[发明专利]虚拟机系统的反检测系统

权利要求书

1.一种虚拟机系统的反检测系统，包括虚拟机系统的反检测装置、虚拟机系统以及真实系统，其中：

在所述真实系统运行环境中启动所述虚拟机系统后，启动所述虚拟机系统的反检测装置，以便通过所述虚拟机系统的反检测装置对当前虚拟机系统中不同于真实系统运行环境的区别特征信息进行修改；

所述虚拟机系统的反检测装置包括：

特征信息获取单元，用于获取当前虚拟机系统中与真实系统运行环境具有不同取值的特征信息；

特征信息修改单元，用于将当前虚拟机系统中所述特征信息的取值修改为与真实系统运行环境中相同的取值；

特征信息返回单元，用于当接收到查询当前虚拟机系统中的特征信息的请求时，返回修改后的取值，使得在虚拟机系统中的查询结果与在真实系统运行环境中的查询结果相同。

2.如权利要求1所述的装置，所述特征信息包括以下特征信息中的一种或任意几种的组合：

虚拟系统与真实系统之间的通讯指令返回值；

虚拟系统中的注册表配置信息；

虚拟系统中的代表性文件；

虚拟系统中的进程信息；

特定程序在虚拟系统与真实系统中的运行时间差值；

虚拟系统中的网络设备控制MAC地址信息；

虚拟系统中的网卡信息；

虚拟系统中的系统设备信息。

3.如权利要求2所述的装置，所述特征信息修改单元包括：

第一修改子单元，用于在真实系统运行环境中对所述虚拟系统与真实系统之间的通讯指令返回值的取值进行修改；

第二修改子单元，用于在虚拟机系统中对所述虚拟系统中的注册表配置信息、代表性文件、进程信息、运行时间差值、网卡信息、系统设备信息中的一种或任意多种的取值进行修改。

4.如权利要求2或3所述的装置，所述虚拟系统与真实系统之间的通讯指令返回值包括：后门IN指令的返回值；

所述特征信息修改单元具体用于：

将所述虚拟机系统中IN指令的返回值的取值修改为特定类型的异常信息。

5.如权利要求2或3所述的装置，所述虚拟系统与真实系统之间的通讯指令返回值包括：终端描述符表IDT基址；

所述特征信息修改单元具体用于：

将所述虚拟机系统中IDT基址的第一字字节的取值修改为小于0xD0。

6.如权利要求2或3所述的装置，所述虚拟系统与真实系统之间的通讯指令返回值包括：本地描述符表LDT基址和全局描述符表GDT基址；

所述特征信息修改单元具体用于：

将所述虚拟机系统中LDT基址修改为0x0000；

将所述虚拟机系统中GDT基址的第一字字节修改为非0xFF。

7.如权利要求2或3所述的装置，所述虚拟系统与真实系统之间的通讯指令返回值包括：STR指令的返回值；

所述特征信息修改单元具体用于：

将所述虚拟机系统中STR指令的返回值的前两个字节修改为非0x0040。

8.如权利要求2或3所述的装置，如果所述当前虚拟机系统中不同于真实系统运行环境的区别特征信息为虚拟系统中的注册表配置信息，则所述特征信息修改单元具体用于：

将所述虚拟机系统的注册表配置信息中包含的与虚拟机相关的关键词替换为预置的与虚拟机无关的字符串；其中，所述注册表配置信息包括注册表项和/或键值。

9.如权利要求2或3所述的装置，如果所述当前虚拟机系统中不同于真实系统运行环境的区别特征信息为虚拟系统中的虚拟系统中的代表性文件、进程信息、网卡信息或系统设备信息，则所述特征信息修改单元具体用于：

将所述代表性文件路径、进程信息、网卡信息或系统设备信息的取值中包含的与虚拟机相关的关键词删除或修改为与虚拟机无关的字符串。

10.如权利要求2或3所述的装置，如果所述当前虚拟机系统中不同于真实系统运行环境的区别特征信息为虚拟系统中的MAC地址，则所述特征信息修改单元具体用于：

将所述虚拟机系统中的MAC地址的前缀修改为非00-05-69，并且非00-0C-29，并且非00-50-56。

11.如权利要求2或3所述的装置，如果所述当前虚拟机系统中不同于真实系统运行环境的区别特征信息为特定程序在虚拟系统与真实系统中的运行时间差值，则所述特征信息修改单元具体用于：

将在虚拟机系统中运行某检测程序时返回的时间值的取值修改为预置的固定值，所述固定值根据检测程序在真实系统中运行时所耗费的时间来确定。