares détectent souvent les VM en vérifiant l’absence d’un ventilateur CPU via la classe WMI Win32_Fan.

Windows lit les informations du ventilateur CPU dans le SMBIOS (type 27 Cooling Device).

Sur Xen, la définition de structures SMBIOS personnalisées nécessite le patch de Xen pour supporter les types 27 et 28.

Il faut créer un fichier smbios.bin contenant les structures type 27 et 28 avec leur taille préfixée pour Xen.

Après redémarrage, la VM Windows reconnaît le ventilateur CPU via wmic path Win32_Fan.

Sous QEMU/KVM, on peut injecter simplement le SMBIOS via l’option -smbios sans patch supplémentaire.

Get notified when new stories are published for "🇫🇷 Hacker News Français"

No Sign-In needed. One-Click Subscribe.

•

Les malwares détectent souvent les VM en vérifiant l’absence d’un ventilateur CPU via la classe WMI Win32_Fan.

Windows lit les informations du ventilateur CPU dans le SMBIOS (type 27 Cooling Device).

Sur Xen, la définition de structures SMBIOS personnalisées nécessite le patch de Xen pour supporter les types 27 et 28.

Il faut créer un fichier smbios.bin contenant les structures type 27 et 28 avec leur taille préfixée pour Xen.

Après redémarrage, la VM Windows reconnaît le ventilateur CPU via wmic path Win32_Fan.

Sous QEMU/KVM, on peut injecter simplement le SMBIOS via l’option -smbios sans patch supplémentaire.

Get notified when new stories are published for "🇫🇷 Hacker News Français"

No Sign-In needed. One-Click Subscribe.