Оффлайн
- Регистрация
- 12.05.16
- Сообщения
- 1.927
- Реакции
- 523
- Репутация
- 0
И снова здравствуйте, уважаемые пользователи bdfclub.com!
Сегодня вы научитесь вместе со мной устанавливать\настраивать не палящуюся виртуалку на *nix системах. Приступаем:
Не малоизвестный ВекторТ13 однажды рассказал о скрипте, который позволяет менять синтетические параметры виртуальной машинки на более менее реальные.
Этот скрипт хорош благодаря своей простоте, да еще и работате через "форточку". А как же быть тем интузиастам, гикам, хз как еще их назвать, которые сидят на линуксоидах и которые то же хотят иметь на вооружении подобный скрипт.
Так вот он есть, звать его AntiVMDetection.
Делать все буду на Ubuntu.
Гоу знакомиться -->
1. Скачиваем необходимые программы и пакеты:
1) sudo apt-get install acpidump
2) sudo apt-get install libcdio-utils
3) sudo apt-get install python-dmidecode
4) sudo apt-get install git
5) git clone
6) cd antivmdetection --(переходим непосредственно в папку АнтиДетекта)
7) echo "retro" > user.lst --(создаем файл с именем пользователя ВМ; имя можете придумывайте сами)
8) echo "snuff" > computer.lst --(аналогично)
Скачиваем
Терминал не закрываем
2. Создаем Вирт.Машину и настраиваем ее:
Для меня эталон:
Windows 7 x64
2048 Mb RAM
256 Mb Video с включенной функцией акселерации 3D
120 Gb на виртуальном диске
4 процессора
Из настроек:
System - Motherboard:
- Chipset - ICH9
- Hardware Clock in UTC Time --включить
Важно:
System - Acceleration - Paravirtualization Interface - None --(хотя в коробке от 5.1 можно оставить значение по умолчанию, но все же ставьте none)
3. Запускаем antivmdetect.py:
sudo python2.7 antivmdetect.py
В итоге в папке "antivmdetection" появились три файла *.sh , *.ps1, DSDT*.bin --(вместо звездочки может быть разное значение, в моем случае это TobefilledbyO.E.M.)
Важно: открываем ваш файл *.sh , ищем строчку VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVersion и если у него значение цельночисловое (у меня 2408), то меняем его,например,на Ver.2408 (обязательно с точкой).
Далее исполняем файл *.sh (вместо звездочки естественно ваше значение):
bash *.sh "имя_виртмашины_без_ковычек"
После этого запускаем свою вирт.машину, если ошибок нет,то устанавливаем винду, если ошибки есть, то решаем их самостоятельно или задаем вопросы тут. В основном запускается с первого раза.
4. Вырезаем аппендиксы Vbox
После установки винды переправляем нашу папку antivmdetection из хоста в вирт.тачку на диск С:/ (при помощи файлообменников, установкой общих папок, VK...) и переходим к операции.
Итак, на установленной системе отключаем лишние службы:
1) Вырубаем Windows Defender
2) Вырубаем Windows Update
3) Вырубаем ASLR:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management] --на последнем пункте правой кнопкой мыши - New - DWORD - набираем MoveImages - ставим значение 00000000
4) Вырубаем DEP :
Командная строка от имени админа - пишем bcdedit.exe /set {current} nx AlwaysOff
Теперь запускаем PowerShell (пуск-стандартные-powershell) от имени админа:
1) Пишем Set-ExecutionPolicy Unrestricted - жмем enter - соглашаемся на изменение прав
2) Далее пишем cd C:/antivmdetection - жмем enter
3) И наконец пишем .\*.ps1 (опять же вместо звездочки название вашего .ps1 файла)
4) Как только начнут вылазить окна по удалению файлов, можете закрывать PowerShell
Усе, на этом вы невье*ически прекрасны
Вы наверняка заметли, что данный Супер-пупер антидетект грубо говоря клонирует вашу систему и вклеивает её в виртуальную машину, но все значения можно легко изменить, и в .sh, и в .ps1.
Этот скрипт скрывает все важные моменты, которыми светит виртуалка, но есть еще одна хрень, над которой я советую заморочиться. Речь идет о том, что виртуальные устройства, пусть и не все, имеют ID вмваер. Есть ПО, специализирующееся на смене данных id. Тестите, задавайте вопросы, всегда буду рад на них ответить.
Сегодня вы научитесь вместе со мной устанавливать\настраивать не палящуюся виртуалку на *nix системах. Приступаем:
Не малоизвестный ВекторТ13 однажды рассказал о скрипте, который позволяет менять синтетические параметры виртуальной машинки на более менее реальные.
Этот скрипт хорош благодаря своей простоте, да еще и работате через "форточку". А как же быть тем интузиастам, гикам, хз как еще их назвать, которые сидят на линуксоидах и которые то же хотят иметь на вооружении подобный скрипт.
Так вот он есть, звать его AntiVMDetection.
Делать все буду на Ubuntu.
Гоу знакомиться -->
1. Скачиваем необходимые программы и пакеты:
1) sudo apt-get install acpidump
2) sudo apt-get install libcdio-utils
3) sudo apt-get install python-dmidecode
4) sudo apt-get install git
5) git clone
You must be registered for see links
--(Клонируем наш АнтиДетект с ГитХаба)6) cd antivmdetection --(переходим непосредственно в папку АнтиДетекта)
7) echo "retro" > user.lst --(создаем файл с именем пользователя ВМ; имя можете придумывайте сами)
8) echo "snuff" > computer.lst --(аналогично)
Скачиваем
You must be registered for see links
и
You must be registered for see links
, разархивируем их и кидаем в папку antivmdetectionТерминал не закрываем
2. Создаем Вирт.Машину и настраиваем ее:
Для меня эталон:
Windows 7 x64
2048 Mb RAM
256 Mb Video с включенной функцией акселерации 3D
120 Gb на виртуальном диске
4 процессора
Из настроек:
System - Motherboard:
- Chipset - ICH9
- Hardware Clock in UTC Time --включить
Важно:
System - Acceleration - Paravirtualization Interface - None --(хотя в коробке от 5.1 можно оставить значение по умолчанию, но все же ставьте none)
3. Запускаем antivmdetect.py:
sudo python2.7 antivmdetect.py
В итоге в папке "antivmdetection" появились три файла *.sh , *.ps1, DSDT*.bin --(вместо звездочки может быть разное значение, в моем случае это TobefilledbyO.E.M.)
Важно: открываем ваш файл *.sh , ищем строчку VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVersion и если у него значение цельночисловое (у меня 2408), то меняем его,например,на Ver.2408 (обязательно с точкой).
Далее исполняем файл *.sh (вместо звездочки естественно ваше значение):
bash *.sh "имя_виртмашины_без_ковычек"
После этого запускаем свою вирт.машину, если ошибок нет,то устанавливаем винду, если ошибки есть, то решаем их самостоятельно или задаем вопросы тут. В основном запускается с первого раза.
4. Вырезаем аппендиксы Vbox
После установки винды переправляем нашу папку antivmdetection из хоста в вирт.тачку на диск С:/ (при помощи файлообменников, установкой общих папок, VK...) и переходим к операции.
Итак, на установленной системе отключаем лишние службы:
1) Вырубаем Windows Defender
2) Вырубаем Windows Update
3) Вырубаем ASLR:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management] --на последнем пункте правой кнопкой мыши - New - DWORD - набираем MoveImages - ставим значение 00000000
4) Вырубаем DEP :
Командная строка от имени админа - пишем bcdedit.exe /set {current} nx AlwaysOff
Теперь запускаем PowerShell (пуск-стандартные-powershell) от имени админа:
1) Пишем Set-ExecutionPolicy Unrestricted - жмем enter - соглашаемся на изменение прав
2) Далее пишем cd C:/antivmdetection - жмем enter
3) И наконец пишем .\*.ps1 (опять же вместо звездочки название вашего .ps1 файла)
4) Как только начнут вылазить окна по удалению файлов, можете закрывать PowerShell
Усе, на этом вы невье*ически прекрасны
You must be registered for see images attach
Вы наверняка заметли, что данный Супер-пупер антидетект грубо говоря клонирует вашу систему и вклеивает её в виртуальную машину, но все значения можно легко изменить, и в .sh, и в .ps1.
Этот скрипт скрывает все важные моменты, которыми светит виртуалка, но есть еще одна хрень, над которой я советую заморочиться. Речь идет о том, что виртуальные устройства, пусть и не все, имеют ID вмваер. Есть ПО, специализирующееся на смене данных id. Тестите, задавайте вопросы, всегда буду рад на них ответить.
Оффлайн
- Регистрация
- 14.10.17
- Сообщения
- 236
- Реакции
- 63
- Репутация
- 84
На сколько сейчас актуально или оаботоспособна данная тема? Т13 орет что скоро новую виртуалку даст с антидетектом если тс будет возможность также расписать сделай за больше человеческое срасибо
А где можно найти творчество "немалоизвестного" векторат13? Не хочу никого задеть, просто реально кроме вашего форума нигде он не упоминается, а "уточка" не выдала никакой информации об этом персонаже. Сайт какой то есть у него или там бложик?
Оффлайн
prad
.
- Регистрация
- 29.03.17
- Сообщения
- 594
- Реакции
- 452
- Репутация
- 0
Скрытый контент для пользователей WarTech.
спасибо. сейчас ознакомлюсь. может мои выводы преждевременны и там реально что то годное.
нет. мои выводы не преждевременны. что простите?! линукс минт? 
Оффлайн
prad
.
- Регистрация
- 29.03.17
- Сообщения
- 594
- Реакции
- 452
- Репутация
- 0
Я вообще если честно не понял, причем тут вы вспомнили векторат13нет. мои выводы не преждевременны. что простите?! линукс минт?
тема же про какой то "антидетект от вектора" я правильно понимаю? вполне логично в ней его обсуждать на мой взгляд. просто мне уже несколько человек с таким удивлением написало "как?! ты не знаешь вектора?!" что мне даже как то неловко стало, неужели я пропустил какое то значимое событие в мире сетевой безопасности.
а что по факту? сайт с продажей флешки на линукс минт. видимо векторт13 не в курсе что:
1. такие системы принято собирать на прочных ядрах. почему он выбрал десктоп минт с обычным ядром?
2. такие системы принято собирать на дистрибутивах с патчем для cryptsetup, который позволяет уничтожать key slots (nuke патч от кали).
3. персональный даблвпн - это какой? от векторат13? в мире есть только один провайдер приватных сеток не ведущий логов которому можно доверять и это явно не вектор.
4. доставка флешки почтой россии? это какая то особенная шутка кухонных экспертов которую нам дарксайдовцам не понять? вы реально думаете что он эксперт по анонимности?!
5. почему у него про флешку сандиск расписано больше чем про архитектуру его системы? он так тщательно охраняет свои "ноу хау" и "авторские разработки"? или там просто нечего расписывать?
И самый главный вопрос - на кого расчитано это предложение? На ддосеров? Кардеров? Но у них достаточно времени и знаний чтобы сделать такой же продукт самостоятельно. На торговцев оружием или наркотиками? Ну это смех же ребят. Ну просто смехатура
Оффлайн
prad
.
- Регистрация
- 29.03.17
- Сообщения
- 594
- Реакции
- 452
- Репутация
- 0
Так и есть. Вектора в принципе можно назвать в топ 5 безопасников руукррбнета. Ну и его бесплатный антидетект - вполне на уровне.
Не воспримите мой коммент как некую "защиту" вектора, но там кроме флешек есть не мало чего. Минт выбран как юзер-френдли система, опять же ИМХО. Настоящих мотивов вектора нам не узнать)
Скорее на бонусхантеров, но я знаю не мало успешных кардеров, кто использует его систему антидетекта. А учитывая последние новости(прорисовка гпу и полный антик виртуалки) - и что это всё бесплатно, думается мне что аудитория у него крайне велика.И самый главный вопрос - на кого расчитано это предложение? На ддосеров? Кардеров? Но у них достаточно времени и знаний чтобы сделать такой же продукт самостоятельно. На торговцев оружием или наркотиками? Ну это смех же ребят. Ну просто смехатура
1. уже ответил.
2. это скорее для параноиков и дип-дип-дипвебщиков.
3. персональный, в контексте - личный, настроенный исключительно под цели конечного пользователя, но да, лично я бы вектору не доверил настройку личной цепи впн))
4.
без комментариев.5. Я предполагаю, потому что это самый высокомаржинальный продукт, который ему выгоднее всего продавать(клонируй+чуть корректируй + отправляй = профит)
как-то так.
спасибо за развернутый ответ. ну да, наверное ты прав. как говорил богдан титомир "пипл хавает". просто я всегда считал что такие системы покупают только для решения весьма рискованных тактических задач, где срока от 8 строгого режима и выше - и под такие задачи и делал продукт. а если ты не один из таких "badass motherfuckers" то зачем тебе флешка то вообще никак не допетрю. поставь любой линукс туда SelekTOR и Tor Browser прямо из "рыночка программ" pidgin с otr и ricochet - и хватит этого за глаза на том уровне рисков.Так и есть. Вектора в принципе можно назвать в топ 5 безопасников руукррбнета. Ну и его бесплатный антидетект - вполне на уровне.
Не воспримите мой коммент как некую "защиту" вектора, но там кроме флешек есть не мало чего. Минт выбран как юзер-френдли система, опять же ИМХО. Настоящих мотивов вектора нам не узнать)
Скорее на бонусхантеров, но я знаю не мало успешных кардеров, кто использует его систему антидетекта. А учитывая последние новости(прорисовка гпу и полный антик виртуалки) - и что это всё бесплатно, думается мне что аудитория у него крайне велика.
1. уже ответил.
2. это скорее для параноиков и дип-дип-дипвебщиков.
3. персональный, в контексте - личный, настроенный исключительно под цели конечного пользователя, но да, лично я бы вектору не доверил настройку личной цепи впн))
4.
5. Я предполагаю, потому что это самый высокомаржинальный продукт, который ему выгоднее всего продавать(клонируй+чуть корректируй + отправляй = профит)
как-то так.
Последнее редактирование:
Оффлайн
prad
.
- Регистрация
- 29.03.17
- Сообщения
- 594
- Реакции
- 452
- Репутация
- 0
Вектор сам позиционирует свои продукты не как инструменты "для нарушения закона", а как инструменты для обхода фроды всяких онлайн казино. Но как говорится и отверткой можно стены колупать)
Оффлайн
- Регистрация
- 14.10.17
- Сообщения
- 236
- Реакции
- 63
- Репутация
- 84
W
WarTech, уважаемый тоже не в обиду тут в основном темы для новичков кто только узнал и начинает двигаться в темную сторону и очень многим ужны наччальные и желательно бесплатные знания касательно вектора мне он интересен как человек который дает хоть скольконибуть рабочию антифрод систему и очеь подробно расказывает о том как это устроено и за безопасность у него есть чему поучиться
а вон даже как. а к чему эти "Невероятный уровень анонимности и безопасности в сети и профессиональный антидетект." и "Защита от криминалистического анализа"? Заманухи? Тут тогда не хватает слогана "Почувствуй себя киберпреступником!"
я понял уже да, что я неверно оценил его целевую аудиторию. действительно, не всем нужна "броня в 4 пальца" нет вопросов.
Оффлайн
prad
.
- Регистрация
- 29.03.17
- Сообщения
- 594
- Реакции
- 452
- Репутация
- 0
При всём при этом он ведет блог в ютубе и сам, под реальными данными выступает на конференциях ;-)а вон даже как. а к чему эти "Невероятный уровень анонимности и безопасности в сети и профессиональный антидетект." и "Защита от криминалистического анализа"? Заманухи? Тут тогда не хватает слогана "Почувствуй себя киберпреступником!"
"Защита от криминалистического анализа" - представленна крайне посредственная.
Почувствуй себя киберпреступником! - именно почувствуй, но не вздумай прикинуться
Оффлайн
- Регистрация
- 14.10.17
- Сообщения
- 236
- Реакции
- 63
- Репутация
- 84
W
WarTech, броня в 4 пачки маргарина очень нужна но чуть опзже когда появится матвозможность нужда и главное понимание что и зачем например твоя сетевая безопасность его антик и еще чейто обнал уже похоже на серьезный подход к делу
верно. дорога ложка к обеду.
Оффлайн
- Регистрация
- 07.02.18
- Сообщения
- 1
- Реакции
- 0
- Репутация
- 3
Привет. Спасибо за такую полезную тему, но кое-что у меня не выходит. Был бы благодарен за совет)
Если в строчке VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVersion значние 'A10', а терминал не пропускает команду bash *.sh "имя_виртмашины_без_ковычек" без замены. Пишет мол
DellSystemVostro3450.sh: строка 82: [: ==: ожидается использование унарного оператора
DellSystemVostro3450.sh: строка 86: [: слишком много аргументов
Что делать?
Если в строчке VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVersion значние 'A10', а терминал не пропускает команду bash *.sh "имя_виртмашины_без_ковычек" без замены. Пишет мол
DellSystemVostro3450.sh: строка 82: [: ==: ожидается использование унарного оператора
DellSystemVostro3450.sh: строка 86: [: слишком много аргументов
Что делать?
Подскажите пожалуйста. Все делаю четко по гайду и все хорошо, но т.к. у меня DSDT файл больше 64кб не запускает виртуальную машину вообще. Пытался решение проблемы в гугле, но там по этому поводу вообще почти ничего нет. Пытался скачать уже готовые DSDT файлы, но пишет, что архитектура не подходит. В общем что делать не знаю даже.
-
В данный момент Ваши права ограничены!
Авторизуйтесь или зарегистрируйтесь, чтобы стать полноценным участником форума.