Читайте критика принимается

71fb_26.11.2011_EXELAB.rU.tgz - VBOX_DETECTED.txt

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: MasterSoft, s0l, r_e, Gideon Vi, ==DJ==[ZLO], _ruzmaz_, Dart Raiden, yagello, Dart Sergius, gsx3000, obfuskator

ClockMan
Ну на статью не тянет однозначно, максимум на пост
Про варю и вмпрот тоже нислова... А мог бы написать статью, ведь шаришь же

| Сообщение посчитали полезным:

а что насчет wmi запросов, они тоже палят виртуалку

| Сообщение посчитали полезным:

способов задетектить виртуалку тьма. но по-крайней мере терь меньше тем по типу "винлиценз и виртуалка" будет создаваться, поэтому плюсую)

| Сообщение посчитали полезным:

На этом ресурсе в паблике, полезная информация практически перестала появляться. Все утонуло в флейме, оффтопе и членомерстве, поэтому плюсую

| Сообщение посчитали полезным:

как-то много, но всё равно плюсану, т.к. глубоко не копал их сам

| Сообщение посчитали полезным:

SReg пишет:
Про варю и вмпрот тоже нислова...
Про варю и вмпрот уже 10 раз все доступно в паблике.
SReg пишет:
А мог бы написать статью, ведь шаришь же
Ну вот и напиши, собери всю инфу по форуму и будет замечательная статья, лучше сразу на нашу вики! Что-что? Времени нет? А, ну ладно...

s0l пишет:
Все утонуло в флейме, оффтопе и членомерстве, поэтому плюсую
За последние три года выложено очень много хороших инструментов (даже с исходниками) и статей. Может быть просто Вам интересно что-то другое? Чтобы не было лишнего "оффтопа и флейма" предлагаю перейти в ЛС, если хотите обсудить. Развитие сайта в моих интересах.

| Сообщение посчитали полезным:

Кто кодил код под железо знает насколько кривые эти вм. Кодя апики, таймеры, dma etc. под варей это великогеморное занятие. Она при записи в порт значения, которое не может обработать вообще отваливается с фейлом. У меня в связи с этим не хватило терпения и я не решил задачу. Идея заключалась в записи по произвольному адресу памяти через ISA DMA. Сие под варей не реально закодить. Реальная система при не корректном обращении с ней валится в ребут тутже. Это конечно можно использовать, но по сути любая работа с железом даст детект. Думаю хватит обычного пита.

| Сообщение посчитали полезным:

SReg пишет:
и вмпрот тоже нислова
Cкажем так там применена "особая" технология и я думал туда её вписать но потом перехотелось тут обитают создатели протов которые могут применить эту технику для своих нужд единственный вопрос к дермалолагу где он раздобыл этот трюк

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan кому надо отреверсят я думал вполне можно было бы выложить.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Все вм обычно детектятся по гостевой окружающей среде: реестр, устройства, процессы.
VMProtect не исключение. Куда сложнее вм "спрятать".

а вообще имхо не нужно выкладывать готовые решения, пусть разрабы протов тоже потрудятся,
тем более исходники vbox есть.

| Сообщение посчитали полезным:

vden пишет:
VMProtect не исключение.
Не соглашусь. В вмпроте трюки помощнее есть. В том числе универсальные под многие мне известные ВМ.

| Сообщение посчитали полезным:

int пишет:
В вмпроте трюки помощнее есть. В том числе универсальные под многие мне известные ВМ.
Не спорю. Последний сэмпл с vmp давно видел. Сейчас если не ошибаюсь добавили и детект Sandboxie.

| Сообщение посчитали полезным:

Посмотрел один файл накрытый фимкой --> #4 <-- так там для детекта парсится другая ветка реестра HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VBOX__ просто переименовать VBOX__ на другое значение

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: