Malware kan bruge WMI-klassen Win32_Fan og SMBIOS type 27 til at opdage virtuelle maskiner.
SMBIOS type 27-strukturer angiver CPU-blæseroplysninger, som Windows henter via cimwin32.dll.
Xen understøtter som standard ikke at tilsidesætte type 27 og 28, så det kræver en kildekodepatch i hvmloader.
En komplet spoof kræver både type 27 (blæser) og type 28 (temperaturføler) strukturer i smbios.bin med korrekte størrelsefelter.
QEMU/KVM gør det nemt med -smbios, da det ikke kræver 32-bit længdefelter som i Xen.
Get notified when new stories are published for "🇩🇰 Hacker News Dansk"