成都边锋 云端虚拟化工具 系统驱动层 原理初窥
云端软件,轻虚拟化工具,提供了注册表级别、文件级别的虚拟化功能。
原来:成都云端网络有限公司
现在:杭州边锋网络技术有限公司
域名:http://www.yunduan.cn/
我收藏有以下版本:http://pan.baidu.com/s/1sjQ3F0D
CloudSetup1.0beta4_0903.exe
CloudSetup2.0beta_0117.exe
CloudSetup3.4.0428.3710(含网盘).exe
CloudSetup3.4.0514.3734.exe
云端官网_更新日志120523.htm
自己又有许多软件是用它“绿化”的,所以依赖性很强。对于该软件被放弃更新了,很是遗憾。
对其技术原理感到好奇,之前官网虽然有过简单介绍,但是只是概念性的;
机缘巧合,EverEdit更新到最新版本后,加入了VMProtect软件保护技术后,和云端有冲突,会被检测到A debugger has been found running in your system.Please, unload it from memory and restart your program.在思考怎么通过不卸载云端也能和它共存时,通过一个软件(AntiSpy 一款手工杀毒辅助工具)得以窥探它的部分原理,突然有种,“啊哈,原来如此”的感觉。
猜测云端的关键原理有以下几点:
·通过SSDT系统钩子来实现“注册表”的虚拟。
·通过 File过滤驱动 来实现“文件”相关的虚拟。
·通过系统回调 来感知被捕获后的程序都启动了哪些进程、线程,然后在隐藏程序时以便知道要结束哪些进程。
钩子相关的参考资料:
·打造自己的HOOK引擎 之一 --- SSDT HOOK引擎
与EverEdit不完美共存解决方案:
·通过 AntiSpy 工具将SSDT钩子全部“恢复”后,即可正常打开EverEdit!
初步测试,云端激活某些软件后能正常启动,但是注册表丢失;隐藏软件时,也没有正常感知到要强制结束的进程。