Суть в том решил я создать свой патч анти детект VMware

Бек доры заштопал, биос поправил убрав строки VMvare и добавив серийный номер материнской платы c помощью Phoenix bios editor.


В vmware-vmx.exe изменил вендоров. Поправил конфиг wmx

Но проблема вот в чем. Не могу понять где скрывается эта строчка VMware



С остальным оборудованием все хорошо, но вот диск почему все равно получает приставку к имени VMware. Кто подскажет где можно ее найти.

Вот сами настройки вм вари а также патченный биос и файлы + редактор феникс биоса .



http://multi-up.com/1107984
Патченный vmware-vmx.exe и биос + биос тулза файн + настроек vmx

Добавлено спустя 1 минуту
А да версия вари 12.1.0 build-3272444

| Сообщение посчитали полезным: mjau, oldman, HandMill, negoday, Danphil, forwardservice, madmaximka, texsez, Silence, Jaguar77, JohnnyEN, sashagg, krypt0n, Aqua_regia, chtck, bumblebee, klsu

Немного не по теме и по теме комплекта антидетекта - кто подскажет где в исходниках фаир фокса можно указать библитеки что бдут грузится в миме плагины. Задача полный спуф флеша. До уровня длл которое может транслироватся сайтам пример мак ось имеет расширения плагина .plugin , ie ocx , там даже проблема оказалась загрузить переиминованою длл в миме плагины

Добавлено спустя 2 минуты
Также буду рад если посоветуете чем протестировать варю. Вроде почти занкончил - щас драва коректирую

| Сообщение посчитали полезным:

Софт накрытый демкой вмпрота, проверяй запустится ли.
пасс: test

https://www.sendspace.com/file/hz8yta

| Сообщение посчитали полезным:

А где вы дрова на geforSe взяли?
Или прям нвидиевские запускаются и работают и 3d рисуют?

А то пока как-то так



| Сообщение посчитали полезным:

что бы винда поставила дрова на scsi контролер смотри den dev стандартных в system32 в хранилище дров.

Драва винда ставит но работать не будут. Патчил драва от вари в хекс редакторе убирая всё лишнее.

Добавлено спустя 4 часа 11 минут
Json пишет:
Софт накрытый демкой вмпрота, проверяй запустится ли.
пасс: test

https://www.sendspace.com/file/hz8yta

не хочет запускать, понять бы по какому критерию палит. У меня даже инструкции и сокет CPU под легитимный сделаны.

Добавлено спустя 6 часов 26 минут
что бы поменять инструкции под легитные

cpuid.1.ecx="0000:0000:0000:1000:1110:0011:1111:1101"
cpuid.1.edx="1011:1111:1110:1011:1111:1011:1111:1111"
cpuid.00000005.edx="0000:0000:0000:0000:0000:0000:0010:0000"
cpuid.00000005.ebx="0000:0000:0000:0000:0000:0000:0100:0000"
cpuid.00000008.eax="0000:0000:0000:0000:0000:0100:0000:0000"
cpuid.a.eax="0000:0111:0010:1000:0000:0010:0000:0010"
cpuid.a.ebx="0000:0000:0000:0000:0000:0000:0000:0000"
cpuid.a.ecx="0000:0000:0000:0000:0000:0000:0000:0000"

смотрим через утилиу cpuid та что показывает инструкции потом в калькуляторе вычисляем
hex to bin

и правим в vmx файле

сокет парвим в биосе в файле bioscod1

Открываем биос в феникс тул - с помошью hex editora ищем это и делаем примерно так



сохраняем изменение . Жмем крестик в хекс редакторе

лезим в биос тулзу жмем банк сетингс ( ставим 1024 возвращаем 512 ) и сохраняем.

По тому же принципу менять другие параметры ( ACPI например )

| Сообщение посчитали полезным:

mraksol пишет:
не хочет запускать, понять бы по какому критерию палит. У меня даже инструкции и сокет CPU под легитимный сделаны
http://everdox.info/suite_protection.htm

первые два пункта обходятся настройками ускорения виртуализации (толи нужно включить, толи выключить)

| Сообщение посчитали полезным:

srm60171 пишет:
http://everdox.info/suite_protection.htm

первые два пункта обходятся настройками ускорения виртуализации (толи нужно включить, толи выключить)


Вот и не понятно - вроде все это поправлено Оо

| Сообщение посчитали полезным:

mraksol, ну ты можешь руками в отладчике посмотреть на чем именно валится
вмпрот делает проверки поочередно и после провала сразу выкидывает сообщение, легко определить на чем ты зафелил

| Сообщение посчитали полезным:

srm60171 пишет:
mraksol, ну ты можешь руками в отладчике посмотреть на чем именно валится
вмпрот делает проверки поочередно и после провала сразу выкидывает сообщение, легко определить на чем ты зафелил

Идиотизм в том что последняя демка вм прота не дает запустить файл в отладчике даже с выключенной защитой


а тфу понял в чем проблема 64 екзешник пытался пускать в 32 битном дебагере

Добавлено спустя 18 минут
чето не могу понять где оно отваливается.

Добавлено спустя 9 часов 29 минут
VMPROT 3.0.8 , enigma,safe engine, winlicense-temida. Не детектят уже.
Для теста использовал демки протов
Подскажите чем еще можно потестировать

| Сообщение посчитали полезным:

Вот посмотри, куча методов: https://github.com/a0rtega/pafish

| Сообщение посчитали полезным:

mraksol

Хорошая работа ! Мануал + инструменты добавить . Было бы супер .

| Сообщение посчитали полезным:

Enigma пишет:
Вот посмотри, куча методов: https://github.com/a0rtega/pafish

Детектят в софтине 3 детекта. 2 из которых и на физической машины срабатывают .

А вот детект rdtsc не могу понять по каким регистрам



Добавлено спустя 10 минут
Хотя возможно проблема не в варе , надо чистою установку винды сделать.

| Сообщение посчитали полезным:

mraksol пишет:
А вот детект rdtsc не могу понять по каким регистрам
В смысле по каким? Код выше же.
Или тут неправильно поставлен вопрос.

| Сообщение посчитали полезным:

не могу понять на какой регистр он ссылается - регистр типа cpuid.1 2 3 a ...
Понятно что на eax и edx. Но в каком адресном пространстве

Добавлено спустя 1 час 25 минут
вопрос немного по другому задам что данный код делает простым языком. Ато туплю

| Сообщение посчитали полезным:

mraksol делает 2 замера rdtsc а между ними вызов cpuid с eax = 0 после которого, вроде как отваливается виртуалка, не знаю почему и как

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
mraksol делает 2 замера rdtsc а между ними вызов cpuid с eax = 0 после которого, вроде как отваливается виртуалка, не знаю почему и как

вот и я понять пытаюсь почему - ведь аналогичное без вызова перед сией командой проходит.
по адресу cpuid.1.eax все исправно но почему этот vm exit происходит - что странно тест даже не под vmware или у меня где то косяк, или я опять на чем то элементарном туплю.

Причем ищу в поисковике все по запросам vm exit , vmexit control. Проблема была только в виртуал боксе. Но про варю не слова. Еще не могу понять почему тест GetticksCount. То детектит то нет.

Только что запустил и сработало ток на rdtsc

Понятно что было с GetticksCount - необходимо синхронизацию времени с хостом вырубить

| Сообщение посчитали полезным:

Hellspawn, тоже понятия не имею, может какая старая уязвимость, я прогнал свою варю и ничего не падает (нет выхода из функции принудительного).
Единственное, что нагуглилось, это этот момент, где этот детект срабатывает:
http://cheatengine.org/mantis/view.php?id=409
При других ситуациях оно аналогично предыдущей проверке.

| Сообщение посчитали полезным:

v00doo пишет:
Hellspawn, тоже понятия не имею, может какая старая уязвимость, я прогнал свою варю и ничего не падает (нет выхода из функции принудительного).
Единственное, что нагуглилось, это этот момент, где этот детект срабатывает:
http://cheatengine.org/mantis/view.php?id=409
При других ситуациях оно аналогично предыдущей проверке.

Какая версия вари? я правильно понял выхода нету из функции ? тоисть тест на твоей этот проходит без ступора ?

Грязная виртуализация включена ? VT-x/ept

у меня варя 12.1.1 build-3770994

| Сообщение посчитали полезным:

mraksol пишет:
я правильно понял выхода нету из функции ?
Выход из функции всегда есть, но по описанию выход должен быть принудительным, на моменте с cpuid:
vm exit forced here. it uses: eax = 0; cpuid;
Но подобного нет.

| Сообщение посчитали полезным:

Тоисть тест не проходит данный ?
эта уязвимость была в виртуал бокс и вроде пофикшена. Но чего она всплывала что ее мал варь использовала для детекта виртуалки. Но почему она срабатывает на вм вар

Добавлено спустя 2 минуты
По ссылке написано что вроде как вм прот ее вероятно детектит - но все пакеры/протекторы что я тестировал даже не пискнули

Добавлено спустя 19 минут
Не догоняю , как я понял идет обращение к cpuid.0.eax.0000000a - тут понять куда обращение идет и попробовать зафиксировать. Или же не должно быть выхода из функции при обращении к опред регистру.

Добавлено спустя 22 минуты
Найти бы точное описание почему так происходит.



Добавлено спустя 27 минут
уверен что тут что то елементарное - главное понять

| Сообщение посчитали полезным:

mraksol потрассируй в отладчике и возможно все станет ясно

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

да что то не становится понятней.

Добавлено спустя 5 минут
Я уже по ACPI таблицам лажу ищу там нечто схожее



| Сообщение посчитали полезным:

mraksol пишет:
Не догоняю , как я понял идет обращение к cpuid.0.eax.0000000a - тут понять куда обращение идет и попробовать зафиксировать.
Этот код
__asm__ volatile("cpuid" : /* no output */ : "a"(0x00));
тоже самое что
mov eax,0
cpuid
mraksol пишет:
да что то не становится понятней.
Подтянуть матчасть надо, прежде чем начинать копать такие вещи.

| Сообщение посчитали полезным:

http://wiki.osdev.org/CPUID

Но вот в чем дело. Оно ведь едентично с хостом

почему детект происходит

Добавлено спустя 4 минуты


Добавлено спустя 6 минут
точнее выход при запросе cpu id

Добавлено спустя 41 минуту
Хз куда тут копать - надо искать функцию что пересекается с cpuid. Скорее всего компилятор затупил и вылелось в этот баг что при запрос цпу ид вызывается вм екзит

Только не понятно почему тогда не вываливается сойт что запрашивает цпу ид

или хз. Надо еще искать инфу что бы примерно понимать куда копать.

Добавлено спустя 43 минуты
Когда стал понятен примерный пинцип работы - возникло еще больше вопросов

Где кстати в варе можно найти лог операций с цпу?

Добавлено спустя 3 часа 17 минут
по идее нужно как-то vmexit вырубить вовсе, щас роюсь по vmx файлу в поисках заветной недокументированной vmx строчки

кстати там их достачно много

| Сообщение посчитали полезным:

Жаль расстраивать, но, скажем, Intel, всегда выходит из VMX по CPUID, это прибито гвоздями. В AMD можно настраивать, насколько помню. Но вы пилите, пилите, внутри они непременно золотые (С).

| Сообщение посчитали полезным:

вм детектор
много всего куда глазеет
https://www.sendspace.com/file/6h8f7v

| Сообщение посчитали полезным:

найденные команды

Добавлено спустя 3 минуты
Archer пишет:
Жаль расстраивать, но, скажем, Intel, всегда выходит из VMX по CPUID, это прибито гвоздями. В AMD можно настраивать, насколько помню. Но вы пилите, пилите, внутри они непременно золотые (С).


В виртуал боксе же как то поправили это.

Добавлено спустя 4 минуты
sendersu пишет:

вм детектор
много всего куда глазеет
https://www.sendspace.com/file/6h8f7v

как ей пользоваться ?) она поддерживает х64 ? ато имею просто черное окно консоли без какого либо вывода инфы

Добавлено спустя 33 минуты
Мыслей 0 что еще попробовать сделать

| Сообщение посчитали полезным:

mraksol пишет:
как ей пользоваться ?) она поддерживает х64 ?
напишет что думает о вашей системе в консольку + создаст много файлов
2) еще пару детектов вм-ов
https://www.sendspace.com/file/1asule

3) еще одна интересная утилитка (если не пробегала)
https://sourceforge.net/projects/vmtweaker/files/VMTweaker/

| Сообщение посчитали полезным:

sendersu пишет:
mraksol пишет:
как ей пользоваться ?) она поддерживает х64 ?
напишет что думает о вашей системе в консольку + создаст много файлов

не хочет почему то работать на вин 7 64

Добавлено спустя 35 минут
2 последние утилиты что скинул не детектят

Добавлено спустя 3 часа 22 минуты
подсказали что так отключить vm exit on cpuid 0x00


Только не могу догнать где и что заменить

| Сообщение посчитали полезным:

не у кого не каких мыслей нет по этому поводу ?(

| Сообщение посчитали полезным:

mraksol копайся сам )

вот тут есть инфа, но там вбокс
http://www.kernelmode.info/forum/viewtopic.php?f=11&t=1911&start=40

-----
[nice coder and reverser]

| Сообщение посчитали полезным: