Русский / Russian English / Английский

Сейчас на форуме: Adler (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› Патч анти детект VMware
<< . 1 . 2 . 3 . 4 .
Посл.ответ Сообщение

Ранг: 9.0 (гость)
Статус: Участник

Создано: 1 июля 2016 11:02 New!
Цитата · Личное сообщение · #1

Суть в том решил я создать свой патч анти детект VMware

Бек доры заштопал, биос поправил убрав строки VMvare и добавив серийный номер материнской платы c помощью Phoenix bios editor.


В vmware-vmx.exe изменил вендоров. Поправил конфиг wmx

Но проблема вот в чем. Не могу понять где скрывается эта строчка VMware



С остальным оборудованием все хорошо, но вот диск почему все равно получает приставку к имени VMware. Кто подскажет где можно ее найти.

Вот сами настройки вм вари а также патченный биос и файлы + редактор феникс биоса .

Code:
  1. monitor_control.restrict_backdoor = "true"
  2. cpuid.1.ecx="0---:----:----:----:----:----:----:----"
  3. bios440.filename = "6006.ROM"
  4. isolation.tools.copy.disable = "TRUE"
  5. isolation.tools.dnd.disable = "TRUE"
  6. isolation.tools.paste.disable = "TRUE"


http://multi-up.com/1107984
Патченный vmware-vmx.exe и биос + биос тулза файн + настроек vmx

Добавлено спустя 1 минуту
А да версия вари 12.1.0 build-3272444

| Сообщение посчитали полезным: mjau, oldman, HandMill, negoday, Danphil, forwardservice, madmaximka, texsez, Silence, Jaguar77, JohnnyEN, sashagg, krypt0n, Aqua_regia, chtck


Ранг: 3.2 (гость)
Статус: Участник

Создано: 6 сентября 2018 20:58 New!
Цитата · Личное сообщение · #2

нашел, как исправить данную проблему с Vm Exit, но не в VMware-vmx. а скорее драйвер

{ Атач доступен только для участников форума } - Скриншот 07-09-2018 000928.png

| Сообщение посчитали полезным: 5demid5


Ранг: 0.4 (гость)
Статус: Участник

Создано: 1 октября 2018 06:59 · Поправил: Модератор New!
Цитата · Личное сообщение · #3

Aqua_regia как?

Добавлено спустя 12 минут
Ребята, срочно нужна ваша помощь по поводу антидетекта а именно игры Варфейс, игра сама за антидетектилась благодаря этому патчу Mraksol`a, но при клонировании виртуалок серийные номера жд совпадают и при запуске второй игры на второй виртуалке, первая вылетает... но когда пробрасываю виртуалку на абсолютно новый HDD, все проходит нормально, без вылетов, помогите пожалуйста. Сразу говорю что программы к примеру hard disk serial number changer и т.п - не помогают, остается мутить только что в конфиге виртуалки.. менять/добавлять какие то значения.

От модератора: В запросы!
- Запросы на взлом программ
- Поиск специалистов


{ Атач доступен только для участников форума } - Screenshot_14545.png

Ранг: 3.2 (гость)
Статус: Участник

Создано: 3 октября 2018 08:23 · Поправил: Aqua_regia New!
Цитата · Личное сообщение · #4

Блин, не пойму где надо менять vin и div id, в вмх? Или где?
Есть идеи? P.S. Видеобиос поменял, но как писал Марксом, осталось так же

Добавлено спустя 5 часов 55 минут
УРА! получилось изменить вендора

Ранг: 0.2 (гость)
Статус: Участник

Создано: 4 октября 2018 17:25 New!
Цитата · Личное сообщение · #5

скиньте пожалуйста этот патч.

Ранг: 0.2 (гость)
Статус: Участник

Создано: 5 октября 2018 13:34 New!
Цитата · Личное сообщение · #6

Работает ли данный патч на 15 vmware?

Ранг: 3.2 (гость)
Статус: Участник

Создано: 5 октября 2018 13:34 · Поправил: Aqua_regia New!
Цитата · Личное сообщение · #7

sefon пишет:
Работает ли данный патч на 15 vmware?

попробуй, узнай

Ранг: 0.2 (гость)
Статус: Участник

Создано: 5 октября 2018 13:46 New!
Цитата · Личное сообщение · #8

Aqua_regia пишет:
попробуй, узнай

Я бы с удовольствием,но на 12 сервера стоят, нет возможности проверить. Виртауалку в виртуалке запустить?

Ранг: 0.4 (гость)
Статус: Участник

Создано: 8 ноября 2018 17:53 New!
Цитата · Личное сообщение · #9

Aqua_regia
Драйвер не idastealth\RDTSCEmu ли? Он вроде пашет только в х86

Ранг: 3.6 (гость)
Статус: Участник

Создано: 9 ноября 2018 12:27 New!
Цитата · Личное сообщение · #10

Ребят прочел тему и так и не понял, есть какое нибудь решения для сокрытия VMWare ? Может быть более ранних версий


Ранг: 603.8 (!)
Статус: Модератор
Research & Development

Создано: 9 ноября 2018 12:44 New!
Цитата · Личное сообщение · #11

AlexsandrS пишет:
есть какое нибудь решения для сокрытия VMWare

Есть.
Ссылка в первом сообщении.


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 9 ноября 2018 20:29 New!
Цитата · Личное сообщение · #12

Jupiter

Тоесть детект строится на конкретной реализации и его обход соответственно. А если я использую не тск, а время выполнения блока инструкций, относительно иного; гипервизор такой быстрый лишь благодаря прямому исполнению(блочному). Эти события можно обнаружить.

Ранг: 0.4 (гость)
Статус: Участник

Создано: 9 ноября 2018 21:53 New!
Цитата · Личное сообщение · #13

AlexsandrS,
Менее "инавзивный" способ убрать Vmware из uuid - добавить isolation.tools.PatchSMBIOS.disable = "TRUE" в .vmx. А как быть с чеком по таймкипингу? У меня пока как то так получается:

{ Атач доступен только для участников форума } - Pafish.PNG


Ранг: 603.8 (!)
Статус: Модератор
Research & Development

Создано: 12 ноября 2018 08:07 New!
Цитата · Личное сообщение · #14

difexacaw пишет:
Эти события можно обнаружить

ТС скрывал варю по формальным признакам (строки, данные).
От полноценного детекта через анализ работы гипервизора это не спасает. Но и таких детектов в целом меньше, нежели просто чтение реестра и проход по идентификаторам оборудования.

Тот же RDTSC ловит варю почти сразу.

Многое ещё зависит от настройки виртуалки, в том числе от количества ядер.
Например, если система настроена как одноядерная, т.е. предоставляется только 1 процессорное ядро, то даже по этому можно детектить виртуалку.

Ранг: 9.0 (гость)
Статус: Участник

Создано: 24 марта 2019 01:02 · Поправил: mraksol New!
Цитата · Личное сообщение · #15

Для не доходчивых , не занимаюсь я больше патчами , я как застрял на wmi , так и не продвинулся все есть в теме, на заказ нечего не делаю так как не могу , и нет банально навыков драва писать.

В двух словах - я сгорел тогда и забил , наработок также не осталось так как они не актуальны, но поройтесь в теме там куча подсказок куда копать.

если видете темы с похожим на мой ник кто предлагает что-то продать , шлите куда подальше на половые органы.


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 24 марта 2019 09:49 · Поправил: difexacaw New!
Цитата · Личное сообщение · #16

mraksol

Что за депрессивное настроение, весна ведь

> так как не могу , и нет банально навыков драва писать.

Это просто не знание инфы, её много. Совсем другое если бы ты решал задачу и не мог найти решение.

Для решения данной задачи драйвера писать не обязательно. Есть и другие способы в юм. Способов замера времени не много, их несколько. Их можно контролировать на уровне апп, зачем в ядро лишний раз лазить.

Ранг: 137.8 (ветеран)
Статус: Участник

Создано: 24 марта 2019 11:44 · Поправил: Alchemistry New!
Цитата · Личное сообщение · #17

На гитхабе есть проект Vmware Hardened VM detection mitigation loader. Соответствующая тема есть и тут https://exelab.ru/f/index.php?action=vthread&forum=3&topic=25469. Предполагаю что тематика форума подразумевает обходы детектов от разнообразных протекторов и защит в первую очередь чем от сферических неуловимых джо. По ссылке выше рассматривается вмпротект. Это гавно известно тем что любит использовать баг(и) в реализации виртуальных машин. Какие-то из них фиксятся, какие-то лежат годами в багтрекерах.

p.s.
Посты господина Клерка и всех его клонов, включая подсадных дурачков типа sty итд, рекомендую игнорировать - ничего по теме они все равно не скажут.


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 24 марта 2019 12:08 New!
Цитата · Личное сообщение · #18

Alchemistry

Учитывая что форумы скатились в говно, благодаря таким как ты, то думаю какой то очередной говяный проект с гхб нет смысла приводить. Если вы до сих пор используете машинную трассировку, то говорить с вами неочем.


Ранг: 77.0 (постоянный)
Статус: Участник

Создано: 24 марта 2019 12:15 New!
Цитата · Личное сообщение · #19

Дифексеков сегодня в ударе, в каждой теме по срачу
Бей их, индей, бей


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 24 марта 2019 12:18 · Поправил: difexacaw New!
Цитата · Личное сообщение · #20

Boostyq

Баб тут есчо не хватало. У вас так устроен мозг, что он не может по данным темам работать. Ваша голова предназначена лишь для создания ловушки с целью размножения. Такое нужно банить сразу, ибо вредоносно.

| Сообщение посчитали полезным: morgot



Ранг: 77.0 (постоянный)
Статус: Участник

Создано: 24 марта 2019 12:26 New!
Цитата · Личное сообщение · #21

Так и делаю, везде их наставила, смотри не наступи, а то размножишься и нам всем придется переехать с этого форума


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 24 марта 2019 12:29 New!
Цитата · Личное сообщение · #22

Задай себе вопрос чем ты отличаешься от вируса. Цели те же.

Ранг: -26.7 (нарушитель)
Статус: Участник

Создано: 24 марта 2019 12:31 New!
Цитата · Личное сообщение · #23

Alchemistry пишет:
Посты господина Клерка и всех его клонов, включая подсадных дурачков типа sty итд, рекомендую игнорировать - ничего по теме они все равно не скажут.


Ну будем считать, что вы мне отомстили. Зачет. Хоть и не особо оригинальный. Сначала я вас принял за клон Клерка, теперь вы меня. От смеха, мне кажется, весь exelab будет по полу кататься. Правда, дурачком я вас не обзывал. Еще одна подобная вольность с вашей стороны и я "побегу" жаловаться в администрацию форума и напишу жалобу лично г. Путину.

Ранг: 9.0 (гость)
Статус: Участник

Создано: 24 марта 2019 21:34 New!
Цитата · Личное сообщение · #24

Я говорил про то что нечего не когда не продавал и не продаю. Все кто пытается продать патч ссылаясь на эту тему мошенники.

Ранг: 37.4 (посетитель)
Статус: Участник

Создано: 25 марта 2019 10:52 New!
Цитата · Личное сообщение · #25

difexacaw пишет:
Ваша голова предназначена лишь для создания ловушки с целью размножения.


ну а LCF-AT тоже подходит под это определение ?


Ранг: 77.0 (постоянный)
Статус: Участник

Создано: 25 марта 2019 15:15 New!
Цитата · Личное сообщение · #26

difexacaw пишет:
Задай себе вопрос чем ты отличаешься от вируса. Цели те же.

По целям ничем, как и любое другое живое существо
Они у всех одни, добиться успеха в любом его виде, найти успешного и здорового партнера, продвинуть свою биологическую линию и в итоге оставить потомство
Но в твоем-то случае проще полететь в космос

| Сообщение посчитали полезным: sty, TerminatorX


Ранг: 306.8 (мудрец)
Статус: Модератор
CrackLab

Создано: 26 марта 2019 20:28 New!
Цитата · Личное сообщение · #27

заканчивайте не по теме гонять

| Сообщение посчитали полезным: difexacaw, Aqua_regia

<< . 1 . 2 . 3 . 4 .
 eXeL@B —› Вопросы новичков —› Патч анти детект VMware

Видеокурс ВЗЛОМ