-
I'm in ur VM.
Slayer: ESET, Kaspersky und Konsorten (generell alle AVs, die etwas auf sich halten) haben ebenfalls Emulatoren integriert; natürlich unterscheiden sich diese erheblich.
Zum technischen Hintergrund: Sleeü und GetTickCount werden von Emulatoren gerne gehookt (intelligenterweise Ring 0, muss aber nicht der Fall sein).
Sleep, weil man beim Emulieren (sprich: Scannen) Verzögerungen vermeiden will; GetTickCount, da die API selbst schon als Anti-Emulator verwendet wurde (Funktionsweise wie RDTSC).
Die Methode ist praktisch eine Erweiterung der RDTSC/GetTickCount-Methode, beide sind schon _etwas_ älter. Da man Sleep selbst aufruft, kennt man die ungefähre Differenz und kann diese abfragen. Der Rest erklärt sich von selbst.
-
Stichworte
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- Anhänge hochladen: Nein
- Beiträge bearbeiten: Nein
-
Foren-Regeln