成都边锋 云端虚拟化工具 系统驱动层 原理初窥

云端软件,轻虚拟化工具,提供了注册表级别、文件级别的虚拟化功能。

原来:成都云端网络有限公司
现在:杭州边锋网络技术有限公司 
域名:http://www.yunduan.cn/
我收藏有以下版本:http://pan.baidu.com/s/1sjQ3F0D 
  CloudSetup1.0beta4_0903.exe
  CloudSetup2.0beta_0117.exe
  CloudSetup3.4.0428.3710(含网盘).exe
  CloudSetup3.4.0514.3734.exe
  云端官网_更新日志120523.htm

自己又有许多软件是用它“绿化”的,所以依赖性很强。对于该软件被放弃更新了,很是遗憾。

 

对其技术原理感到好奇,之前官网虽然有过简单介绍,但是只是概念性的;

机缘巧合,EverEdit更新到最新版本后,加入了VMProtect软件保护技术后,和云端有冲突,会被检测到A debugger has been found running in your system.Please, unload it from memory and restart your program.在思考怎么通过不卸载云端也能和它共存时,通过一个软件(AntiSpy 一款手工杀毒辅助工具)得以窥探它的部分原理,突然有种,“啊哈,原来如此”的感觉。

 

猜测云端的关键原理有以下几点:

·通过SSDT系统钩子来实现“注册表”的虚拟。

·通过 File过滤驱动 来实现“文件”相关的虚拟。

·通过系统回调 来感知被捕获后的程序都启动了哪些进程、线程,然后在隐藏程序时以便知道要结束哪些进程。

 

钩子相关的参考资料:

·打造自己的HOOK引擎 之一 --- SSDT HOOK引擎

 

EverEdit不完美共存解决方案:

·通过 AntiSpy 工具将SSDT钩子全部“恢复”后,即可正常打开EverEdit
初步测试,云端激活某些软件后能正常启动,但是注册表丢失;隐藏软件时,也没有正常感知到要强制结束的进程。

posted @ 2015-10-07 01:17  Asion Tang  阅读(786)  评论(0编辑  收藏  举报