В общем, хз, где это запостить, в новичках написал на всякий случай.

Как можно сменить оборудование, есть ли какие-то паблик патчи (кроме пресловутой древней заплатки под линукс)? Везде, где ни погуглишь, пишут, что нужно "использовать специальное ПО". А какое - хз. * покупать за 50 баксов как-то не хочется. Самому копаться пока что лень

Естественно, я не претендую на то, чтобы здесь выложили ссылку на какой-то мегаволшебный патч, но хотя бы ссылки на какие-то полезные ресурсы\статьи\софт по антидетекту хотелось бы увидеть.

И как вообще палят вмварю, кроме способов, описанных здесь: http://www.inattack.ru/article/439.html ?

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
И как вообще палят вмварю, кроме способов, описанных здесь

вот есть дллка от одной проги. написана на C# но есть нативный метод Protection.IsInsideVMM()
RVA = 0x00005960 VA = 17E05960
вроде если нет вм то должна возвращать 0. надо погонять под варей и не под варей, там есть и всем известный бэкдор и какие то опкоды левые, возможно что и детект других вм, в общем надо разбираться.
www.sendspace.com/file/pn77io
с тебя описание детектов и их обход

-----
zzz

| Сообщение посчитали полезным:

Из этого метода вызывается несколько функций проверки:
VA = 17E0B650 -> метод "RedPill"
http://invisiblethings.org/papers/redpill.html
VA = 17E0B790 -> бэкдор VMWare
VA = 17E0B320 -> бэкдор Virtual PC
VA = 17E0B830 -> вариант "RedPill" или "Scoopy Doo", но по-сложнее
http://www.trapkit.de/research/vmm/scoopyng/index.html
http://www.offensivecomputing.net/files/active/0/vm.pdf
VA = 17E0BA40 -> проверка значения IP или MAC, насколько я понимаю (используется GetAdaptersInfo и рассматриваются разные значения трех байт)

add:
-=Hellsing=- пишет:
-->Побег из-под VM Ware<--
в конце урла буквы l не хватает
http://www.insidepro.com/kk/101/101r.shtml

| Сообщение посчитали полезным:

Может чуть не в тему, но всё же, вдруг пригодиться-->Побег из-под VM Ware<--
статья от Криса.

add:
_ruzmaz_ пишет:
в конце урла буквы l не хватает
Спасибо =) Исправил)

| Сообщение посчитали полезным:

А что это за такой всем известный бэкдор в вмваре?
з.ы.
Гдето слышал, что ещё детектят по не стандартным прерываниям (IRQ).

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator пишет:
А что это за такой всем известный бэкдор в вмваре?
способ взаимодействия guest os и vmware - порт ввода/вывода 5658h
совсем недавно обсуждали здесь
http://exelab.ru/f/action=vthread&topic=14460&forum=13&pag e=0#18 (пост #18 и далее)

| Сообщение посчитали полезным:

Метод на использовании команды STR (Store Task Register)
www.s21sec.com/descargas/vmware-eng.pdf

Вроде выше не пробегал...

И тут 3 метода для разных виртуалок
my.opera.com/jaelanicu/blog/just-another-vm-detection-was-vm-detection-combo

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Спасибо всем, жду ещё советов и ссылок. У меня появился вопрос. Это только у меня при попытке делать форвардинг портов (через которые лезут трояны) через NAT варя выкидывает службу VMware NAT и не дает ей запускаться?
Попробовал форвардить 135-й порт - варя тут же остановила службу. Порт со случайным номером прокатывает - ничего не останавливается. Это можно как-нибудь пофиксить?

---------------- вопрос не актуален, я понял ошибку =))

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным: