eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: ermag (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Как скрыть от программы запуск в среде VMware?
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 1.9 (гость)
Статус: Участник

Создано: 21 декабря 2012 23:39 · Поправил: stepsid New!
Цитата · Личное сообщение · #1

всех приветствую!

поискал решение на форуме, явного ответа не нашел.
Вопрос: как спрятать от программы то, что она запускается в виртуальной среде VMware.
Прошу Вас делиться положительным или отрицательным опытом.

Итак, что мною было сделано в процессе поиска решения.
1. Нашел два документа, объясняющих как обнаружить запуск программы под виртуальной машиной
а. Mechanisms to determine if software is running in a VMware virtual machine
б. VMDetection

2. Добавил параметры в конфигурационный файл .vmx
смотри ниже.

После перезагрузки VM, использовал утилиты
утилита 1, утилита 2 для обнаружения запуска в виртуальной среде. Обе утилиты показали отсутсвие виртуальной среды.
2. Модифицировал serial number vmware SMBIOS, убрав упоминание о Vmware (Vmware-, VMW)
3. Удалял VMTools.
4. Мониторил с помощью Procmon активность программы на предмет поиска строки vmware в запросах к файловой системе и реестру. Не нашел явных запросов.
5. Отключал у процессора поддержку виртуализации, что бы исключить проверку по CPUID hypervisor present bit

Следующий этап решения проблеммы - запуск программы в среде отладчика, поиск и блокировка проверяющего кода.
Судя по всему, задачка не совсем тривиальная. Разработчик программы снабдил свое творение не только защитой от запуска в виртуальной среде,
но и защитой от запуска в среде отладчика + частично зашифровал исполняемый код.
Честно говоря, последный раз отладчиком пользовался лет 18 назад.
Но сейчас посмотрю что и как, почитаю статьи на тему - думаю разберусь.
И если у кого-то есть опробированное решение разворачивания комплекса отладки дебагера+дизассемблера, работающего в стелс режиме, на виртуальное машине -
буду рад услышать совет. Желательно с сылками на установочные дистрибутивы и на "покурить мануалы"
Спасибо.

Да поможет нам 0xCD03h и 0x90h.

PS:
привожу список настроек vmware ws9, с которыми гостевая система проходит большинство проверок на наличие виртуальной среды.
Ссылка на неплохое описание параметров в .vmx файла
Code:
  1. #основные параметры
  2. monitor_control.virtual_rdtsc = "FALSE"  
  3. monitor_control.restrict_backdoor = "TRUE"
  4. isolation.tools.getPtrLocation.disable = "TRUE"
  5. isolation.tools.setPtrLocation.disable = "TRUE"
  6. isolation.tools.setVersion.disable = "TRUE"
  7. isolation.tools.getVersion.disable = "TRUE"
  8. monitor_control.disable_directexec = "TRUE" 
  9. monitor_control.disable_btinout = "TRUE"
  10. monitor_control.disable_btmemspace = "TRUE"
  11. monitor_control.disable_btpriv = "TRUE"
  12. monitor_control.disable_btseg = "TRUE"
  13. ## неактуальны для WS9, можно удалить
  14. #monitor_control.disable_chksimd = "TRUE"   
  15. #monitor_control.disable_ntreloc = "TRUE"   
  16. #monitor_control.disable_selfmod = "TRUE" 
  17. #monitor_control.disable_reloc = "TRUE"  
  18. #оборудование
  19. #CPU/маскирование CPUID
  20. featMask.vm.cpuid.family="val:15"
  21. featMask.vm.cpuid.model="val:3"
  22. featMask.vm.cpuid.stepping="val:4"
  23. #отключение Hypervisor_bit и настройка вложенной (nested) виртуализации для установки Hyper-V
  24. hypervisor.cpuid.v0 = "FALSE"
  25. hypervisor.cpuid.v1 = "FALSE"
  26. mce.enable = "TRUE"
  27. ##настройка nested виртуализации. можно отключить.
  28. vhv.enable = "TRUE"
  29. featMask.vm.hv.capable = "Min:1"
  30. vmGenCounter.enable = "FALSE"
  31. #сетевой адаптер
  32. ethernet0.addressType = "static"
  33. ##указать свой MAC
  34. ethernet0.Address = "ХХ:ХХ:ХХ:ХХ:ХХ:ХХ"   
  35. #отключение VMCI из списка оборудования гостевой системы.
  36. vmci.available = "FALSE"
  37. vmci0.present = "FALSE"
  38. #дополнительная изоляция гостевой системы
  39. guest.commands.enabled = "FALSE"
  40. RemoteDisplay.maxConnections = "1"
  41. tools.setInfo.sizeLimit = "1048576"
  42. isolation.device.connectable.disable = "TRUE"
  43. isolation.device.edit.disable = "TRUE"
  44. isolation.tools.copy.disable = "TRUE"
  45. isolation.tools.dnd.disable = "TRUE"
  46. isolation.tools.setGUIOptions.enable = "FALSE"
  47. isolation.tools.paste.disable = "TRUE"
  48. isolation.tools.hgfs.disable = "TRUE"
  49. isolation.tools.hgfsServerSet.disable = "TRUE"
  50. isolation.monitor.control.disable = "TRUE"
  51. isolation.tools.ghi.autologon.disable = "TRUE"
  52. isolation.bios.bbs.disable = "TRUE"
  53. isolation.tools.getCreds.disable = "TRUE"
  54. isolation.tools.ghi.launchmenu.change = "TRUE"
  55. isolation.tools.memSchedFakeSampleStats.disable       = "TRUE"
  56. isolation.tools.ghi.protocolhandler.info.disable = "TRUE"
  57. isolation.ghi.host.shellAction.disable = "TRUE"
  58. isolation.tools.dispTopoRequest.disable      = "TRUE"
  59. isolation.tools.trashFolderState.disable = "TRUE"
  60. isolation.tools.ghi.trayicon.disable = "TRUE"
  61. isolation.tools.unity.disable = "TRUE"
  62. isolation.tools.unityInterlockOperation.disable = "TRUE"
  63. isolation.tools.unity.taskbar.disable = "TRUE"
  64. isolation.tools.unityActive.disable = "TRUE"
  65. isolation.tools.unity.windowContents.disable = "TRUE"
  66. isolation.tools.unity.push.update.disable = "TRUE"
  67. isolation.tools.vmxDnDVersionGet.disable = "TRUE"
  68. isolation.tools.guestDnDVersionSet.disable = "TRUE"
  69. isolation.tools.diskShrink.disable = "TRUE"
  70. isolation.tools.diskWiper.disable = "TRUE"
  71. isolation.tools.autoInstall.disable = "TRUE"
  72. vmsafe.enable = "FALSE"
  73. isolation.tools.vixMessage.disable = "TRUE"
  74. tools.guestlib.enableHostInfo = "FALSE"
  75. sharedFolder0.present = "FALSE"
  76. sharedFolder1.present = "FALSE"
  77. #отключение неиспользуемого оборудования
  78. usb.generic.autoconnect = "FALSE"
  79. serial0.present = "FALSE"
  80. serialX.present = "FALSE"
  81. floppy0.present = "FALSE"
  82. floppyX.present = "FALSE"
  83. parallel0.present = "FALSE"
  84. parallelX.present = "FALSE"


Совет: Не должны быть установлено VMware Tools. Все неиспользуемое оборудование - отключайте.
Пример:
Code:
  1. pciBridge0.present = "TRUE"
  2. pciBridge4.present = "TRUE"
  3. pciBridge4.virtualDev = "pcieRootPort"
  4. pciBridge4.functions = "8"
  5. #pciBridge5.present = "TRUE"
  6. #pciBridge5.virtualDev = "pcieRootPort"
  7. #pciBridge5.functions = "8"
  8. #pciBridge6.present = "TRUE"
  9. #pciBridge6.virtualDev = "pcieRootPort"
  10. #pciBridge6.functions = "8"
  11. #pciBridge7.present = "TRUE"
  12. #pciBridge7.virtualDev = "pcieRootPort"
  13. #pciBridge7.functions = "8"
  14. pciBridge0.pciSlotNumber = "17"
  15. pciBridge4.pciSlotNumber = "21"
  16. #pciBridge5.pciSlotNumber = "22"
  17. #pciBridge6.pciSlotNumber = "23"
  18. #pciBridge7.pciSlotNumber = "24"


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 21 декабря 2012 23:51 New!
Цитата · Личное сообщение · #2

Подозреваю что на программе висит vmp

Ранг: 1.9 (гость)
Статус: Участник

Создано: 22 декабря 2012 00:06 · Поправил: stepsid New!
Цитата · Личное сообщение · #3

Flint Вы знаете, как определить по сигнатуре присутствие vmprotect в софте?
и есть ли шансы преодолеть защиту?

Добавлю важно замечание.
Исследуемая программа написана под .Net 4


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 22 декабря 2012 01:04 New!
Цитата · Личное сообщение · #4

VMProtect doesn’t support .NET executables and has a limited support of VB executables.

Имеет смысл выложить программу. Если написано на .net, то dedot, Dis# и GrayWolf в помощь. Тут все есть http://exelab.ru/f/index.php?action=vthread&forum=1&topic=16650

| Сообщение посчитали полезным: stepsid


Ранг: 1.9 (гость)
Статус: Участник

Создано: 22 декабря 2012 01:29 · Поправил: stepsid New!
Цитата · Личное сообщение · #5

Flint
спасибо!

По поводу выкладывания программы.
Вряд ли кому-то захочется ковыряться с платным ботом к Diablo3.
Только если из чисто спортивного интереса

Ранг: 3.6 (гость)
Статус: Участник

Создано: 22 декабря 2012 10:25 · Поправил: Refcat New!
Цитата · Личное сообщение · #6

VMware_workstation_6.0.2-59824 + VMware_Anti-detect_patch_for_6_0_2-59824

Раньше люди Покер Рум на ней устанавливали. Не определял.


Ранг: 660.5 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 22 декабря 2012 13:47 · Поправил: ARCHANGEL New!
Цитата · Личное сообщение · #7

Refcat
Приложили б вы ещё и ссылку на скачивание этой версии вари - было б вообще всё замечательно.

Added
--> Ссылка для скачивания <-- всего этого. То, что удалось с трудом найти. Перед запуском проверяйте на наличие малвари!, т.к. я не проверял.

| Сообщение посчитали полезным: ==DJ==[ZLO]



Ранг: 65.2 (постоянный)
Статус: Участник

Создано: 22 декабря 2012 22:13 · Поправил: ==DJ==[ZLO] New!
Цитата · Личное сообщение · #8

Сам искал, сам нашел (тоже ошема долго живые ссылки) перепаковал в один комплект. Наработе короткий день, и не дали выложить.
зы.
Тоже не проверял , только на выходных ;)

Спасибо.

Ранг: 1.9 (гость)
Статус: Участник

Создано: 23 декабря 2012 07:45 New!
Цитата · Личное сообщение · #9

==DJ==[ZLO], уважаемый, как проверите сборку, может у Вас найдется желание + возможность проверить исследуемый софт?

Ранг: 3.6 (гость)
Статус: Участник

Создано: 23 декабря 2012 09:52 · Поправил: Refcat New!
Цитата · Личное сообщение · #10

ARCHANGEL пишет:
Refcat
Приложили б вы ещё и ссылку на скачивание этой версии вари - было б вообще всё замечательно.


Не знал куда залить, залил сюда:
VMware_workstation_6.0.2-59824 + VMware_Anti-detect_patch_for_6_0_2-59824

http://zalivalka.ru/25865
http://zalivalka.ru/25867

Для восстановления архива добавил 5%. На антидект Nod ругается.
Я сам пользовался всем этим, нечести нет.
Прошу без претензий, выложил как есть.

Ранг: 31.0 (посетитель)
Статус: Участник

Создано: 29 декабря 2012 20:21 New!
Цитата · Личное сообщение · #11

stepsid
судя по всему фимкой накрыто, сейчас тоже столкнулся с этой проблемой, ищу варианты)

Ранг: 1.9 (гость)
Статус: Участник

Создано: 7 июля 2013 16:02 · Поправил: stepsid New!
Цитата · Личное сообщение · #12

таки нашлось время "поплотнее" заняться темой "антидетекта среды виртуальной машины vmware".
за основу взял концепцию из документа 1.б в первом посте.
Идея реализации подсказана Moyshe (VMware_Anti-detect_patch) и kostya.kortchinsky (vmpatch.c).
На данный момент есть среда vmware (с 3d acceleration), с отсутствующей сигнатурой "vmware" на аппаратном и программном уровне. Что сделано:
- из bios-ов (системного и контроллеров (lsi scsi, svga, ethernet)) удалена сигнатура vmware;
- vendorID и product_name оборудования не содержат и не указывают на vmware.
- драйвер и библиотеки SVGA не содержат сигнатуру vmware.
- к настройкам .vmx из первого поста добавлены настройки, повышающие степень сокрытия обнаружения среды виртуальной машины vmware
Результат: все тесты, что мог найти в сети показывают "native machine" - ScoopyNG, VirtualMachineDetect (rdtsc окно крашится), VmDetect, CrashInVM (anti-rdtsc), virt-what (cygwin) и прочие...
А вот TNT D3 Bot определяет наличие виртуальной машины. Кто может посоветовать дополнительный интсрументарий/алгоритм тестирования, интересут вопрос о "временных отпечатках выполнения".


Ранг: 333.9 (мудрец)
Статус: Участник
born to be evil

Создано: 7 июля 2013 16:54 New!
Цитата · Личное сообщение · #13

stepsid
1. Red pill ?
2. LDT ?
фак бы составил конкретный по методам обнаружения, которые пофикшены. названия утилит ни о чем не говорят

Ранг: 1.9 (гость)
Статус: Участник

Создано: 7 июля 2013 21:59 · Поправил: stepsid New!
Цитата · Личное сообщение · #14

Вкратце по методам обнаружения. В моем случае vmware ws 9 x64.
Все что применялось для обнаружения до 2007 года, использующее особенности реакции виртуальной машины vmware на "ситуации", маскируется настройками vmware последних версий
А именно:
VERR/VERW (CrashInVM) - Not under VM
IDT, LDT, GDT, STR, "get version", "get memory size" - (ScoopyNG) - Native OS
"vmware emulation mode" (ScoopyNG) - Native OS or VMware without emulation mode (enabled acceleration)
LDT, MSW (vm_detect) - Native machine
RDTSC (VME Detector) - Time between 2 RDTSC calls was: 18 . It is very likely that you ARE NOT in a VME
Hypervisor_GPUID (PCWIZARD 2012 и иже с ним) - Native machine

Интересным оказался пакет VirtualMachineDetect. В нем присутствует утилита VMware DetectionTool.
Приведу результаты тестирования этой программой (в процентах вероятность нахождения в среде vmware).
Hardware Fingerprint: 16%
Registry Check: 0%
Instruction Check (SIDT, SLDT, SGDT, STR, IN): 0%
Timing Test: 0% . Справедливости ради, хочу заметить, что разработчик заявляет о "неполной состоятельности" тестов на время.
Приложение Rdtsc.exe крашится через пару секунд после запуска с кодом исключения 0xC0000417 в модуле msvcr90.dll.
Всвязи с этим, если есть алгоритмы/инструментарий по проведению тестов на время исполнения в среде vmware - скажите, буду пробовать.

| Сообщение посчитали полезным: plutos


Ранг: 1.9 (гость)
Статус: Участник

Создано: 7 июля 2013 22:24 · Поправил: stepsid New!
Цитата · Личное сообщение · #15

Все это "фэйлится" настройками самой vmware.
Сложнее убрать хардварные следы vmware в системе. Убрал почти все.
Однако tnt bot определяет наличие виртуальной среды при триальной попытке логина на сервер.
Может кто подскажет, как правильно "поправить" таблицы в smbios structure,
что бы убрать "лишнние" записи, ну кто в теме, тот поймет о чем я.
Просто удалением (заполнение нулями лишнего, удаление со смещением остальных данных вверх,
при неизменности размера файла) - не получается "красиво" поправить smbios structure.
Но даже при "кривой" структуре таблиц, tnt bot "видит" виртуальную машину. Что же он может проверять?

Ранг: 2.9 (гость)
Статус: Участник

Создано: 7 июля 2013 22:42 New!
Цитата · Личное сообщение · #16

stepsid выложил бы патч , затестировать

Ранг: 1.9 (гость)
Статус: Участник

Создано: 7 июля 2013 23:10 · Поправил: stepsid New!
Цитата · Личное сообщение · #17

это не патч.
это hexeditor-ом правленные: исполняемый файл, bios-ы контроллеров, системный bios, драйвер svga (убраны строки vmware итд).
одним словом - пока рабочий бардак. все надо руками донастраивать. описать процесс настройки\подключения еще руки не дошли. пока тестирую.
что точно можно выложить - настройки vmware, которые "глушат" простую проверку запуска в виртуальной среде, без определения признаков наличия характерного для vmware "оборудования".

Ранг: 19.1 (новичок)
Статус: Участник

Создано: 8 июля 2013 14:10 New!
Цитата · Личное сообщение · #18

stepsid
Я бы варьку детектил по специфическому оборудованию. Т.е. проверял бы не только VendorID, но и наличие конкретных устройств (ProductID).
Есть в винде тулза msinfo32 , которая показывает "Аппартные ресурсы" машинки. По выводимой инфе можно явно судить о наличии варьки.

Ранг: 34.7 (посетитель)
Статус: Участник

Создано: 8 июля 2013 17:53 New!
Цитата · Личное сообщение · #19

Вот если бы кто из знающих людей занялся аналогичной проблемой, применительно к VMware ThinApp. Там ведь тоже VM, и некоторые софты подло детектят виртуал, некоторые определяют его как дебаггер, некоторые как VM. В результате программы тупо выкидывают окно о детекте и не запускаются.


Ранг: 127.3 (ветеран)
Статус: Участник

Создано: 8 июля 2013 21:49 · Поправил: zeppe1in New!
Цитата · Личное сообщение · #20

stepsid пишет:
tnt bot "видит" виртуальную машину. Что же он может проверять?

в боте то не посмотреть чтоле что он проверяет? тем более .NET. выкладывай софт, а то так всю жизнь гадать можно.

stepsid пишет:
программа закрыта vmprotect или themida

Или CliSecure

Ранг: 1.9 (гость)
Статус: Участник

Создано: 8 июля 2013 22:08 · Поправил: stepsid New!
Цитата · Личное сообщение · #21

zeppe1in
прочти первые сообщения. если бы все так было просто, тему бы я не поднимал.
программа закрыта vmprotect или themida.
и еще своя собственная методика проверки запуска в виртуальной среде.
подробности о программе опишу в личном сообщении.

Ранг: 1.9 (гость)
Статус: Участник

Создано: 8 июля 2013 23:43 New!
Цитата · Личное сообщение · #22

zeppe1in пишет:
Или CliSecure


это в смысле Agile.NET ?
возможно. или themida
vmprotector (проверял демо версию) исключается - он отказывается работать с .net проектами.


Ранг: 127.3 (ветеран)
Статус: Участник

Создано: 9 июля 2013 00:09 · Поправил: zeppe1in New!
Цитата · Личное сообщение · #23

stepsid
обфусцирован clisecure, теперь это Agile.NET да.
а запакован Remotesoft protector.
-----
закинул в личку анпакнутый фаил. Теперь берёшь рефлектор и разбираешься как оно работает.
Мне при беглом осмотре показалось что вердикт приходит с сервера. Так что посмотри что там передаётся.

Ранг: 1.9 (гость)
Статус: Участник

Создано: 9 июля 2013 09:09 New!
Цитата · Личное сообщение · #24

zeppe1in
спасибо за информацию и идеи!
после установки соединения 1 пакет уходит на сервер и 1, в ответ, присылается клиенту.
данные, закодированы, как я полагаю, так как в явном виде ничего не передается.
можно, конечно, "ломать" проверку ответа, или подсовывать клиенту псевдосервер, отсылающий на запрос "правильные" пакеты, снятые при ответе на запрос с реальной машины.
но, тогда не понять, что именно "засвечивает" виртуальную среду.
кроме того, я в теме msil и отладки .net приложений новичок,
без инструментария (unpaсker) "ломать" новые версии программы у меня не получится.
А формат запросов к серверу может измениться в новой версии программы.

Ранг: 46.8 (посетитель)
Статус: Участник

Создано: 9 июля 2013 17:50 New!
Цитата · Личное сообщение · #25

Скажу тоже пару слов..
1) Вырезка из новостей:
"Avatar использует интересный прием для обнаружения среды виртуальной машины.
Он вызывает функцию nt!MmMapIoSpace для чтения данных BIOS по адресу 0xF0000 и
проверяет присутствие следующих строк:

Parallels Software
Virtual Machine
VirtualBox
QEMU BIOS
VMware
Bochs"
2) Виртуальные среды искажают какой то там запрос (100%), читал в новостях. Не могу найти подробности.
3) Эта борьба бесконечна, решений на все случаи не найдете. Как malware-AV.
4) Еще один "Этот метод использует точку входа, работающего в пределах виртуальной среды regedit.exe. Перемещаясь по виртуальному реестру можно увидеть ключ HKEY_LOCAL_MACHINE\Software\Thinstall\ProcessList. В этом ключе легко увидеть список корректно работающих процессов."

Лично я смотрю реестр и BIOS. Так же может выдать не стандартное разрешение экрана.

Ранг: 1.9 (гость)
Статус: Участник

Создано: 9 июля 2013 18:48 New!
Цитата · Личное сообщение · #26

Alinator3500
спасибо за информацию.
у меня реестр чист. bios тоже. в ответах на dmi запросы ничего про vmware нет.
про искажение запроса, если можно, поподробнее.

Ранг: 2.9 (гость)
Статус: Участник

Создано: 9 июля 2013 21:47 New!
Цитата · Личное сообщение · #27

надо патчить vmware-vmx.exe там все фишки паляться

Ранг: 1.9 (гость)
Статус: Участник

Создано: 9 июля 2013 22:06 New!
Цитата · Личное сообщение · #28

именно это я и делаю. все известные мне тесты не обнаруживают виртуальную среду.

Ранг: 1.9 (гость)
Статус: Участник

Создано: 10 июля 2013 20:16 · Поправил: stepsid New!
Цитата · Личное сообщение · #29

привожу список настроек vmware ws9, с которыми гостевая система проходит большинство проверок на наличие виртуальной среды.
Ссылка на неплохое описание параметров в .vmx файла
Code:
  1. #основные параметры
  2. monitor_control.virtual_rdtsc = "FALSE"  
  3. monitor_control.restrict_backdoor = "TRUE"
  4. isolation.tools.getPtrLocation.disable = "TRUE"
  5. isolation.tools.setPtrLocation.disable = "TRUE"
  6. isolation.tools.setVersion.disable = "TRUE"
  7. isolation.tools.getVersion.disable = "TRUE"
  8. monitor_control.disable_directexec = "TRUE" 
  9. monitor_control.disable_btinout = "TRUE"
  10. monitor_control.disable_btmemspace = "TRUE"
  11. monitor_control.disable_btpriv = "TRUE"
  12. monitor_control.disable_btseg = "TRUE"
  13. ## неактуальны для WS9, можно удалить
  14. #monitor_control.disable_chksimd = "TRUE"   
  15. #monitor_control.disable_ntreloc = "TRUE"   
  16. #monitor_control.disable_selfmod = "TRUE" 
  17. #monitor_control.disable_reloc = "TRUE"  
  18. #оборудование
  19. #CPU/маскирование CPUID
  20. featMask.vm.cpuid.family="val:15"
  21. featMask.vm.cpuid.model="val:3"
  22. featMask.vm.cpuid.stepping="val:4"
  23. #отключение Hypervisor_bit и настройка вложенной (nested) виртуализации для установки Hyper-V
  24. hypervisor.cpuid.v0 = "FALSE"
  25. hypervisor.cpuid.v1 = "FALSE"
  26. mce.enable = "TRUE"
  27. ##настройка nested виртуализации. можно отключить.
  28. vhv.enable = "TRUE"
  29. featMask.vm.hv.capable = "Min:1"
  30. vmGenCounter.enable = "FALSE"
  31. #сетевой адаптер
  32. ethernet0.addressType = "static"
  33. ##указать свой MAC
  34. ethernet0.Address = "ХХ:ХХ:ХХ:ХХ:ХХ:ХХ"   
  35. #отключение VMCI из списка оборудования гостевой системы.
  36. vmci.available = "FALSE"
  37. vmci0.present = "FALSE"
  38. #дополнительная изоляция гостевой системы
  39. guest.commands.enabled = "FALSE"
  40. RemoteDisplay.maxConnections = "1"
  41. tools.setInfo.sizeLimit = "1048576"
  42. isolation.device.connectable.disable = "TRUE"
  43. isolation.device.edit.disable = "TRUE"
  44. isolation.tools.copy.disable = "TRUE"
  45. isolation.tools.dnd.disable = "TRUE"
  46. isolation.tools.setGUIOptions.enable = "FALSE"
  47. isolation.tools.paste.disable = "TRUE"
  48. isolation.tools.hgfs.disable = "TRUE"
  49. isolation.tools.hgfsServerSet.disable = "TRUE"
  50. isolation.monitor.control.disable = "TRUE"
  51. isolation.tools.ghi.autologon.disable = "TRUE"
  52. isolation.bios.bbs.disable = "TRUE"
  53. isolation.tools.getCreds.disable = "TRUE"
  54. isolation.tools.ghi.launchmenu.change = "TRUE"
  55. isolation.tools.memSchedFakeSampleStats.disable       = "TRUE"
  56. isolation.tools.ghi.protocolhandler.info.disable = "TRUE"
  57. isolation.ghi.host.shellAction.disable = "TRUE"
  58. isolation.tools.dispTopoRequest.disable      = "TRUE"
  59. isolation.tools.trashFolderState.disable = "TRUE"
  60. isolation.tools.ghi.trayicon.disable = "TRUE"
  61. isolation.tools.unity.disable = "TRUE"
  62. isolation.tools.unityInterlockOperation.disable = "TRUE"
  63. isolation.tools.unity.taskbar.disable = "TRUE"
  64. isolation.tools.unityActive.disable = "TRUE"
  65. isolation.tools.unity.windowContents.disable = "TRUE"
  66. isolation.tools.unity.push.update.disable = "TRUE"
  67. isolation.tools.vmxDnDVersionGet.disable = "TRUE"
  68. isolation.tools.guestDnDVersionSet.disable = "TRUE"
  69. isolation.tools.diskShrink.disable = "TRUE"
  70. isolation.tools.diskWiper.disable = "TRUE"
  71. isolation.tools.autoInstall.disable = "TRUE"
  72. vmsafe.enable = "FALSE"
  73. isolation.tools.vixMessage.disable = "TRUE"
  74. tools.guestlib.enableHostInfo = "FALSE"
  75. sharedFolder0.present = "FALSE"
  76. sharedFolder1.present = "FALSE"
  77. #отключение неиспользуемого оборудования
  78. usb.generic.autoconnect = "FALSE"
  79. serial0.present = "FALSE"
  80. serialX.present = "FALSE"
  81. floppy0.present = "FALSE"
  82. floppyX.present = "FALSE"
  83. parallel0.present = "FALSE"
  84. parallelX.present = "FALSE"


Совет: Не должны быть установлено VMware Tools. Все неиспользуемое оборудование - отключайте.
Пример:
Code:
  1. pciBridge0.present = "TRUE"
  2. pciBridge4.present = "TRUE"
  3. pciBridge4.virtualDev = "pcieRootPort"
  4. pciBridge4.functions = "8"
  5. #pciBridge5.present = "TRUE"
  6. #pciBridge5.virtualDev = "pcieRootPort"
  7. #pciBridge5.functions = "8"
  8. #pciBridge6.present = "TRUE"
  9. #pciBridge6.virtualDev = "pcieRootPort"
  10. #pciBridge6.functions = "8"
  11. #pciBridge7.present = "TRUE"
  12. #pciBridge7.virtualDev = "pcieRootPort"
  13. #pciBridge7.functions = "8"
  14. pciBridge0.pciSlotNumber = "17"
  15. pciBridge4.pciSlotNumber = "21"
  16. #pciBridge5.pciSlotNumber = "22"
  17. #pciBridge6.pciSlotNumber = "23"
  18. #pciBridge7.pciSlotNumber = "24"

Ранг: 370.2 (мудрец)
Статус: Участник

Создано: 10 июля 2013 20:51 New!
Цитата · Личное сообщение · #30

stepsid пишет:
А вот TNT D3 Bot определяет наличие виртуальной машины.

cpuid с eax = 1 и проверка 31 бита в ecx, оно?
. 1 . 2 . >>
 eXeL@B —› Вопросы новичков —› Как скрыть от программы запуск в среде VMware?

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS