Суть в том решил я создать свой патч анти детект VMware

Бек доры заштопал, биос поправил убрав строки VMvare и добавив серийный номер материнской платы c помощью Phoenix bios editor.


В vmware-vmx.exe изменил вендоров. Поправил конфиг wmx

Но проблема вот в чем. Не могу понять где скрывается эта строчка VMware



С остальным оборудованием все хорошо, но вот диск почему все равно получает приставку к имени VMware. Кто подскажет где можно ее найти.

Вот сами настройки вм вари а также патченный биос и файлы + редактор феникс биоса .



http://multi-up.com/1107984
Патченный vmware-vmx.exe и биос + биос тулза файн + настроек vmx

Добавлено спустя 1 минуту
А да версия вари 12.1.0 build-3272444

| Сообщение посчитали полезным: mjau, oldman, HandMill, negoday, Danphil, forwardservice, madmaximka, texsez, Silence, Jaguar77, JohnnyEN, sashagg, krypt0n, Aqua_regia, chtck, bumblebee, klsu

Не строкой хранится. Ищи VID PID устройства

| Сообщение посчитали полезным: G100M

Проблема в том что изменении строкового параметра повлияло на другие устройства а тут не в какую.

Добавлено спустя 4 минуты
И вроде эта строчка и есть VID PID . Которая Подставляет строковое значение.

Добавлено спустя 6 минут
Есть еще такой параметр но он также изменен

Добавлено спустя 2 часа 28 минут
Не получается что бы я не менял, эта приставка вм вари некуда не девается.

| Сообщение посчитали полезным:

Я же говорю, не строкой.
https://wiki.debian.org/HowToIdentifyADevice/PCI

| Сообщение посчитали полезным:

По видеокарте еще придется менять pci, ven, dev, videoid.

| Сообщение посчитали полезным: xekuf

с видио уже разбираюсь, пока вм вар тулзы ( а точнее видио драйвер патчу ) изменяя названия длл и всякие упоминания о том что это вм варя.

Насчет Имени харда - если выбрать сата все там изменяется. Именоо SCSI винте проскакивает так что не понятно в чем дело

Не могу негде найти эти VID и PID в файле вари

Кто знает где находится чертов биос видяхи у вм вари. С поиском системного проблем не возникло. Но где найти види биос

Вроде нашел, на чем его отредактировать не представляю. Hex редактор не способен - полная каша или он чемто защищен

553d_02.07.2016_EXELAB.rU.tgz - 6005

Определил по

| Сообщение посчитали полезным:

Редактирую 4 значное значение вендор и дев ид. Но после импорта видио биоса обратно - нету изображения. Посоветуйте куда копать. Так как менять их во всем файле vmx методом тыка - а там их порядка 200 сума сойти можно.


Вот меняю эти зачения, и пробовал грузить его импортом в файл или через вмх vbios.filename = 6005.ROM

Имею черный экран , не пойму что я упускаю

Добавлено спустя 3 часа 49 минут
искал вайт лист по статье http://s10-3t.shikima.net/ ( думал у вари есть свой вайт лист псиай устройств но нет)

| Сообщение посчитали полезным:

импорт видио биоса не обьязателен, методом тыка нашел способ загрузки через vmx

vbios.filename = videobios.rom

Добавлено спустя 1 минуту
но все также не могу понять почему после смены dev и vid , видео перестает работать.

| Сообщение посчитали полезным:

mraksol пишет:
но все также не могу понять почему после смены dev и vid , видео перестает работать.
Наверно потому что драйвер не может идентифицировать устройство по dev\vid?

| Сообщение посчитали полезным:

Проблема не в драйвере, на этапе биоса также черный экран.
Не проблема в винде добавить в inf файл новое устройство.
Но варя его просто не подхватывает, пробовал менять только вендора и только дев ид.
Результат всегда черный экран. Где-то надо еще прописать но где. Я думал в биосе есть вайт лист но прочекал каждый распакованный файл, и нету совпадений с ad 15 05 04

Добавлено спустя 2 часа 49 минут
восстановил работоспособность биоса ( проблема была в чек суме) но даже с сменным вендор ид в венде всеравно показывает старый

| Сообщение посчитали полезным:

Когда уже кто-нибудь скажет человеку, что существуют гораздо более надежные средства чекать виртуальную машину, что проверка оборудования?

| Сообщение посчитали полезным:

Все надежные способы я обошел, осталась только проверка оборудования.
Бек доры все отключаются в поcледней вари + cpu id обходится недокументированным способом
Работает все и так но я хочу оборудование подправить, биос я подправил точнее его серийный номер и инфо что запрашевается. Все выходы из виртуалки оборваны
Когда закончу с оборудованием готов буду протестировать любой софт что скажете и посмотрим обойдет или нет.
Малварь разная уже не рапознает варю

Даже больше, человек который помог в тестировании сказал прямо - если все способы что есть обходит, то все - иные способы преведут к тому что софт ваще работать не будет на 70% оборудования
могу хоть сейчас попробовать запустить софт про который говорите если он не проверяет оборудование

| Сообщение посчитали полезным:

Gideon Vi пишет:
Когда уже кто-нибудь скажет человеку, что существуют гораздо более надежные средства чекать виртуальную машину, что проверка оборудования?

Пожалуйста, приведите примеры.

| Сообщение посчитали полезным:

Я думаю он имел введу проверка по бек дору и cpu id + серийный номер биоса. Которые сразу были убраны.
Причем при желании можно взять вовосе чситый авард или феникс и подправить что бы работал в варе
Сейчас осталось только оборудование, но проблема что биос видяхи я отредактровал - изменив дев и вендор иди. Инверсией вернул чек суму, но винда все равно опознает ad15 0504. Я уже каждый файл прочесал вари

Добавлено спустя 43 минуты
Вот что имею в итоге но гребный дев и вендор ид почему не изменны

НЕ понимаю что еще надо поправить что бы новые взялись из биоса
Поменял их в виде биосе, ифно о чипе изменилось легко там была строка но вот изменил hex ad15 0504 и ему до одного места и негде повторюсь негде этот хард вар ид более не всплывает что за идиотизм

Добавлено спустя 1 час 37 минут
Народ есть у кого какие идеи ? Я уже попробовал банально переставить винду в варе - до одного места дев и вендор ид мистическим образом непонятно откуда берет , когда в биосе видио он ваще другой уже зато строчковые данные исправно берет. В чем подвох или идиотизм не пойму

Добавлено спустя 2 часа 27 минут
Может кому пригодится как вернуть контрольную суму биоса
https://applelife.ru/threads/pravka-pci-rom-kontrollera-jmicron363.23840/

все же надеюсь кто то даст подсказку что я упускаю, почему после смены идов биосе видяхи он не в какую не хочет менятся в ос. Его банально не в 1 файле нет больше

Добавлено спустя 7 часов 13 минут
нашел еще параметры такого вида 0405 ad15 изменил - также без результатно

| Сообщение посчитали полезным:

насчет параметров 0504ad15 - менял в 6003 бинарнике cmos. По иде с него берется так как в nvram появляется заветная строка 0504ad15. Но после изменения нечего не поменялось - все также получаю в nvram 0504ad15 , и в диспетчере устроств таже инфа

Добавлено спустя 6 часов 50 минут
ура с вендор ид справился остался девайс ид


Добавлено спустя 7 часов 2 минуты
а дальше небольшой логический всплеск и нашелся долгожданный 0504 чучуть ниже адресом
результат


адреса
VEN
0015b100 VGA Adapter

DEV
0015b120 VGA Adapter

| Сообщение посчитали полезным:

Результат


Добавлено спустя 3 часа 39 минут
Самое сложное среди всех обходов , сделать ответы на запроса дампа биоса видяхи например. Тут уже хекс редактором CFF exploerom( воторой использовался для возврата хеша дровам... ) не обойтись

Добавлено спустя 18 часов 56 минут
VENDOR ID
00130230 ad15 PCI root
0012f820 ad15 Стандартный мост PCI первый
0015b100 ad15 VGA Adapter
00171140 ad15 Стандартный ACHI 1.0 контролер
0017dac0 ad15 sub buss intel(R) pro 100
0017dae0 8680 intel(R) pro 100
00198570 ad15 VMware VMCI Bus Device
0019ebf0 ad15 Стандартный расширенный PCI - USB хост контроллер
0019ef10 ad15 Стандартный универсальный PCI - USB хост конроллер
0019fb00 ad15 Intel(R) 82371AB/EP PCI Bus Master IDE-контроллер
0019fac0 8680 Intel(R) 82371AB/EP PCI Bus Master IDE-контроллер
001a44a0 ad15 Устройство с потдержкой High Definion Audio
001a44b0 7519 Устройство с потдержкой High Definion Audio
001a62b0 ad15 Контролер higt Definion audio
001aab30 ad15 Адаптер LSI, Серия SAS 3000, 8-портовый с 1060
001aaa50 1000 Адаптер LSI, Серия SAS 3000, 8-портовый с 1060
00b2f950 ad15 intel 82443bx pentium(R) ll CPU -PCI мост
00b2f930 8680 intel 82443bx pentium(R) ll CPU -PCI мост
00b2f970 8680 стандартный PCI - PCI
00b3d4f0 ab15 Intel 82371AB\EB PCI - ISA мост (Режим ISA)
00b3d4d0 8680 Intel 82371AB\EB PCI - ISA мост (Режим ISA)
00b3d2c0 ad15 82371AB/EB/MB PIIX4 ACPI
00b3d2a0 8680 82371AB/EB/MB PIIX4 ACPI
DEV ID
0015b120 0504 VGA Adapter
0012f830 9007 Стандартный Мост PCI первый
00130240 a007 PCI root
00171140 e007 Стандартный ACHI 1.0 контролер
0017daa0 - 0017dab0 5007 dev subbus intel(R) pro 100
0017dad0 0f10 intel(R) pro 100
00198580 4007 VMware VMCI Bus Device
0019ebf0 7007 Стандартный расширенный PCI - USB хост контроллер
1019ef00 7619 Стандартный универсальный PCI - USB хост конроллер
1019efb0 7407 Стандартный универсальный PCI - USB хост конроллер
0019fb10 7619 Intel(R) 82371AB/EP PCI Bus Master IDE-контроллер
0019fad0 1171 Intel(R) 82371AB/EP PCI Bus Master IDE-контроллер
001a44a0 7519 Устройство с потдержкой High Definion Audio
001a44b0 ad15 Устройство с потдержкой High Definion Audio
001a62b0 7719 Контролер higt Definion audio
001aaa70 5400 Адаптер LSI, Серия SAS 3000, 8-портовый с 1060
001aab30 - 001aab40 7619 Адаптер LSI, Серия SAS 3000, 8-портовый с 1060
00b2f950 7619 intel 82443bx pentium(R) ll CPU -PCI мост
00b2f930 9071 intel 82443bx pentium(R) ll CPU -PCI мост
00b2f970 9171 стандартный PCI - PCI
00b3d4f0 7619 Intel 82371AB\EB PCI - ISA мост (Режим ISA)
00b3d4d0 1071 Intel 82371AB\EB PCI - ISA мост (Режим ISA)
00b3d2c0 7619 82371AB/EB/MB PIIX4 ACPI
00b3d2a0 1371 82371AB/EB/MB PIIX4 ACPI

| Сообщение посчитали полезным: TryAga1n, dendel

Кто может подсказать как установить драйвера без цифровой подписи - Без необходимости включать тест режим
Добавление подписи своей в корневые сертификаты нечерта не дает.

| Сообщение посчитали полезным:

mraksol попросить людей, которые купили серты, подписать вам драйвер. это вобщемто даже не дорого.. если софт не стремный. когдато это стоило 20у.е. если на благое дело, может ктото и на халяву подпишет

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Много драйверов придется подписывать, + это не даст возможности так сказать менять на лету инфо о железе просто заменой sys файла

| Сообщение посчитали полезным:

С драйверами решение кое какое нашел, но вот не в какую не решается 1 проблема с SCSI HDD только он может выдавать серийный номер , sata винт обделили такой возможность с сатой нет проблем но нет сейриника. C SCSI есть проблема он почему то в деспетчере устройств получает приставку VMware , и фиг пойми где она уже все перелопатил.

Добавлено спустя 48 минут
Не могу понять откуда он имя берет и почему только SCSI диск так себя ведет

Добавлено спустя 1 час 25 минут
Осталось только это исправить и будет варя не отличимая от натив тачки. Причем благодоря манипуляции с vid dev даже можно поставить дрова от н видиа и ати и тд для большей ее маскировки - если софт палит по наличию отсуцтвию дескоп дров.

| Сообщение посчитали полезным:

Софт накрытый Вмпротом с опцией анти-вм запускается на варе? Имхо Gideon Vi прав, детект по строкам - ламерски... можно через счетчик тактов определить или как-то так, забыл уже. Юзани rkunhooker еще, там в опциях была проверка на вм.

| Сообщение посчитали полезным:

Вы уверены что эта программа будет работать на x64 ос ? Она не на нативной не на вм не работает

Добавлено спустя 21 минуту


Добавлено спустя 26 минут
Щас осталась единственная проблема как задать сата харду серийник или как SCSI винт переиминовать - не могу найти не стринг не хекс значения той приставки.

Добавлено спустя 27 минут
А так там полностью перелопачены биосы , ACPI , OEM таблици.

| Сообщение посчитали полезным:

mraksol она под x86 смотреть надо внимательнее. тупиковый путь, лучше ковырять софт, чем саму варю. УНиверсально все равно не сделать, в rkunhooker детект по rdtsc

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Благодаря возможности ставить натив драва в довесок( полезное замусоривание тем чего не может быть на варе) делает антидетект более полный, есть софтины что чекают есть ли в системе например драва амд,nvidia...

Вот только сейчас обламывает все теперь HDD, кстати

Добавлено спустя 8 минут
Уже сделал почти и обход проверки дров дали. Теперь можно спокойно патченные дрова ставить без отключения проверок подписи.

А софт порекомендуйте которым еще можно проверить, VirtualMachineDetect с проверкой крашится что на нативной что на варе

Добавлено спустя 14 минут


Добавлено спустя 17 минут


на нативной системе больше детекта показывает. Причем тест на нативной проводил на отдельном ноуте - что бы исключить влияние сетевух вари.

Добавлено спустя 19 минут
Насчет ковырять варю - тупиковый путь. Осталось то всеголишь ваинт переиминовать. Или сата винду добавить серийник вместо этого

Добавлено спустя 25 минут



| Сообщение посчитали полезным:

Кеш TLB варя никогда не эмулила. И опирающиеся на рассинхронизацию этого кеша вещи, соответственно, тоже. Запасаюсь поп-корном, как это будет запатчено.

| Сообщение посчитали полезным:

Archer да ладно тебе.. человек колупается, разбирается.. один из не многих кстати, за последнее время.
лично меня это радует. пару интересных вещей у него подсмотрел, хотя оно никогда не надо было. зато вцелом уже неплохой мануал, если все это систематизировать. может комуто и сгодится.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

В данном варианте варя использует обход виртуализации тоисть процесор работает по полной!
Но малварь на такой варе пускать опасно, хотя всеравно шанс что впнется за виртуализацию низок

| Сообщение посчитали полезным:

Доступ к TLB кешу можно получить только из kernel-mode ?

| Сообщение посчитали полезным:

Все будет правится по нужде вин леценз уже обходит - дайте софтину что 100% не будет работать ( не игры с мега 3д графикой не будут проверено) акселерация не потянит) проверю

(c) простите за граматику выпил ато мозг уже кепел

Добавлено спустя 18 минут


Добавлено спустя 19 минут
хз оно или нет

Добавлено спустя 31 минуту
Я кстати еще раз повторю у меня на варе работает то что должно быть защищено на 1000% ) для теста словил и оно в процесах висит) Комерческие протекторы легитимные такие изхищрения врятле станут использовать - давайте софт буду тестировать. Мне чесно осталось понять где варя прячет приставку к scsi винту и дальше делай что хочешь с ней Ну или как заставить сата винт получать серийный номер с волюме ид проблем нет

Добавлено спустя 42 минуты
после винта следующий этап заставить память быть ддр 2 с спд)

| Сообщение посчитали полезным:

Вот например сата винт как то генерирует кое какой сейриный номер - с SCSI проблем нет пишем в wmx

disk.EnableUUID="true"

и имеем сейриник в виде его UUID.

Добавлено спустя 2 минуты
Но имеются проблемы с его именем. Зато у сата таких проблем нет но он берет откуда то иной UUID

Добавлено спустя 2 часа 12 минут
Нашел !

Добавлено спустя 2 часа 14 минут


Добавлено спустя 2 часа 15 минут
Причем и подумать не мог что будет от туда брать Оо - и уверено пропускал этот пункт думая что не более чем форма OK Cansel

Добавлено спустя 2 часа 18 минут
По сути то и должно быть формочкой - спрашуется какого варя с формы берет Вендор ид , что они употребляли)

| Сообщение посчитали полезным: