Русский / Russian English / Английский

Сейчас на форуме: packer, igorcauret, Zeratul_zh, keks93, redeflesq (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› Патч анти детект VMware
<< . 1 . 2 . 3 . 4 . >>
Посл.ответ Сообщение

Ранг: 9.0 (гость)
Статус: Участник

Создано: 1 июля 2016 11:02 New!
Цитата · Личное сообщение · #1

Суть в том решил я создать свой патч анти детект VMware

Бек доры заштопал, биос поправил убрав строки VMvare и добавив серийный номер материнской платы c помощью Phoenix bios editor.


В vmware-vmx.exe изменил вендоров. Поправил конфиг wmx

Но проблема вот в чем. Не могу понять где скрывается эта строчка VMware



С остальным оборудованием все хорошо, но вот диск почему все равно получает приставку к имени VMware. Кто подскажет где можно ее найти.

Вот сами настройки вм вари а также патченный биос и файлы + редактор феникс биоса .

Code:
  1. monitor_control.restrict_backdoor = "true"
  2. cpuid.1.ecx="0---:----:----:----:----:----:----:----"
  3. bios440.filename = "6006.ROM"
  4. isolation.tools.copy.disable = "TRUE"
  5. isolation.tools.dnd.disable = "TRUE"
  6. isolation.tools.paste.disable = "TRUE"


http://multi-up.com/1107984
Патченный vmware-vmx.exe и биос + биос тулза файн + настроек vmx

Добавлено спустя 1 минуту
А да версия вари 12.1.0 build-3272444

| Сообщение посчитали полезным: mjau, oldman, HandMill, negoday, Danphil, forwardservice, madmaximka, texsez, Silence, Jaguar77, JohnnyEN, sashagg, krypt0n, Aqua_regia, chtck


Ранг: 9.0 (гость)
Статус: Участник

Создано: 2 августа 2016 00:40 New!
Цитата · Личное сообщение · #2

суть в том - понять где этот функционал в варе сидит. Он может не в vmx.exe сидеть а например в ядре или движке вари. Или вовсе быть строковым параметром.

Добавлено спустя 16 минут
те 2 скрипта что примером приведены - все что в них описано уже сделано , по дми таблицам вм прот детектил

Добавлено спустя 21 минуту
кстати судя по всему проблема с цпу ид только на 64 битной ос под vt-x
https://www.virtualbox.org/ticket/10947


Ранг: 334.6 (мудрец)
Статус: Участник
born to be evil

Создано: 2 августа 2016 14:16 · Поправил: 2 августа 2016 14:18 ajax New!
Цитата · Личное сообщение · #3

борьба с ветряными мельницами. за время с начала топика можно купить что-то типа LGA775 с мамкой и памятью за 3 т.р. для экспериментов, и не париться с виртуалками. против множества детектов, основанных не на оборудовании не попрешь

Ранг: 9.0 (гость)
Статус: Участник

Создано: 2 августа 2016 15:40 · Поправил: 2 августа 2016 15:51 mraksol New!
Цитата · Личное сообщение · #4

ajax пишет:
борьба с ветряными мельницами. за время с начала топика можно купить что-то типа LGA775 с мамкой и памятью за 3 т.р. для экспериментов, и не париться с виртуалками. против множества детектов, основанных не на оборудовании не попрешь



Можно , идите покупайте а я из спортивного интереса продолжу возится. Не пойму как мне поможет покупка скажем так 7 компа ? для обхода детекта ? Расцениваю ваше обращение как флуд , так как вы даже не вникали в суть.


Я уже писал что все что мне надо я уже обошел, остался чисто спортивный интерес сделать варю не детектируемой не чем из стандартных тестов. Причем этот детект вовсе не варе свойственный а вбоксу и он был пофикшен судя по всему на вбоксе 4 года назад. И почему в варе он не пофикшен не понятно.

Понять бы где именно сидит эта функция что вызывает выход, и ее поправить 2 секунды.

Добавлено спустя 11 минут
кстати кто то может посоветовать утилиту для переноса/удаления RWA ссылок

на подобии того как работает orgegui



Ранг: 334.6 (мудрец)
Статус: Участник
born to be evil

Создано: 2 августа 2016 16:02 New!
Цитата · Личное сообщение · #5

mraksol пишет:
Можно , идите покупайте

да, я-то купил. и, не один, работать надо. если будет время на выходных, запилю несколько кодесов детекта, будет интересно увидеть слив (или не слив) поделки

Ранг: 9.0 (гость)
Статус: Участник

Создано: 2 августа 2016 16:43 · Поправил: 2 августа 2016 23:09 mraksol New!
Цитата · Личное сообщение · #6

ajax пишет:
да, я-то купил. и, не один, работать надо. если будет время на выходных, запилю несколько кодесов детекта, будет интересно увидеть слив (или не слив) поделки


Да понятно что задетектить можно по чему угодно. Хоть по лишнему символу в dmi таблицах, не рабочим функциям вин апи. Но зачастую обходятся именно этими стандартными детектами. А тот софт что уж сильно напичкан детектами - называется приватной малварью. Хотя и там уже смысла в них нет. Так как просто детект добавляют в сигнатуры и евристику. И реверсят на физических тачках, даже сканеры уже не на впс а на дедикатед сервера ставят.

Добавлено спустя 16 минут
Мне щас найти бы что то чем можно ссылки rwa править

Добавлено спустя 6 часов 6 минут
нашел еще инфу по теме http://stackoverflow.com/questions/28573068/kvm-and-rdtsc-latency

Добавлено спустя 6 часов 25 минут
вот еще вероятно решение https://github.com/cnuke/genode/commit/85175fec4bbfc69fd0a5b91e7e840bb4f9ae0a2a

Добавлено спустя 6 часов 26 минут
Хотя стоп какого х не работает monitor_control.disable_directexec

Ранг: 0.2 (гость)
Статус: Участник

Создано: 3 октября 2016 02:12 · Поправил: 3 октября 2016 02:57 Danphil New!
Цитата · Личное сообщение · #7

Занимаюсь данной проблемой, только в реализации под Vmware Workstation 12.01 Linux (Debian).
Поэтому вопрос что именно правили в vmware-vmx.exe кроме текста вендора для SCSI?
И честно говоря я так и не понял как вы обошли проверку из pafish "Check the serial number ("VMware")"
И вы не могли бы выложить вашу версию видеобиоса.

Плюс хочу осветить упущенный вами момент в конфига vmx
обходим проверку MAC адреса:
Code:
  1. ethernet0.checkMACAddress = "false"
  2. ethernet0.addressType = "static"
  3. ethernet0.Address = "XX:XX:XX:XX:XX:XX"


Проблема с детектом rdtsc судя по всему принципиально не решаема?


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 9 октября 2016 08:17 · Поправил: 9 октября 2016 08:17 difexacaw New!
Цитата · Личное сообщение · #8

Я копнул чуток ядро 8-ки, можно детектить варю так:

Code:
  1. -> ExpDetectHypervisorCr3Heuristic()
  2.  
  3. NTSTATUS
  4. NtQueryLicenseValue (
  5.     PUNICODE_STRING "Kernel-VMDetection-Private",
  6.     NULL,
  7.     PBOOL Result,
  8.     ULONG 4,
  9.     PULONG ResultLength);


| Сообщение посчитали полезным: VT-x, =TS=


Ранг: 9.0 (гость)
Статус: Участник

Создано: 17 октября 2016 20:09 · Поправил: 20 октября 2016 13:14 mraksol New!
Цитата · Личное сообщение · #9

Danphil пишет:

Занимаюсь данной проблемой, только в реализации под Vmware Workstation 12.01 Linux (Debian).
Поэтому вопрос что именно правили в vmware-vmx.exe кроме текста вендора для SCSI?
И честно говоря я так и не понял как вы обошли проверку из pafish "Check the serial number ("VMware")"
И вы не могли бы выложить вашу версию видеобиоса.

Плюс хочу осветить упущенный вами момент в конфига vmx
обходим проверку MAC адреса:
Code:
ethernet0.checkMACAddress = "false"
ethernet0.addressType = "static"
ethernet0.Address = "XX:XX:XX:XX:XX:XX"


Проблема с детектом rdtsc судя по всему принципиально не решаема?


убрать пристаку vmware перед серийным ( напишы вместо VMware к примеру 123456 )



а также в финикс биосе вписать попробуй серийники которых нет

по поводу rdtsc решаема, но я пока решения не нашел. В боксе этой проблемы нет, а в варе хз что подправить.

Вот с сайта вари ответ насчет проблемы.
https://communities.vmware.com/thread/540870?tstart=0

Ранг: 2.6 (гость)
Статус: Участник

Создано: 24 ноября 2016 13:45 New!
Цитата · Личное сообщение · #10

Решил продолжить историю по созданию патча, но только для новой VMWare 12.5.1 и возникли трудности.

mraksol, ты писал о изменение видео биоса, что требуется корректировка чексуммы. Но где именно эта чексумма, и вообще чем открывается видео-биос? phoenix bios editor его не понимает. Править только руками?

Ранг: 510.9 (!)
Статус: Модератор

Создано: 24 ноября 2016 16:04 New!
Цитата · Личное сообщение · #11

AnTiDoD пишет:
но только для новой VMWare 12.5.1 и возникли трудности.


давайте сразу 12.5.2 (в .1 обнаружена критическая бага)

Ранг: 137.8 (ветеран)
Статус: Участник

Создано: 1 декабря 2016 13:21 New!
Цитата · Личное сообщение · #12

difexacaw пишет:

Я копнул чуток ядро 8-ки, можно детектить варю так:

Клекр, это тоже самое что проверить бит гипервизора через cpuid (https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458). И никаких андоков и "копаний" в гавноядре гавнооси не нужно.

| Сообщение посчитали полезным: TixRanger


Ранг: 1.2 (гость)
Статус: Участник

Создано: 1 декабря 2016 18:37 New!
Цитата · Личное сообщение · #13

Ссылки на первой странице не рабочие.
Существует актуальный способ тестирования, на вм, софта с защитой от вм?


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 2 декабря 2016 08:47 New!
Цитата · Личное сообщение · #14

Alchemistry

Нет, там полноценный детект по таймингу, посмотрите сами.

Ранг: 1.4 (гость)
Статус: Участник

Создано: 8 июня 2017 12:41 New!
Цитата · Личное сообщение · #15

Ребят есть у кого бинарник Видео биоса все по теме сделал но с виидо Всё слишком сложно, знаний не хватает

Ранг: 0.4 (гость)
Статус: Участник

Создано: 15 июня 2017 15:47 New!
Цитата · Личное сообщение · #16

Всем привет
Работа над допиливанием патча ведется или прикрыли тему?
Есть свежие версии патча?

Ранг: 9.0 (гость)
Статус: Участник

Создано: 4 июля 2017 22:42 New!
Цитата · Личное сообщение · #17

Не было времени заниматься им , обновлю инструкцию как будет время и приведу в более читабельный вид.

| Сообщение посчитали полезным: TixRanger, negoday, sashagg, limpapo


Ранг: 1.4 (гость)
Статус: Участник

Создано: 16 июля 2017 22:52 New!
Цитата · Личное сообщение · #18

Жду с нетерпением, полную настройку, особенно интересен видео биос и настройка видюхи!

Хочу выразить огромную благодарность за проделанную тобой работу(+100 к карме), всё очень полезно, хоть и поначалу было сложно разобраться!

ЗЫ Делай побыстрее полный гайд пока вектор твои лавры не прибрал)

Ранг: 0.4 (гость)
Статус: Участник

Создано: 17 июля 2017 02:03 · Поправил: TixRanger New!
Цитата · Личное сообщение · #19

JohnnyEN пишет:
Жду с нетерпением, полную настройку, особенно интересен видео биос и настройка видюхи!

Хочу выразить огромную благодарность за проделанную тобой работу(+100 к карме), всё очень полезно, хоть и поначалу было сложно разобраться!

ЗЫ Делай побыстрее полный гайд пока вектор твои лавры не прибрал)


Полностью присоединяюсь к пожеланиям и благодарности
Очень жду гайда по полной настройке
Мы верим в тебя, mraksol

Ранг: -0.7 (нарушитель)
Статус: Участник

Создано: 1 августа 2017 01:49 New!
Цитата · Личное сообщение · #20

mraksol Привет подскажи чем отредактировать жесткий диск? и вообще биос

Ранг: 0.2 (гость)
Статус: Участник

Создано: 1 сентября 2017 15:12 New!
Цитата · Личное сообщение · #21

https://prnt.sc/gfrmpc как этот детект убрать подскажите! не могу понять)

Ранг: 0.2 (гость)
Статус: Участник

Создано: 4 сентября 2017 17:33 New!
Цитата · Личное сообщение · #22

в этом поле убери VMware [img]http://joxi.ru/12MZJblC4gaVZA[/img]

Ранг: 0.2 (гость)
Статус: Участник

Создано: 1 октября 2017 14:24 New!
Цитата · Личное сообщение · #23

Огромный респект автору патча и +1000 к карме. Но после применения патча(а именно копирования .vmx-файла) пропадает функция copy&paste с хостовой в гостя и обратно, что делает невероятно неудобным использование данного патча. Установить VmWare тулз не удается, так как гость не определяется как виртулка

Ранг: 137.8 (ветеран)
Статус: Участник

Создано: 3 октября 2017 06:21 New!
Цитата · Личное сообщение · #24

GavGav
тебе шашечки или ехать?

Ранг: 0.2 (гость)
Статус: Участник

Создано: 5 октября 2017 11:29 New!
Цитата · Личное сообщение · #25

подскажите плиз как установить этот патч в VMware Fusion? Это реально?? Основная система OS X

Ранг: 0.6 (гость)
Статус: Участник

Создано: 29 декабря 2017 15:23 · Поправил: dmx512 New!
Цитата · Личное сообщение · #26

krypt0n пишет:
в этом поле убери
сработало!

Добавлено спустя 17 часов
Здравствуйте.Поздравляю всех с наступающим новым годом.желать ничего небуду а-то меня забанят за флуд ).У меня Просьба к автору.Уважаемый Mraksol ,подскажите строку в экзешнике , где изменяется вендор скази хдд.Самостоятельно не удается повторить(простите за нубство в честь праздника).Заранее спасибо за понимание.И еще раз всем-всего хорошего.

Ранг: 0.6 (гость)
Статус: Участник

Создано: 31 декабря 2017 19:43 New!
Цитата · Личное сообщение · #27

Нашел строчку.формочка.что курили действительно?

Ранг: 0.4 (гость)
Статус: Участник

Создано: 31 января 2018 21:33 New!
Цитата · Личное сообщение · #28

mraksol

Добрый вечер. Можете протестировать софт на предмет обнаружения VM?

Ранг: 0.4 (гость)
Статус: Участник

Создано: 1 февраля 2018 21:14 New!
Цитата · Личное сообщение · #29

Подскажите, ну так реально установить патч на VMware Fusion по Mac?

Ранг: 9.0 (гость)
Статус: Участник

Создано: 23 апреля 2018 12:33 · Поправил: dsrabot1 New!
Цитата · Личное сообщение · #30

Многие вещи отработали хорошо, но не совсем понял, как обойти:
Code:
  1. wmic bios get serialnumber
  2.  
  3. SerialNumber
  4. VMware-56 4d 76 78 4a dc 97 26-63 5c 29 92 9b 19 de bf


Только патчить vmware-vmx ? (p.s. у меня linux)
Да, запатчил, все ок, только надо бне забыть права обратно на файл выставить (4755)

Ранг: 3.2 (гость)
Статус: Участник

Создано: 17 июля 2018 22:12 New!
Цитата · Личное сообщение · #31

фиксанули "Vmware" в SCSI?
<< . 1 . 2 . 3 . 4 . >>
 eXeL@B —› Вопросы новичков —› Патч анти детект VMware

Видеокурс ВЗЛОМ