Сейчас на форуме: asfa, Rio (+6 невидимых)

 eXeL@B —› Вопросы новичков —› Как скрыть от программы запуск в среде VMware?
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 21 декабря 2012 23:39 · Поправил: stepsid
· Личное сообщение · #1

всех приветствую!

поискал решение на форуме, явного ответа не нашел.
Вопрос: как спрятать от программы то, что она запускается в виртуальной среде VMware.
Прошу Вас делиться положительным или отрицательным опытом.

Итак, что мною было сделано в процессе поиска решения.
1. Нашел два документа, объясняющих как обнаружить запуск программы под виртуальной машиной
а. Mechanisms to determine if software is running in a VMware virtual machine
б. VMDetection

2. Добавил параметры в конфигурационный файл .vmx
смотри ниже.

После перезагрузки VM, использовал утилиты
утилита 1, утилита 2 для обнаружения запуска в виртуальной среде. Обе утилиты показали отсутсвие виртуальной среды.
2. Модифицировал serial number vmware SMBIOS, убрав упоминание о Vmware (Vmware-, VMW)
3. Удалял VMTools.
4. Мониторил с помощью Procmon активность программы на предмет поиска строки vmware в запросах к файловой системе и реестру. Не нашел явных запросов.
5. Отключал у процессора поддержку виртуализации, что бы исключить проверку по CPUID hypervisor present bit

Следующий этап решения проблеммы - запуск программы в среде отладчика, поиск и блокировка проверяющего кода.
Судя по всему, задачка не совсем тривиальная. Разработчик программы снабдил свое творение не только защитой от запуска в виртуальной среде,
но и защитой от запуска в среде отладчика + частично зашифровал исполняемый код.
Честно говоря, последный раз отладчиком пользовался лет 18 назад.
Но сейчас посмотрю что и как, почитаю статьи на тему - думаю разберусь.
И если у кого-то есть опробированное решение разворачивания комплекса отладки дебагера+дизассемблера, работающего в стелс режиме, на виртуальное машине -
буду рад услышать совет. Желательно с сылками на установочные дистрибутивы и на "покурить мануалы"
Спасибо.

Да поможет нам 0xCD03h и 0x90h.

PS:
привожу список настроек vmware ws9, с которыми гостевая система проходит большинство проверок на наличие виртуальной среды.
Ссылка на неплохое описание параметров в .vmx файла
Code:
  1. #основные параметры
  2. monitor_control.virtual_rdtsc = "FALSE"  
  3. monitor_control.restrict_backdoor = "TRUE"
  4. isolation.tools.getPtrLocation.disable = "TRUE"
  5. isolation.tools.setPtrLocation.disable = "TRUE"
  6. isolation.tools.setVersion.disable = "TRUE"
  7. isolation.tools.getVersion.disable = "TRUE"
  8. monitor_control.disable_directexec = "TRUE" 
  9. monitor_control.disable_btinout = "TRUE"
  10. monitor_control.disable_btmemspace = "TRUE"
  11. monitor_control.disable_btpriv = "TRUE"
  12. monitor_control.disable_btseg = "TRUE"
  13. ## неактуальны для WS9, можно удалить
  14. #monitor_control.disable_chksimd = "TRUE"   
  15. #monitor_control.disable_ntreloc = "TRUE"   
  16. #monitor_control.disable_selfmod = "TRUE" 
  17. #monitor_control.disable_reloc = "TRUE"  
  18. #оборудование
  19. #CPU/маскирование CPUID
  20. featMask.vm.cpuid.family="val:15"
  21. featMask.vm.cpuid.model="val:3"
  22. featMask.vm.cpuid.stepping="val:4"
  23. #отключение Hypervisor_bit и настройка вложенной (nested) виртуализации для установки Hyper-V
  24. hypervisor.cpuid.v0 = "FALSE"
  25. hypervisor.cpuid.v1 = "FALSE"
  26. mce.enable = "TRUE"
  27. ##настройка nested виртуализации. можно отключить.
  28. vhv.enable = "TRUE"
  29. featMask.vm.hv.capable = "Min:1"
  30. vmGenCounter.enable = "FALSE"
  31. #сетевой адаптер
  32. ethernet0.addressType = "static"
  33. ##указать свой MAC
  34. ethernet0.Address = "ХХ:ХХ:ХХ:ХХ:ХХ:ХХ"   
  35. #отключение VMCI из списка оборудования гостевой системы.
  36. vmci.available = "FALSE"
  37. vmci0.present = "FALSE"
  38. #дополнительная изоляция гостевой системы
  39. guest.commands.enabled = "FALSE"
  40. RemoteDisplay.maxConnections = "1"
  41. tools.setInfo.sizeLimit = "1048576"
  42. isolation.device.connectable.disable = "TRUE"
  43. isolation.device.edit.disable = "TRUE"
  44. isolation.tools.copy.disable = "TRUE"
  45. isolation.tools.dnd.disable = "TRUE"
  46. isolation.tools.setGUIOptions.enable = "FALSE"
  47. isolation.tools.paste.disable = "TRUE"
  48. isolation.tools.hgfs.disable = "TRUE"
  49. isolation.tools.hgfsServerSet.disable = "TRUE"
  50. isolation.monitor.control.disable = "TRUE"
  51. isolation.tools.ghi.autologon.disable = "TRUE"
  52. isolation.bios.bbs.disable = "TRUE"
  53. isolation.tools.getCreds.disable = "TRUE"
  54. isolation.tools.ghi.launchmenu.change = "TRUE"
  55. isolation.tools.memSchedFakeSampleStats.disable       = "TRUE"
  56. isolation.tools.ghi.protocolhandler.info.disable = "TRUE"
  57. isolation.ghi.host.shellAction.disable = "TRUE"
  58. isolation.tools.dispTopoRequest.disable      = "TRUE"
  59. isolation.tools.trashFolderState.disable = "TRUE"
  60. isolation.tools.ghi.trayicon.disable = "TRUE"
  61. isolation.tools.unity.disable = "TRUE"
  62. isolation.tools.unityInterlockOperation.disable = "TRUE"
  63. isolation.tools.unity.taskbar.disable = "TRUE"
  64. isolation.tools.unityActive.disable = "TRUE"
  65. isolation.tools.unity.windowContents.disable = "TRUE"
  66. isolation.tools.unity.push.update.disable = "TRUE"
  67. isolation.tools.vmxDnDVersionGet.disable = "TRUE"
  68. isolation.tools.guestDnDVersionSet.disable = "TRUE"
  69. isolation.tools.diskShrink.disable = "TRUE"
  70. isolation.tools.diskWiper.disable = "TRUE"
  71. isolation.tools.autoInstall.disable = "TRUE"
  72. vmsafe.enable = "FALSE"
  73. isolation.tools.vixMessage.disable = "TRUE"
  74. tools.guestlib.enableHostInfo = "FALSE"
  75. sharedFolder0.present = "FALSE"
  76. sharedFolder1.present = "FALSE"
  77. #отключение неиспользуемого оборудования
  78. usb.generic.autoconnect = "FALSE"
  79. serial0.present = "FALSE"
  80. serialX.present = "FALSE"
  81. floppy0.present = "FALSE"
  82. floppyX.present = "FALSE"
  83. parallel0.present = "FALSE"
  84. parallelX.present = "FALSE"


Совет: Не должны быть установлено VMware Tools. Все неиспользуемое оборудование - отключайте.
Пример:
Code:
  1. pciBridge0.present = "TRUE"
  2. pciBridge4.present = "TRUE"
  3. pciBridge4.virtualDev = "pcieRootPort"
  4. pciBridge4.functions = "8"
  5. #pciBridge5.present = "TRUE"
  6. #pciBridge5.virtualDev = "pcieRootPort"
  7. #pciBridge5.functions = "8"
  8. #pciBridge6.present = "TRUE"
  9. #pciBridge6.virtualDev = "pcieRootPort"
  10. #pciBridge6.functions = "8"
  11. #pciBridge7.present = "TRUE"
  12. #pciBridge7.virtualDev = "pcieRootPort"
  13. #pciBridge7.functions = "8"
  14. pciBridge0.pciSlotNumber = "17"
  15. pciBridge4.pciSlotNumber = "21"
  16. #pciBridge5.pciSlotNumber = "22"
  17. #pciBridge6.pciSlotNumber = "23"
  18. #pciBridge7.pciSlotNumber = "24"


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 21 декабря 2012 23:51
· Личное сообщение · #2

Подозреваю что на программе висит vmp

-----
Nulla aetas ad discendum sera

Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 22 декабря 2012 00:06 · Поправил: stepsid
· Личное сообщение · #3

Flint Вы знаете, как определить по сигнатуре присутствие vmprotect в софте?
и есть ли шансы преодолеть защиту?

Добавлю важно замечание.
Исследуемая программа написана под .Net 4




Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 22 декабря 2012 01:04
· Личное сообщение · #4

VMProtect doesn’t support .NET executables and has a limited support of VB executables.

Имеет смысл выложить программу. Если написано на .net, то dedot, Dis# и GrayWolf в помощь. Тут все есть http://exelab.ru/f/action=vthread&forum=1&topic=16650

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: stepsid

Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 22 декабря 2012 01:29 · Поправил: stepsid
· Личное сообщение · #5

Flint
спасибо!

По поводу выкладывания программы.
Вряд ли кому-то захочется ковыряться с платным ботом к Diablo3.
Только если из чисто спортивного интереса



Ранг: 3.6 (гость)
Активность: 0=0
Статус: Участник

 Создано: 22 декабря 2012 10:25 · Поправил: Refcat
· Личное сообщение · #6

VMware_workstation_6.0.2-59824 + VMware_Anti-detect_patch_for_6_0_2-59824

Раньше люди Покер Рум на ней устанавливали. Не определял.




Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

 Создано: 22 декабря 2012 13:47 · Поправил: ARCHANGEL
· Личное сообщение · #7

Refcat
Приложили б вы ещё и ссылку на скачивание этой версии вари - было б вообще всё замечательно.

Added
--> Ссылка для скачивания <-- всего этого. То, что удалось с трудом найти. Перед запуском проверяйте на наличие малвари!, т.к. я не проверял.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: ==DJ==[ZLO]


Ранг: 74.4 (постоянный), 76thx
Активность: 0.050.1
Статус: Участник

 Создано: 22 декабря 2012 22:13 · Поправил: ==DJ==[ZLO]
· Личное сообщение · #8

Сам искал, сам нашел (тоже ошема долго живые ссылки) перепаковал в один комплект. Наработе короткий день, и не дали выложить.
зы.
Тоже не проверял , только на выходных ;)

Спасибо.



Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 23 декабря 2012 07:45
· Личное сообщение · #9

==DJ==[ZLO], уважаемый, как проверите сборку, может у Вас найдется желание + возможность проверить исследуемый софт?



Ранг: 3.6 (гость)
Активность: 0=0
Статус: Участник

 Создано: 23 декабря 2012 09:52 · Поправил: Refcat
· Личное сообщение · #10

ARCHANGEL пишет:
Refcat
Приложили б вы ещё и ссылку на скачивание этой версии вари - было б вообще всё замечательно.

Не знал куда залить, залил сюда:
VMware_workstation_6.0.2-59824 + VMware_Anti-detect_patch_for_6_0_2-59824

http://zalivalka.ru/25865
http://zalivalka.ru/25867

Для восстановления архива добавил 5%. На антидект Nod ругается.
Я сам пользовался всем этим, нечести нет.
Прошу без претензий, выложил как есть.



Ранг: 31.0 (посетитель), 70thx
Активность: 0.140
Статус: Участник

 Создано: 29 декабря 2012 20:21
· Личное сообщение · #11

stepsid
судя по всему фимкой накрыто, сейчас тоже столкнулся с этой проблемой, ищу варианты)



Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 07 июля 2013 16:02 · Поправил: stepsid
· Личное сообщение · #12

таки нашлось время "поплотнее" заняться темой "антидетекта среды виртуальной машины vmware".
за основу взял концепцию из документа 1.б в первом посте.
Идея реализации подсказана Moyshe (VMware_Anti-detect_patch) и kostya.kortchinsky (vmpatch.c).
На данный момент есть среда vmware (с 3d acceleration), с отсутствующей сигнатурой "vmware" на аппаратном и программном уровне. Что сделано:
- из bios-ов (системного и контроллеров (lsi scsi, svga, ethernet)) удалена сигнатура vmware;
- vendorID и product_name оборудования не содержат и не указывают на vmware.
- драйвер и библиотеки SVGA не содержат сигнатуру vmware.
- к настройкам .vmx из первого поста добавлены настройки, повышающие степень сокрытия обнаружения среды виртуальной машины vmware
Результат: все тесты, что мог найти в сети показывают "native machine" - ScoopyNG, VirtualMachineDetect (rdtsc окно крашится), VmDetect, CrashInVM (anti-rdtsc), virt-what (cygwin) и прочие...
А вот TNT D3 Bot определяет наличие виртуальной машины. Кто может посоветовать дополнительный интсрументарий/алгоритм тестирования, интересут вопрос о "временных отпечатках выполнения".




Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

 Создано: 07 июля 2013 16:54
· Личное сообщение · #13

stepsid
1. Red pill ?
2. LDT ?
фак бы составил конкретный по методам обнаружения, которые пофикшены. названия утилит ни о чем не говорят

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 07 июля 2013 21:59 · Поправил: stepsid
· Личное сообщение · #14

Вкратце по методам обнаружения. В моем случае vmware ws 9 x64.
Все что применялось для обнаружения до 2007 года, использующее особенности реакции виртуальной машины vmware на "ситуации", маскируется настройками vmware последних версий
А именно:
VERR/VERW (CrashInVM) - Not under VM
IDT, LDT, GDT, STR, "get version", "get memory size" - (ScoopyNG) - Native OS
"vmware emulation mode" (ScoopyNG) - Native OS or VMware without emulation mode (enabled acceleration)
LDT, MSW (vm_detect) - Native machine
RDTSC (VME Detector) - Time between 2 RDTSC calls was: 18 . It is very likely that you ARE NOT in a VME
Hypervisor_GPUID (PCWIZARD 2012 и иже с ним) - Native machine

Интересным оказался пакет VirtualMachineDetect. В нем присутствует утилита VMware DetectionTool.
Приведу результаты тестирования этой программой (в процентах вероятность нахождения в среде vmware).
Hardware Fingerprint: 16%
Registry Check: 0%
Instruction Check (SIDT, SLDT, SGDT, STR, IN): 0%
Timing Test: 0% . Справедливости ради, хочу заметить, что разработчик заявляет о "неполной состоятельности" тестов на время.
Приложение Rdtsc.exe крашится через пару секунд после запуска с кодом исключения 0xC0000417 в модуле msvcr90.dll.
Всвязи с этим, если есть алгоритмы/инструментарий по проведению тестов на время исполнения в среде vmware - скажите, буду пробовать.

| Сообщение посчитали полезным: plutos

Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 07 июля 2013 22:24 · Поправил: stepsid
· Личное сообщение · #15

Все это "фэйлится" настройками самой vmware.
Сложнее убрать хардварные следы vmware в системе. Убрал почти все.
Однако tnt bot определяет наличие виртуальной среды при триальной попытке логина на сервер.
Может кто подскажет, как правильно "поправить" таблицы в smbios structure,
что бы убрать "лишнние" записи, ну кто в теме, тот поймет о чем я.
Просто удалением (заполнение нулями лишнего, удаление со смещением остальных данных вверх,
при неизменности размера файла) - не получается "красиво" поправить smbios structure.
Но даже при "кривой" структуре таблиц, tnt bot "видит" виртуальную машину. Что же он может проверять?



Ранг: 3.0 (гость)
Активность: 0.01=0.01
Статус: Участник

 Создано: 07 июля 2013 22:42
· Личное сообщение · #16

stepsid выложил бы патч , затестировать



Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 07 июля 2013 23:10 · Поправил: stepsid
· Личное сообщение · #17

это не патч.
это hexeditor-ом правленные: исполняемый файл, bios-ы контроллеров, системный bios, драйвер svga (убраны строки vmware итд).
одним словом - пока рабочий бардак. все надо руками донастраивать. описать процесс настройки\подключения еще руки не дошли. пока тестирую.
что точно можно выложить - настройки vmware, которые "глушат" простую проверку запуска в виртуальной среде, без определения признаков наличия характерного для vmware "оборудования".



Ранг: 19.1 (новичок), 4thx
Активность: 0.010
Статус: Участник

 Создано: 08 июля 2013 14:10
· Личное сообщение · #18

stepsid
Я бы варьку детектил по специфическому оборудованию. Т.е. проверял бы не только VendorID, но и наличие конкретных устройств (ProductID).
Есть в винде тулза msinfo32 , которая показывает "Аппартные ресурсы" машинки. По выводимой инфе можно явно судить о наличии варьки.



Ранг: 35.1 (посетитель), 32thx
Активность: 0.040.01
Статус: Участник

 Создано: 08 июля 2013 17:53
· Личное сообщение · #19

Вот если бы кто из знающих людей занялся аналогичной проблемой, применительно к VMware ThinApp. Там ведь тоже VM, и некоторые софты подло детектят виртуал, некоторые определяют его как дебаггер, некоторые как VM. В результате программы тупо выкидывают окно о детекте и не запускаются.




Ранг: 127.3 (ветеран), 44thx
Активность: 0.090
Статус: Участник

 Создано: 08 июля 2013 21:49 · Поправил: zeppe1in
· Личное сообщение · #20

stepsid пишет:
tnt bot "видит" виртуальную машину. Что же он может проверять?
в боте то не посмотреть чтоле что он проверяет? тем более .NET. выкладывай софт, а то так всю жизнь гадать можно.

stepsid пишет:
программа закрыта vmprotect или themida
Или CliSecure

-----
zzz

Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 08 июля 2013 22:08 · Поправил: stepsid
· Личное сообщение · #21

zeppe1in
прочти первые сообщения. если бы все так было просто, тему бы я не поднимал.
программа закрыта vmprotect или themida.
и еще своя собственная методика проверки запуска в виртуальной среде.
подробности о программе опишу в личном сообщении.



Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 08 июля 2013 23:43
· Личное сообщение · #22

zeppe1in пишет:
Или CliSecure

это в смысле Agile.NET ?
возможно. или themida
vmprotector (проверял демо версию) исключается - он отказывается работать с .net проектами.




Ранг: 127.3 (ветеран), 44thx
Активность: 0.090
Статус: Участник

 Создано: 09 июля 2013 00:09 · Поправил: zeppe1in
· Личное сообщение · #23

stepsid
обфусцирован clisecure, теперь это Agile.NET да.
а запакован Remotesoft protector.
-----
закинул в личку анпакнутый фаил. Теперь берёшь рефлектор и разбираешься как оно работает.
Мне при беглом осмотре показалось что вердикт приходит с сервера. Так что посмотри что там передаётся.

-----
zzz

Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 09 июля 2013 09:09
· Личное сообщение · #24

zeppe1in
спасибо за информацию и идеи!
после установки соединения 1 пакет уходит на сервер и 1, в ответ, присылается клиенту.
данные, закодированы, как я полагаю, так как в явном виде ничего не передается.
можно, конечно, "ломать" проверку ответа, или подсовывать клиенту псевдосервер, отсылающий на запрос "правильные" пакеты, снятые при ответе на запрос с реальной машины.
но, тогда не понять, что именно "засвечивает" виртуальную среду.
кроме того, я в теме msil и отладки .net приложений новичок,
без инструментария (unpaсker) "ломать" новые версии программы у меня не получится.
А формат запросов к серверу может измениться в новой версии программы.



Ранг: 46.8 (посетитель), 20thx
Активность: 0.040
Статус: Участник

 Создано: 09 июля 2013 17:50
· Личное сообщение · #25

Скажу тоже пару слов..
1) Вырезка из новостей:
"Avatar использует интересный прием для обнаружения среды виртуальной машины.
Он вызывает функцию nt!MmMapIoSpace для чтения данных BIOS по адресу 0xF0000 и
проверяет присутствие следующих строк:

Parallels Software
Virtual Machine
VirtualBox
QEMU BIOS
VMware
Bochs"
2) Виртуальные среды искажают какой то там запрос (100%), читал в новостях. Не могу найти подробности.
3) Эта борьба бесконечна, решений на все случаи не найдете. Как malware-AV.
4) Еще один "Этот метод использует точку входа, работающего в пределах виртуальной среды regedit.exe. Перемещаясь по виртуальному реестру можно увидеть ключ HKEY_LOCAL_MACHINE\Software\Thinstall\ProcessList. В этом ключе легко увидеть список корректно работающих процессов."

Лично я смотрю реестр и BIOS. Так же может выдать не стандартное разрешение экрана.



Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 09 июля 2013 18:48
· Личное сообщение · #26

Alinator3500
спасибо за информацию.
у меня реестр чист. bios тоже. в ответах на dmi запросы ничего про vmware нет.
про искажение запроса, если можно, поподробнее.



Ранг: 3.0 (гость)
Активность: 0.01=0.01
Статус: Участник

 Создано: 09 июля 2013 21:47
· Личное сообщение · #27

надо патчить vmware-vmx.exe там все фишки паляться



Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 09 июля 2013 22:06
· Личное сообщение · #28

именно это я и делаю. все известные мне тесты не обнаруживают виртуальную среду.



Ранг: 1.9 (гость), 1thx
Активность: 0.010
Статус: Участник

 Создано: 10 июля 2013 20:16 · Поправил: stepsid
· Личное сообщение · #29

привожу список настроек vmware ws9, с которыми гостевая система проходит большинство проверок на наличие виртуальной среды.
Ссылка на неплохое описание параметров в .vmx файла
Code:
  1. #основные параметры
  2. monitor_control.virtual_rdtsc = "FALSE"  
  3. monitor_control.restrict_backdoor = "TRUE"
  4. isolation.tools.getPtrLocation.disable = "TRUE"
  5. isolation.tools.setPtrLocation.disable = "TRUE"
  6. isolation.tools.setVersion.disable = "TRUE"
  7. isolation.tools.getVersion.disable = "TRUE"
  8. monitor_control.disable_directexec = "TRUE" 
  9. monitor_control.disable_btinout = "TRUE"
  10. monitor_control.disable_btmemspace = "TRUE"
  11. monitor_control.disable_btpriv = "TRUE"
  12. monitor_control.disable_btseg = "TRUE"
  13. ## неактуальны для WS9, можно удалить
  14. #monitor_control.disable_chksimd = "TRUE"   
  15. #monitor_control.disable_ntreloc = "TRUE"   
  16. #monitor_control.disable_selfmod = "TRUE" 
  17. #monitor_control.disable_reloc = "TRUE"  
  18. #оборудование
  19. #CPU/маскирование CPUID
  20. featMask.vm.cpuid.family="val:15"
  21. featMask.vm.cpuid.model="val:3"
  22. featMask.vm.cpuid.stepping="val:4"
  23. #отключение Hypervisor_bit и настройка вложенной (nested) виртуализации для установки Hyper-V
  24. hypervisor.cpuid.v0 = "FALSE"
  25. hypervisor.cpuid.v1 = "FALSE"
  26. mce.enable = "TRUE"
  27. ##настройка nested виртуализации. можно отключить.
  28. vhv.enable = "TRUE"
  29. featMask.vm.hv.capable = "Min:1"
  30. vmGenCounter.enable = "FALSE"
  31. #сетевой адаптер
  32. ethernet0.addressType = "static"
  33. ##указать свой MAC
  34. ethernet0.Address = "ХХ:ХХ:ХХ:ХХ:ХХ:ХХ"   
  35. #отключение VMCI из списка оборудования гостевой системы.
  36. vmci.available = "FALSE"
  37. vmci0.present = "FALSE"
  38. #дополнительная изоляция гостевой системы
  39. guest.commands.enabled = "FALSE"
  40. RemoteDisplay.maxConnections = "1"
  41. tools.setInfo.sizeLimit = "1048576"
  42. isolation.device.connectable.disable = "TRUE"
  43. isolation.device.edit.disable = "TRUE"
  44. isolation.tools.copy.disable = "TRUE"
  45. isolation.tools.dnd.disable = "TRUE"
  46. isolation.tools.setGUIOptions.enable = "FALSE"
  47. isolation.tools.paste.disable = "TRUE"
  48. isolation.tools.hgfs.disable = "TRUE"
  49. isolation.tools.hgfsServerSet.disable = "TRUE"
  50. isolation.monitor.control.disable = "TRUE"
  51. isolation.tools.ghi.autologon.disable = "TRUE"
  52. isolation.bios.bbs.disable = "TRUE"
  53. isolation.tools.getCreds.disable = "TRUE"
  54. isolation.tools.ghi.launchmenu.change = "TRUE"
  55. isolation.tools.memSchedFakeSampleStats.disable       = "TRUE"
  56. isolation.tools.ghi.protocolhandler.info.disable = "TRUE"
  57. isolation.ghi.host.shellAction.disable = "TRUE"
  58. isolation.tools.dispTopoRequest.disable      = "TRUE"
  59. isolation.tools.trashFolderState.disable = "TRUE"
  60. isolation.tools.ghi.trayicon.disable = "TRUE"
  61. isolation.tools.unity.disable = "TRUE"
  62. isolation.tools.unityInterlockOperation.disable = "TRUE"
  63. isolation.tools.unity.taskbar.disable = "TRUE"
  64. isolation.tools.unityActive.disable = "TRUE"
  65. isolation.tools.unity.windowContents.disable = "TRUE"
  66. isolation.tools.unity.push.update.disable = "TRUE"
  67. isolation.tools.vmxDnDVersionGet.disable = "TRUE"
  68. isolation.tools.guestDnDVersionSet.disable = "TRUE"
  69. isolation.tools.diskShrink.disable = "TRUE"
  70. isolation.tools.diskWiper.disable = "TRUE"
  71. isolation.tools.autoInstall.disable = "TRUE"
  72. vmsafe.enable = "FALSE"
  73. isolation.tools.vixMessage.disable = "TRUE"
  74. tools.guestlib.enableHostInfo = "FALSE"
  75. sharedFolder0.present = "FALSE"
  76. sharedFolder1.present = "FALSE"
  77. #отключение неиспользуемого оборудования
  78. usb.generic.autoconnect = "FALSE"
  79. serial0.present = "FALSE"
  80. serialX.present = "FALSE"
  81. floppy0.present = "FALSE"
  82. floppyX.present = "FALSE"
  83. parallel0.present = "FALSE"
  84. parallelX.present = "FALSE"


Совет: Не должны быть установлено VMware Tools. Все неиспользуемое оборудование - отключайте.
Пример:
Code:
  1. pciBridge0.present = "TRUE"
  2. pciBridge4.present = "TRUE"
  3. pciBridge4.virtualDev = "pcieRootPort"
  4. pciBridge4.functions = "8"
  5. #pciBridge5.present = "TRUE"
  6. #pciBridge5.virtualDev = "pcieRootPort"
  7. #pciBridge5.functions = "8"
  8. #pciBridge6.present = "TRUE"
  9. #pciBridge6.virtualDev = "pcieRootPort"
  10. #pciBridge6.functions = "8"
  11. #pciBridge7.present = "TRUE"
  12. #pciBridge7.virtualDev = "pcieRootPort"
  13. #pciBridge7.functions = "8"
  14. pciBridge0.pciSlotNumber = "17"
  15. pciBridge4.pciSlotNumber = "21"
  16. #pciBridge5.pciSlotNumber = "22"
  17. #pciBridge6.pciSlotNumber = "23"
  18. #pciBridge7.pciSlotNumber = "24"

Ранг: 369.8 (мудрец), 400thx
Активность: 0.390
Статус: Участник

 Создано: 10 июля 2013 20:51
· Личное сообщение · #30

stepsid пишет:
А вот TNT D3 Bot определяет наличие виртуальной машины.
cpuid с eax = 1 и проверка 31 бита в ecx, оно?

-----
PGP key <0x1B6A24550F33E44A>
. 1 . 2 . >>
 eXeL@B —› Вопросы новичков —› Как скрыть от программы запуск в среде VMware?
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати