Суть в том решил я создать свой патч анти детект VMware

Бек доры заштопал, биос поправил убрав строки VMvare и добавив серийный номер материнской платы c помощью Phoenix bios editor.


В vmware-vmx.exe изменил вендоров. Поправил конфиг wmx

Но проблема вот в чем. Не могу понять где скрывается эта строчка VMware



С остальным оборудованием все хорошо, но вот диск почему все равно получает приставку к имени VMware. Кто подскажет где можно ее найти.

Вот сами настройки вм вари а также патченный биос и файлы + редактор феникс биоса .



http://multi-up.com/1107984
Патченный vmware-vmx.exe и биос + биос тулза файн + настроек vmx

Добавлено спустя 1 минуту
А да версия вари 12.1.0 build-3272444

| Сообщение посчитали полезным: mjau, oldman, HandMill, negoday, Danphil, forwardservice, madmaximka, texsez, Silence, Jaguar77, JohnnyEN, sashagg, krypt0n, Aqua_regia, chtck, bumblebee, klsu

суть в том - понять где этот функционал в варе сидит. Он может не в vmx.exe сидеть а например в ядре или движке вари. Или вовсе быть строковым параметром.

Добавлено спустя 16 минут
те 2 скрипта что примером приведены - все что в них описано уже сделано , по дми таблицам вм прот детектил

Добавлено спустя 21 минуту
кстати судя по всему проблема с цпу ид только на 64 битной ос под vt-x
https://www.virtualbox.org/ticket/10947

| Сообщение посчитали полезным:

борьба с ветряными мельницами. за время с начала топика можно купить что-то типа LGA775 с мамкой и памятью за 3 т.р. для экспериментов, и не париться с виртуалками. против множества детектов, основанных не на оборудовании не попрешь

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
борьба с ветряными мельницами. за время с начала топика можно купить что-то типа LGA775 с мамкой и памятью за 3 т.р. для экспериментов, и не париться с виртуалками. против множества детектов, основанных не на оборудовании не попрешь


Можно , идите покупайте а я из спортивного интереса продолжу возится. Не пойму как мне поможет покупка скажем так 7 компа ? для обхода детекта ? Расцениваю ваше обращение как флуд , так как вы даже не вникали в суть.


Я уже писал что все что мне надо я уже обошел, остался чисто спортивный интерес сделать варю не детектируемой не чем из стандартных тестов. Причем этот детект вовсе не варе свойственный а вбоксу и он был пофикшен судя по всему на вбоксе 4 года назад. И почему в варе он не пофикшен не понятно.

Понять бы где именно сидит эта функция что вызывает выход, и ее поправить 2 секунды.

Добавлено спустя 11 минут
кстати кто то может посоветовать утилиту для переноса/удаления RWA ссылок

на подобии того как работает orgegui



| Сообщение посчитали полезным:

mraksol пишет:
Можно , идите покупайте
да, я-то купил. и, не один, работать надо. если будет время на выходных, запилю несколько кодесов детекта, будет интересно увидеть слив (или не слив) поделки

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
да, я-то купил. и, не один, работать надо. если будет время на выходных, запилю несколько кодесов детекта, будет интересно увидеть слив (или не слив) поделки

Да понятно что задетектить можно по чему угодно. Хоть по лишнему символу в dmi таблицах, не рабочим функциям вин апи. Но зачастую обходятся именно этими стандартными детектами. А тот софт что уж сильно напичкан детектами - называется приватной малварью. Хотя и там уже смысла в них нет. Так как просто детект добавляют в сигнатуры и евристику. И реверсят на физических тачках, даже сканеры уже не на впс а на дедикатед сервера ставят.

Добавлено спустя 16 минут
Мне щас найти бы что то чем можно ссылки rwa править

Добавлено спустя 6 часов 6 минут
нашел еще инфу по теме http://stackoverflow.com/questions/28573068/kvm-and-rdtsc-latency

Добавлено спустя 6 часов 25 минут
вот еще вероятно решение https://github.com/cnuke/genode/commit/85175fec4bbfc69fd0a5b91e7e840bb4f9ae0a2a

Добавлено спустя 6 часов 26 минут
Хотя стоп какого х не работает monitor_control.disable_directexec

| Сообщение посчитали полезным:

Занимаюсь данной проблемой, только в реализации под Vmware Workstation 12.01 Linux (Debian).
Поэтому вопрос что именно правили в vmware-vmx.exe кроме текста вендора для SCSI?
И честно говоря я так и не понял как вы обошли проверку из pafish "Check the serial number ("VMware")"
И вы не могли бы выложить вашу версию видеобиоса.

Плюс хочу осветить упущенный вами момент в конфига vmx
обходим проверку MAC адреса:


Проблема с детектом rdtsc судя по всему принципиально не решаема?

| Сообщение посчитали полезным:

Я копнул чуток ядро 8-ки, можно детектить варю так:





-----
vx

| Сообщение посчитали полезным: VT-x, =TS=

Danphil пишет:

Занимаюсь данной проблемой, только в реализации под Vmware Workstation 12.01 Linux (Debian).
Поэтому вопрос что именно правили в vmware-vmx.exe кроме текста вендора для SCSI?
И честно говоря я так и не понял как вы обошли проверку из pafish "Check the serial number ("VMware")"
И вы не могли бы выложить вашу версию видеобиоса.

Плюс хочу осветить упущенный вами момент в конфига vmx
обходим проверку MAC адреса:
Code:
ethernet0.checkMACAddress = "false"
ethernet0.addressType = "static"
ethernet0.Address = "XX:XX:XX:XX:XX:XX"


Проблема с детектом rdtsc судя по всему принципиально не решаема?


убрать пристаку vmware перед серийным ( напишы вместо VMware к примеру 123456 )



а также в финикс биосе вписать попробуй серийники которых нет

по поводу rdtsc решаема, но я пока решения не нашел. В боксе этой проблемы нет, а в варе хз что подправить.

Вот с сайта вари ответ насчет проблемы.
https://communities.vmware.com/thread/540870?tstart=0

| Сообщение посчитали полезным:

Решил продолжить историю по созданию патча, но только для новой VMWare 12.5.1 и возникли трудности.

mraksol, ты писал о изменение видео биоса, что требуется корректировка чексуммы. Но где именно эта чексумма, и вообще чем открывается видео-биос? phoenix bios editor его не понимает. Править только руками?

| Сообщение посчитали полезным:

AnTiDoD пишет:
но только для новой VMWare 12.5.1 и возникли трудности.

давайте сразу 12.5.2 (в .1 обнаружена критическая бага)

| Сообщение посчитали полезным:

difexacaw пишет:

Я копнул чуток ядро 8-ки, можно детектить варю так:
Клекр, это тоже самое что проверить бит гипервизора через cpuid (https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458). И никаких андоков и "копаний" в гавноядре гавнооси не нужно.

| Сообщение посчитали полезным: TixRanger

Ссылки на первой странице не рабочие.
Существует актуальный способ тестирования, на вм, софта с защитой от вм?

| Сообщение посчитали полезным:

Alchemistry

Нет, там полноценный детект по таймингу, посмотрите сами.

-----
vx

| Сообщение посчитали полезным:

Ребят есть у кого бинарник Видео биоса все по теме сделал но с виидо Всё слишком сложно, знаний не хватает

| Сообщение посчитали полезным:

Всем привет
Работа над допиливанием патча ведется или прикрыли тему?
Есть свежие версии патча?

| Сообщение посчитали полезным:

Не было времени заниматься им , обновлю инструкцию как будет время и приведу в более читабельный вид.

| Сообщение посчитали полезным: TixRanger, negoday, sashagg, limpapo

Жду с нетерпением, полную настройку, особенно интересен видео биос и настройка видюхи!

Хочу выразить огромную благодарность за проделанную тобой работу(+100 к карме), всё очень полезно, хоть и поначалу было сложно разобраться!

ЗЫ Делай побыстрее полный гайд пока вектор твои лавры не прибрал)

| Сообщение посчитали полезным:

JohnnyEN пишет:
Жду с нетерпением, полную настройку, особенно интересен видео биос и настройка видюхи!

Хочу выразить огромную благодарность за проделанную тобой работу(+100 к карме), всё очень полезно, хоть и поначалу было сложно разобраться!

ЗЫ Делай побыстрее полный гайд пока вектор твои лавры не прибрал)

Полностью присоединяюсь к пожеланиям и благодарности
Очень жду гайда по полной настройке
Мы верим в тебя, mraksol

| Сообщение посчитали полезным:

mraksol Привет подскажи чем отредактировать жесткий диск? и вообще биос

| Сообщение посчитали полезным:

https://prnt.sc/gfrmpc как этот детект убрать подскажите! не могу понять)

| Сообщение посчитали полезным:

в этом поле убери VMware [img]http://joxi.ru/12MZJblC4gaVZA[/img]

| Сообщение посчитали полезным:

Огромный респект автору патча и +1000 к карме. Но после применения патча(а именно копирования .vmx-файла) пропадает функция copy&paste с хостовой в гостя и обратно, что делает невероятно неудобным использование данного патча. Установить VmWare тулз не удается, так как гость не определяется как виртулка

| Сообщение посчитали полезным:

GavGav
тебе шашечки или ехать?

| Сообщение посчитали полезным:

подскажите плиз как установить этот патч в VMware Fusion? Это реально?? Основная система OS X

| Сообщение посчитали полезным:

krypt0n пишет:
в этом поле убери сработало!

Добавлено спустя 17 часов
Здравствуйте.Поздравляю всех с наступающим новым годом.желать ничего небуду а-то меня забанят за флуд ).У меня Просьба к автору.Уважаемый Mraksol ,подскажите строку в экзешнике , где изменяется вендор скази хдд.Самостоятельно не удается повторить(простите за нубство в честь праздника).Заранее спасибо за понимание.И еще раз всем-всего хорошего.

| Сообщение посчитали полезным:

Нашел строчку.формочка.что курили действительно?

| Сообщение посчитали полезным:

mraksol

Добрый вечер. Можете протестировать софт на предмет обнаружения VM?

| Сообщение посчитали полезным:

Подскажите, ну так реально установить патч на VMware Fusion по Mac?

| Сообщение посчитали полезным:

Многие вещи отработали хорошо, но не совсем понял, как обойти:


Только патчить vmware-vmx ? (p.s. у меня linux)
Да, запатчил, все ок, только надо бне забыть права обратно на файл выставить (4755)

| Сообщение посчитали полезным:

фиксанули "Vmware" в SCSI?

| Сообщение посчитали полезным: