Operation Blackout 2025: Phantom Check

Talion 怀疑威胁行为体进行了反虚拟化检测以规避在沙箱环境中的检测。您的任务是分析事件日志，并识别出用于虚拟化检测的具体技术。Byte Doctor 需要获取攻击者为执行这些检查而操作的注册表项或进程的证据。

任务1

攻击者使用了哪个WMI类来获取虚拟化检测所需的型号和制造商信息？（_*********）

FLAG：Win32_ComputerSystem

任务2

攻击者执行了哪个WMI查询来获取机器的当前温度值？（****** * **** _****************）

FLAG：``

任务3

攻击者加载了用于检测虚拟化的PowerShell脚本。该脚本的函数名称是什么？（****-**）

FLAG：Check-VM

任务4

上述脚本查询了哪个注册表键来获取虚拟化检测所需的服务详情？（:*******）

FLAG：HKLM:\SYSTEM\ControlSet001\Services

任务5

该虚拟机检测脚本也能识别VirtualBox。它通过比较哪些进程来判断系统是否正在运行VirtualBox？（********., *****.）

FLAG：vboxservice.exe, vboxtray.exe

任务6

该虚拟机检测脚本会以“This is a”为前缀打印检测结果。脚本检测到了哪两种虚拟化平台？（*****-*, ******）

FLAG：Hyper-V, Vmware