Русский / Russian English / Английский

Сейчас на форуме: igorcauret, Adler, redeflesq (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› Патч анти детект VMware
<< . 1 . 2 . 3 . 4 . >>
Посл.ответ Сообщение

Ранг: 9.0 (гость)
Статус: Участник

Создано: 1 июля 2016 11:02 New!
Цитата · Личное сообщение · #1

Суть в том решил я создать свой патч анти детект VMware

Бек доры заштопал, биос поправил убрав строки VMvare и добавив серийный номер материнской платы c помощью Phoenix bios editor.


В vmware-vmx.exe изменил вендоров. Поправил конфиг wmx

Но проблема вот в чем. Не могу понять где скрывается эта строчка VMware



С остальным оборудованием все хорошо, но вот диск почему все равно получает приставку к имени VMware. Кто подскажет где можно ее найти.

Вот сами настройки вм вари а также патченный биос и файлы + редактор феникс биоса .

Code:
  1. monitor_control.restrict_backdoor = "true"
  2. cpuid.1.ecx="0---:----:----:----:----:----:----:----"
  3. bios440.filename = "6006.ROM"
  4. isolation.tools.copy.disable = "TRUE"
  5. isolation.tools.dnd.disable = "TRUE"
  6. isolation.tools.paste.disable = "TRUE"


http://multi-up.com/1107984
Патченный vmware-vmx.exe и биос + биос тулза файн + настроек vmx

Добавлено спустя 1 минуту
А да версия вари 12.1.0 build-3272444

| Сообщение посчитали полезным: mjau, oldman, HandMill, negoday, Danphil, forwardservice, madmaximka, texsez, Silence, Jaguar77, JohnnyEN, sashagg, krypt0n, Aqua_regia, chtck


Ранг: 9.0 (гость)
Статус: Участник

Создано: 11 июля 2016 20:37 New!
Цитата · Личное сообщение · #2

Немного не по теме и по теме комплекта антидетекта - кто подскажет где в исходниках фаир фокса можно указать библитеки что бдут грузится в миме плагины. Задача полный спуф флеша. До уровня длл которое может транслироватся сайтам пример мак ось имеет расширения плагина .plugin , ie ocx , там даже проблема оказалась загрузить переиминованою длл в миме плагины

Добавлено спустя 2 минуты
Также буду рад если посоветуете чем протестировать варю. Вроде почти занкончил - щас драва коректирую

Ранг: 1.6 (гость)
Статус: Участник

Создано: 12 июля 2016 20:31 · Поправил: 12 июля 2016 20:33 Json New!
Цитата · Личное сообщение · #3

Софт накрытый демкой вмпрота, проверяй запустится ли.
пасс: test

https://www.sendspace.com/file/hz8yta

Ранг: 4.3 (гость)
Статус: Участник

Создано: 13 июля 2016 20:00 New!
Цитата · Личное сообщение · #4

А где вы дрова на geforSe взяли?
Или прям нвидиевские запускаются и работают и 3d рисуют?

А то пока как-то так


Ранг: 9.0 (гость)
Статус: Участник

Создано: 14 июля 2016 04:26 · Поправил: 14 июля 2016 10:57 mraksol New!
Цитата · Личное сообщение · #5

что бы винда поставила дрова на scsi контролер смотри den dev стандартных в system32 в хранилище дров.

Драва винда ставит но работать не будут. Патчил драва от вари в хекс редакторе убирая всё лишнее.

Добавлено спустя 4 часа 11 минут
Json пишет:
Софт накрытый демкой вмпрота, проверяй запустится ли.
пасс: test

https://www.sendspace.com/file/hz8yta


не хочет запускать, понять бы по какому критерию палит. У меня даже инструкции и сокет CPU под легитимный сделаны.

Добавлено спустя 6 часов 26 минут
что бы поменять инструкции под легитные

cpuid.1.ecx="0000:0000:0000:1000:1110:0011:1111:1101"
cpuid.1.edx="1011:1111:1110:1011:1111:1011:1111:1111"
cpuid.00000005.edx="0000:0000:0000:0000:0000:0000:0010:0000"
cpuid.00000005.ebx="0000:0000:0000:0000:0000:0000:0100:0000"
cpuid.00000008.eax="0000:0000:0000:0000:0000:0100:0000:0000"
cpuid.a.eax="0000:0111:0010:1000:0000:0010:0000:0010"
cpuid.a.ebx="0000:0000:0000:0000:0000:0000:0000:0000"
cpuid.a.ecx="0000:0000:0000:0000:0000:0000:0000:0000"

смотрим через утилиу cpuid та что показывает инструкции потом в калькуляторе вычисляем
hex to bin

и правим в vmx файле

сокет парвим в биосе в файле bioscod1

Открываем биос в феникс тул - с помошью hex editora ищем это и делаем примерно так



сохраняем изменение . Жмем крестик в хекс редакторе

лезим в биос тулзу жмем банк сетингс ( ставим 1024 возвращаем 512 ) и сохраняем.

По тому же принципу менять другие параметры ( ACPI например )

Ранг: 12.2 (новичок)
Статус: Участник

Создано: 14 июля 2016 13:51 · Поправил: 14 июля 2016 13:53 srm60171 New!
Цитата · Личное сообщение · #6

mraksol пишет:
не хочет запускать, понять бы по какому критерию палит. У меня даже инструкции и сокет CPU под легитимный сделаны

http://everdox.info/suite_protection.htm

первые два пункта обходятся настройками ускорения виртуализации (толи нужно включить, толи выключить)

Ранг: 9.0 (гость)
Статус: Участник

Создано: 14 июля 2016 13:57 New!
Цитата · Личное сообщение · #7

srm60171 пишет:
http://everdox.info/suite_protection.htm

первые два пункта обходятся настройками ускорения виртуализации (толи нужно включить, толи выключить)


Вот и не понятно - вроде все это поправлено Оо

Ранг: 12.2 (новичок)
Статус: Участник

Создано: 14 июля 2016 14:01 New!
Цитата · Личное сообщение · #8

mraksol, ну ты можешь руками в отладчике посмотреть на чем именно валится
вмпрот делает проверки поочередно и после провала сразу выкидывает сообщение, легко определить на чем ты зафелил

Ранг: 9.0 (гость)
Статус: Участник

Создано: 14 июля 2016 14:45 · Поправил: 15 июля 2016 00:15 mraksol New!
Цитата · Личное сообщение · #9

srm60171 пишет:
mraksol, ну ты можешь руками в отладчике посмотреть на чем именно валится
вмпрот делает проверки поочередно и после провала сразу выкидывает сообщение, легко определить на чем ты зафелил


Идиотизм в том что последняя демка вм прота не дает запустить файл в отладчике даже с выключенной защитой


а тфу понял в чем проблема 64 екзешник пытался пускать в 32 битном дебагере

Добавлено спустя 18 минут
чето не могу понять где оно отваливается.

Добавлено спустя 9 часов 29 минут
VMPROT 3.0.8 , enigma,safe engine, winlicense-temida. Не детектят уже.
Для теста использовал демки протов
Подскажите чем еще можно потестировать

Ранг: 88.3 (постоянный)
Статус: Участник

Создано: 19 июля 2016 15:18 New!
Цитата · Личное сообщение · #10

Вот посмотри, куча методов: https://github.com/a0rtega/pafish

Ранг: 128.1 (ветеран)
Статус: Участник

Создано: 23 июля 2016 13:02 New!
Цитата · Личное сообщение · #11

mraksol

Хорошая работа ! Мануал + инструменты добавить . Было бы супер .

Ранг: 9.0 (гость)
Статус: Участник

Создано: 29 июля 2016 09:46 · Поправил: 29 июля 2016 09:56 mraksol New!
Цитата · Личное сообщение · #12

Enigma пишет:
Вот посмотри, куча методов: https://github.com/a0rtega/pafish


Детектят в софтине 3 детекта. 2 из которых и на физической машины срабатывают .

А вот детект rdtsc не могу понять по каким регистрам

Code:
  1. static inline unsigned long long rdtsc_diff_vmexit() {
  2.          unsigned long long ret, ret2;
  3.          unsigned eax, edx;
  4.          __asm__ volatile("rdtsc" : "=a" (eax), "=d" (edx));
  5.          ret  = ((unsigned long long)eax) | (((unsigned long long)edx) << 32);
  6.          /* vm exit forced here. it uses: eax = 0; cpuid; */
  7.          __asm__ volatile("cpuid" : /* no output */ : "a"(0x00));
  8.          /**/
  9.          __asm__ volatile("rdtsc" : "=a" (eax), "=d" (edx));
  10.          ret2  = ((unsigned long long)eax) | (((unsigned long long)edx) << 32);
  11.          return ret2 - ret;


Добавлено спустя 10 минут
Хотя возможно проблема не в варе , надо чистою установку винды сделать.

Ранг: 78.1 (постоянный)
Статус: Участник

Создано: 29 июля 2016 15:57 · Поправил: 29 июля 2016 16:52 v00doo New!
Цитата · Личное сообщение · #13

mraksol пишет:
А вот детект rdtsc не могу понять по каким регистрам

В смысле по каким? Код выше же.
Или тут неправильно поставлен вопрос.

Ранг: 9.0 (гость)
Статус: Участник

Создано: 29 июля 2016 17:10 · Поправил: 29 июля 2016 18:35 mraksol New!
Цитата · Личное сообщение · #14

не могу понять на какой регистр он ссылается - регистр типа cpuid.1 2 3 a ...
Понятно что на eax и edx. Но в каком адресном пространстве

Добавлено спустя 1 час 25 минут
вопрос немного по другому задам что данный код делает простым языком. Ато туплю


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 29 июля 2016 18:51 New!
Цитата · Личное сообщение · #15

mraksol делает 2 замера rdtsc а между ними вызов cpuid с eax = 0 после которого, вроде как отваливается виртуалка, не знаю почему и как

Ранг: 9.0 (гость)
Статус: Участник

Создано: 29 июля 2016 19:03 · Поправил: 29 июля 2016 19:04 mraksol New!
Цитата · Личное сообщение · #16

Hellspawn пишет:
mraksol делает 2 замера rdtsc а между ними вызов cpuid с eax = 0 после которого, вроде как отваливается виртуалка, не знаю почему и как


вот и я понять пытаюсь почему - ведь аналогичное без вызова перед сией командой проходит.
по адресу cpuid.1.eax все исправно но почему этот vm exit происходит - что странно тест даже не под vmware или у меня где то косяк, или я опять на чем то элементарном туплю.

Причем ищу в поисковике все по запросам vm exit , vmexit control. Проблема была только в виртуал боксе. Но про варю не слова. Еще не могу понять почему тест GetticksCount. То детектит то нет.

Только что запустил и сработало ток на rdtsc

Понятно что было с GetticksCount - необходимо синхронизацию времени с хостом вырубить

Ранг: 78.1 (постоянный)
Статус: Участник

Создано: 29 июля 2016 19:24 · Поправил: 29 июля 2016 19:26 v00doo New!
Цитата · Личное сообщение · #17

Hellspawn, тоже понятия не имею, может какая старая уязвимость, я прогнал свою варю и ничего не падает (нет выхода из функции принудительного).
Единственное, что нагуглилось, это этот момент, где этот детект срабатывает:
http://cheatengine.org/mantis/view.php?id=409
При других ситуациях оно аналогично предыдущей проверке.

Ранг: 9.0 (гость)
Статус: Участник

Создано: 29 июля 2016 19:43 · Поправил: 29 июля 2016 19:44 mraksol New!
Цитата · Личное сообщение · #18

v00doo пишет:
Hellspawn, тоже понятия не имею, может какая старая уязвимость, я прогнал свою варю и ничего не падает (нет выхода из функции принудительного).
Единственное, что нагуглилось, это этот момент, где этот детект срабатывает:
http://cheatengine.org/mantis/view.php?id=409
При других ситуациях оно аналогично предыдущей проверке.


Какая версия вари? я правильно понял выхода нету из функции ? тоисть тест на твоей этот проходит без ступора ?

Грязная виртуализация включена ? VT-x/ept

у меня варя 12.1.1 build-3770994

Ранг: 78.1 (постоянный)
Статус: Участник

Создано: 29 июля 2016 20:05 New!
Цитата · Личное сообщение · #19

mraksol пишет:
я правильно понял выхода нету из функции ?

Выход из функции всегда есть, но по описанию выход должен быть принудительным, на моменте с cpuid:
vm exit forced here. it uses: eax = 0; cpuid;
Но подобного нет.

Ранг: 9.0 (гость)
Статус: Участник

Создано: 29 июля 2016 20:12 · Поправил: 29 июля 2016 20:39 mraksol New!
Цитата · Личное сообщение · #20

Тоисть тест не проходит данный ?
эта уязвимость была в виртуал бокс и вроде пофикшена. Но чего она всплывала что ее мал варь использовала для детекта виртуалки. Но почему она срабатывает на вм вар

Добавлено спустя 2 минуты
По ссылке написано что вроде как вм прот ее вероятно детектит - но все пакеры/протекторы что я тестировал даже не пискнули

Добавлено спустя 19 минут
Не догоняю , как я понял идет обращение к cpuid.0.eax.0000000a - тут понять куда обращение идет и попробовать зафиксировать. Или же не должно быть выхода из функции при обращении к опред регистру.

Добавлено спустя 22 минуты
Найти бы точное описание почему так происходит.



Добавлено спустя 27 минут
уверен что тут что то елементарное - главное понять


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 29 июля 2016 20:44 New!
Цитата · Личное сообщение · #21

mraksol потрассируй в отладчике и возможно все станет ясно

Ранг: 9.0 (гость)
Статус: Участник

Создано: 29 июля 2016 21:01 · Поправил: 29 июля 2016 21:06 mraksol New!
Цитата · Личное сообщение · #22

да что то не становится понятней.

Добавлено спустя 5 минут
Я уже по ACPI таблицам лажу ищу там нечто схожее


Ранг: 78.1 (постоянный)
Статус: Участник

Создано: 29 июля 2016 21:28 · Поправил: 29 июля 2016 21:28 v00doo New!
Цитата · Личное сообщение · #23

mraksol пишет:
Не догоняю , как я понял идет обращение к cpuid.0.eax.0000000a - тут понять куда обращение идет и попробовать зафиксировать.

Этот код
__asm__ volatile("cpuid" : /* no output */ : "a"(0x00));
тоже самое что
mov eax,0
cpuid
mraksol пишет:
да что то не становится понятней.

Подтянуть матчасть надо, прежде чем начинать копать такие вещи.

Ранг: 9.0 (гость)
Статус: Участник

Создано: 29 июля 2016 21:40 · Поправил: 30 июля 2016 00:57 mraksol New!
Цитата · Личное сообщение · #24

http://wiki.osdev.org/CPUID

Но вот в чем дело. Оно ведь едентично с хостом

почему детект происходит

Добавлено спустя 4 минуты


Добавлено спустя 6 минут
точнее выход при запросе cpu id

Добавлено спустя 41 минуту
Хз куда тут копать - надо искать функцию что пересекается с cpuid. Скорее всего компилятор затупил и вылелось в этот баг что при запрос цпу ид вызывается вм екзит

Только не понятно почему тогда не вываливается сойт что запрашивает цпу ид

или хз. Надо еще искать инфу что бы примерно понимать куда копать.

Добавлено спустя 43 минуты
Когда стал понятен примерный пинцип работы - возникло еще больше вопросов

Где кстати в варе можно найти лог операций с цпу?

Добавлено спустя 3 часа 17 минут
по идее нужно как-то vmexit вырубить вовсе, щас роюсь по vmx файлу в поисках заветной недокументированной vmx строчки

кстати там их достачно много


Ранг: 2008.7 (!!!!)
Статус: Модератор
retired

Создано: 30 июля 2016 01:14 New!
Цитата · Личное сообщение · #25

Жаль расстраивать, но, скажем, Intel, всегда выходит из VMX по CPUID, это прибито гвоздями. В AMD можно настраивать, насколько помню. Но вы пилите, пилите, внутри они непременно золотые (С).

Ранг: 510.9 (!)
Статус: Модератор

Создано: 30 июля 2016 01:24 New!
Цитата · Личное сообщение · #26

вм детектор
много всего куда глазеет
https://www.sendspace.com/file/6h8f7v

Ранг: 9.0 (гость)
Статус: Участник

Создано: 30 июля 2016 01:55 · Поправил: 30 июля 2016 02:28 mraksol New!
Цитата · Личное сообщение · #27

Code:
  1. isolation.tools.runProgramDone.disable
  2.  
  3. isolation.tools.osStateChange.disable
  4.  
  5. isolation.tools.osStateChangeStatus.disable
  6.  
  7. isolation.tools.setOption.disable
  8.  
  9. isolation.tools.unifiedLoop.disable
  10.  
  11. isolation.tools.haltRebootStatus.disable
  12.  
  13. isolation.tools.getMachineId.disable
  14.  
  15. isolation.tools.PatchACPITables.disable
  16.  
  17. isolation.tools.timerSponge.disable
  18.  
  19. isolation.tools.absMouseCommand.disable
  20.  
  21. isolation.tools.absMouseStatus.disable
  22.  
  23. isolation.tools.absMouseData.disable
  24.  
  25. isolation.tools.PatchSMBIOS.disable
  26.  
  27. isolation.tools.ACPI.disable
  28.  
  29. isolation.tools.rsvd2.disable
  30.  
  31. isolation.tools.rsvd1.disable
  32.  
  33. isolation.tools.rsvd0.disable
  34.  
  35. isolation.tools.message.disable
  36.  
  37. isolation.tools.Int13.disable
  38.  
  39. isolation.tools.initScsiIoprom.disable
  40.  
  41. isolation.tools.getApparentHz.disable
  42.  
  43. isolation.tools.stopCatchup.disable
  44.  
  45. isolation.tools.getTime.disable
  46.  
  47. isolation.tools.getMemSize.disable
  48.  
  49. isolation.tools.apmFunction.disable
  50.  
  51. isolation.tools.getMhz.disable
  52.  
  53. isolation.tools.dnd.disable
  54.  
  55. monitor_control.disable_apic
  56.  
  57. monitor_control.disable_rdtscopt_de
  58.  
  59. monitor_control.disable_rdtscopt_bt
  60.  
  61. monitor_control.disable_paratime
  62.  
  63. monitor_control.disable_parafastpf
  64.  
  65. monitor_control.disable_parafastexc
  66.  
  67. monitor_control.disable_para_a_bit
  68.  
  69. monitor_control.disable_vsyscall_check
  70.  
  71. monitor_control.disable_vmeopt
  72.  
  73. monitor_control.disable_shared_mmu
  74.  
  75. monitor_control.disable_setfsopt
  76.  
  77. monitor_control.disable_selfmod
  78.  
  79. monitor_control.disable_scratchlookahead
  80.  
  81. monitor_control.disable_rsvd_binding
  82.  
  83.  
  84. monitor_control.disable_rsvd_flow
  85.  
  86. monitor_control.disable_reloc
  87.  
  88. monitor_control.disable_v8086
  89.  
  90. monitor_control.disable_redirectgates
  91.  
  92. monitor_control.disable_ntreloc
  93.  
  94. monitor_control.disable_nestedpaging
  95.  
  96. monitor_control.disable_mmx
  97.  
  98. monitor_control.disable_mmucaching
  99.  
  100. monitor_control.disable_longmode
  101.  
  102. monitor_control.disable_loadscratchshort
  103.  
  104. monitor_control.disable_kfc
  105.  
  106. monitor_control.disable_inlining
  107.  
  108. monitor_control.disable_inlinetraces
  109.  
  110. monitor_control.disable_inlinetraces
  111.  
  112. monitor_control.disable_ics
  113.  
  114. monitor_control.disable_hv_hybridmmu
  115.  
  116. monitor_control.disable_flat_mode
  117.  
  118. monitor_control.disable_fffxsr
  119.  
  120. monitor_control.disable_faultpfopt
  121.  
  122. monitor_control.disable_fastsyscalls
  123.  
  124. monitor_control.disable_eagervalidate
  125.  
  126. monitor_control.disable_dttracing
  127.  
  128. monitor_control.disable_dtfastwrite
  129.  
  130. monitor_control.disable_directmemcopy
  131.  
  132. monitor_control.disable_directexec
  133.  
  134. monitor_control.disable_codetracing
  135.  
  136. monitor_control.disable_checkcodeexpire
  137.  
  138. monitor_control.disable_checkcode
  139.  
  140. monitor_control.disable_ccf_inval
  141.  
  142. monitor_control.disable_btseg
  143.  
  144. monitor_control.disable_btpriv
  145.  
  146. monitor_control.disable_btmemspace
  147.  
  148. monitor_control.disable_btinout
  149.  
  150. monitor_control.disable_bte1000_TDT
  151.  
  152. monitor_control.disable_bte1000
  153.  
  154. monitor_control.disable_apic
  155.  
  156. monitor_control.dirty_on_unlock
  157.  
  158. monitor_control.busmem_installcr
  159.  
  160. monitor_control.osscall


найденные команды

Добавлено спустя 3 минуты
Archer пишет:
Жаль расстраивать, но, скажем, Intel, всегда выходит из VMX по CPUID, это прибито гвоздями. В AMD можно настраивать, насколько помню. Но вы пилите, пилите, внутри они непременно золотые (С).



В виртуал боксе же как то поправили это.

Добавлено спустя 4 минуты
sendersu пишет:

вм детектор
много всего куда глазеет
https://www.sendspace.com/file/6h8f7v


как ей пользоваться ?) она поддерживает х64 ? ато имею просто черное окно консоли без какого либо вывода инфы

Добавлено спустя 33 минуты
Мыслей 0 что еще попробовать сделать

Ранг: 510.9 (!)
Статус: Модератор

Создано: 30 июля 2016 09:05 New!
Цитата · Личное сообщение · #28

mraksol пишет:
как ей пользоваться ?) она поддерживает х64 ?

напишет что думает о вашей системе в консольку + создаст много файлов
2) еще пару детектов вм-ов
https://www.sendspace.com/file/1asule

3) еще одна интересная утилитка (если не пробегала)
https://sourceforge.net/projects/vmtweaker/files/VMTweaker/

Ранг: 9.0 (гость)
Статус: Участник

Создано: 31 июля 2016 10:10 · Поправил: 31 июля 2016 13:32 mraksol New!
Цитата · Личное сообщение · #29

sendersu пишет:
mraksol пишет:
как ей пользоваться ?) она поддерживает х64 ?
напишет что думает о вашей системе в консольку + создаст много файлов


не хочет почему то работать на вин 7 64

Добавлено спустя 35 минут
2 последние утилиты что скинул не детектят

Добавлено спустя 3 часа 22 минуты
подсказали что так отключить vm exit on cpuid 0x00
Code:
  1. Open in 0xFF and replace to 0x00


Только не могу догнать где и что заменить

Ранг: 9.0 (гость)
Статус: Участник

Создано: 1 августа 2016 15:36 New!
Цитата · Личное сообщение · #30

не у кого не каких мыслей нет по этому поводу ?(


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 1 августа 2016 16:51 New!
Цитата · Личное сообщение · #31

mraksol копайся сам )

вот тут есть инфа, но там вбокс
http://www.kernelmode.info/forum/viewtopic.php?f=11&t=1911&start=40
<< . 1 . 2 . 3 . 4 . >>
 eXeL@B —› Вопросы новичков —› Патч анти детект VMware

Видеокурс ВЗЛОМ