Оффлайн
- Регистрация
- 12.05.16
- Сообщения
- 1.927
- Реакции
- 523
- Репутация
- 0
Известно, что при разработке вирусов, а также в принципе любого программного обеспечения, их создатели проверяют их на виртуальной машине. В случае если виртуальная машина их распознала, ПО может перестать работать, либо вообще удаляется. Сейчас я опишу способ обхода детектирования программами в VMWare.
Для начала работы вам потребуется заново установить систему. Вносить изменения в уже работающую систему невозможно. В настройках при установке необходимо выключить процесс обмена данными с хостом вашей операционной системы. Такой пункт может называться «Isolation».
Затем обнаруживаем конфиг – файл VMX, который создается в процессе создания VMWare и добавляем определенные строки:
Такие специально введенные опции позволят предотвратить обнаружение виртуальных машин через отслеживание счетчиков либо адресного пространства.
Обратите внимание, если вам предложат опцию быстрой установки, ни в коем случае не соглашайтесь. Более того, откажитесь от установки VMWare Tools.
Сохраняем измененный файл и продолжаем процедуру установки операционной системы дальше как обычно.
Некоторые программы, которые не любят среду виртуальную, могут искать, например, контроллеры дисков.
Чтобы избежать этого делаем следующую процедуру: идем по адресу: HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum
Этот файл необходимо изменить, удалив из его параметров Ven, Ven и VMware.
Теперь можете провести эксперимент и запустить свой объект. Даю гарантию – в 70% вышеописанной процедуры будет достаточно, чтобы пройти проверку на окружение.
Кстати, что касается изменяемого файла ENUM – шаги изменения параметров необходимо совершать при каждом запуске компьютера.
Конечно, вышеописанная процедура – вовсе не панацея. Существует еще несколько методов детектирования вашей виртуальной системе путем проверки МАС адресов, опроса конфигурации вашей операционной системы, другими трюками. В таких случаях мы рекомендуем прибегнуть к помощи Pafish.
Такой метод позволит обхитрить виртуальную среду VMWare в работе с большинством программного обеспечения, но не все. Есть пароноидальные программы и системы антифрода, которые всё равно продолжат обнаруживать вашу виртуальную машину.
На самом деле - для практически полного антидетекта - нужно очень и очень много чего еще перелопатить. Например перепрошить биос, перебить бОльшую половину реестра. Но я вас немного успокою, в сети есть готовые патчи для антидетекта VmWare. Я пользуюсь вот этим:
Для начала работы вам потребуется заново установить систему. Вносить изменения в уже работающую систему невозможно. В настройках при установке необходимо выключить процесс обмена данными с хостом вашей операционной системы. Такой пункт может называться «Isolation».
Затем обнаруживаем конфиг – файл VMX, который создается в процессе создания VMWare и добавляем определенные строки:
Код:
isolation.tools.getPtrLocation.disable = «TRUE»
isolation.tools.setPtrLocation.disable = «TRUE»
isolation.tools.setVersion.disable = «TRUE»
isolation.tools.getVersion.disable = «TRUE»
monitor_control.disable_directexec = «TRUE»
monitor_control.disable_chksimd = «TRUE»
monitor_control.disable_ntreloc = «TRUE»
monitor_control.disable_selfmod = «TRUE»
monitor_control.disable_reloc = «TRUE»
monitor_control.disable_btinout = «TRUE»
monitor_control.disable_btmemspace = «TRUE»
monitor_control.disable_btpriv = «TRUE»
monitor_control.disable_btseg = «TRUE»Такие специально введенные опции позволят предотвратить обнаружение виртуальных машин через отслеживание счетчиков либо адресного пространства.
Обратите внимание, если вам предложат опцию быстрой установки, ни в коем случае не соглашайтесь. Более того, откажитесь от установки VMWare Tools.
Сохраняем измененный файл и продолжаем процедуру установки операционной системы дальше как обычно.
Некоторые программы, которые не любят среду виртуальную, могут искать, например, контроллеры дисков.
Чтобы избежать этого делаем следующую процедуру: идем по адресу: HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum
You must be registered for see images attach
Этот файл необходимо изменить, удалив из его параметров Ven, Ven и VMware.
Теперь можете провести эксперимент и запустить свой объект. Даю гарантию – в 70% вышеописанной процедуры будет достаточно, чтобы пройти проверку на окружение.
Кстати, что касается изменяемого файла ENUM – шаги изменения параметров необходимо совершать при каждом запуске компьютера.
Конечно, вышеописанная процедура – вовсе не панацея. Существует еще несколько методов детектирования вашей виртуальной системе путем проверки МАС адресов, опроса конфигурации вашей операционной системы, другими трюками. В таких случаях мы рекомендуем прибегнуть к помощи Pafish.
You must be registered for see images attach
Такой метод позволит обхитрить виртуальную среду VMWare в работе с большинством программного обеспечения, но не все. Есть пароноидальные программы и системы антифрода, которые всё равно продолжат обнаруживать вашу виртуальную машину.
На самом деле - для практически полного антидетекта - нужно очень и очень много чего еще перелопатить. Например перепрошить биос, перебить бОльшую половину реестра. Но я вас немного успокою, в сети есть готовые патчи для антидетекта VmWare. Я пользуюсь вот этим:
You must be registered for see links
Оффлайн
- Регистрация
- 23.10.17
- Сообщения
- 50
- Реакции
- 13
- Репутация
- 29
Данный патч с видеокарту вопрос решает?
Есть сайты позволяющие определить на сколько палиться виртуальная машина?
Есть сайты позволяющие определить на сколько палиться виртуальная машина?