Сейчас на форуме: localhost1, vsv1, asfa, tyns777 (+5 невидимых)

 [email protected] —› Вопросы новичков —› Патч анти детект VMware
<< . 1 . 2 . 3 . 4 . >>
Посл.ответ Сообщение

Ранг: 9.0 (гость), 23thx
Активность: 0.030
Статус: Участник

Создано: 01 июля 2016 11:02
· Личное сообщение · #1

Суть в том решил я создать свой патч анти детект VMware

Бек доры заштопал, биос поправил убрав строки VMvare и добавив серийный номер материнской платы c помощью Phoenix bios editor.


В vmware-vmx.exe изменил вендоров. Поправил конфиг wmx

Но проблема вот в чем. Не могу понять где скрывается эта строчка VMware



С остальным оборудованием все хорошо, но вот диск почему все равно получает приставку к имени VMware. Кто подскажет где можно ее найти.

Вот сами настройки вм вари а также патченный биос и файлы + редактор феникс биоса .

Code:
  1. monitor_control.restrict_backdoor = "true"
  2. cpuid.1.ecx="0---:----:----:----:----:----:----:----"
  3. bios440.filename = "6006.ROM"
  4. isolation.tools.copy.disable = "TRUE"
  5. isolation.tools.dnd.disable = "TRUE"
  6. isolation.tools.paste.disable = "TRUE"


http://multi-up.com/1107984
Патченный vmware-vmx.exe и биос + биос тулза файн + настроек vmx

Добавлено спустя 1 минуту
А да версия вари 12.1.0 build-3272444

| Сообщение посчитали полезным: mjau, oldman, HandMill, negoday, Danphil, forwardservice, madmaximka, texsez, Silence, Jaguar77, JohnnyEN, sashagg, krypt0n, Aqua_regia, chtck, bumblebee, klsu

Ранг: 9.0 (гость), 23thx
Активность: 0.030
Статус: Участник

Создано: 02 августа 2016 00:40
· Личное сообщение · #2

суть в том - понять где этот функционал в варе сидит. Он может не в vmx.exe сидеть а например в ядре или движке вари. Или вовсе быть строковым параметром.

Добавлено спустя 16 минут
те 2 скрипта что примером приведены - все что в них описано уже сделано , по дми таблицам вм прот детектил

Добавлено спустя 21 минуту
кстати судя по всему проблема с цпу ид только на 64 битной ос под vt-x
https://www.virtualbox.org/ticket/10947




Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

Создано: 02 августа 2016 14:16 · Поправил: ajax
· Личное сообщение · #3

борьба с ветряными мельницами. за время с начала топика можно купить что-то типа LGA775 с мамкой и памятью за 3 т.р. для экспериментов, и не париться с виртуалками. против множества детектов, основанных не на оборудовании не попрешь

-----
От многой мудрости много скорби, и умножающий знание умножает печаль




Ранг: 9.0 (гость), 23thx
Активность: 0.030
Статус: Участник

Создано: 02 августа 2016 15:40 · Поправил: mraksol
· Личное сообщение · #4

ajax пишет:
борьба с ветряными мельницами. за время с начала топика можно купить что-то типа LGA775 с мамкой и памятью за 3 т.р. для экспериментов, и не париться с виртуалками. против множества детектов, основанных не на оборудовании не попрешь



Можно , идите покупайте а я из спортивного интереса продолжу возится. Не пойму как мне поможет покупка скажем так 7 компа ? для обхода детекта ? Расцениваю ваше обращение как флуд , так как вы даже не вникали в суть.


Я уже писал что все что мне надо я уже обошел, остался чисто спортивный интерес сделать варю не детектируемой не чем из стандартных тестов. Причем этот детект вовсе не варе свойственный а вбоксу и он был пофикшен судя по всему на вбоксе 4 года назад. И почему в варе он не пофикшен не понятно.

Понять бы где именно сидит эта функция что вызывает выход, и ее поправить 2 секунды.

Добавлено спустя 11 минут
кстати кто то может посоветовать утилиту для переноса/удаления RWA ссылок

на подобии того как работает orgegui






Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

Создано: 02 августа 2016 16:02
· Личное сообщение · #5

mraksol пишет:
Можно , идите покупайте

да, я-то купил. и, не один, работать надо. если будет время на выходных, запилю несколько кодесов детекта, будет интересно увидеть слив (или не слив) поделки

-----
От многой мудрости много скорби, и умножающий знание умножает печаль




Ранг: 9.0 (гость), 23thx
Активность: 0.030
Статус: Участник

Создано: 02 августа 2016 16:43 · Поправил: mraksol
· Личное сообщение · #6

ajax пишет:
да, я-то купил. и, не один, работать надо. если будет время на выходных, запилю несколько кодесов детекта, будет интересно увидеть слив (или не слив) поделки


Да понятно что задетектить можно по чему угодно. Хоть по лишнему символу в dmi таблицах, не рабочим функциям вин апи. Но зачастую обходятся именно этими стандартными детектами. А тот софт что уж сильно напичкан детектами - называется приватной малварью. Хотя и там уже смысла в них нет. Так как просто детект добавляют в сигнатуры и евристику. И реверсят на физических тачках, даже сканеры уже не на впс а на дедикатед сервера ставят.

Добавлено спустя 16 минут
Мне щас найти бы что то чем можно ссылки rwa править

Добавлено спустя 6 часов 6 минут
нашел еще инфу по теме http://stackoverflow.com/questions/28573068/kvm-and-rdtsc-latency

Добавлено спустя 6 часов 25 минут
вот еще вероятно решение https://github.com/cnuke/genode/commit/85175fec4bbfc69fd0a5b91e7e840bb4f9ae0a2a

Добавлено спустя 6 часов 26 минут
Хотя стоп какого х не работает monitor_control.disable_directexec



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 03 октября 2016 02:12 · Поправил: Danphil
· Личное сообщение · #7

Занимаюсь данной проблемой, только в реализации под Vmware Workstation 12.01 Linux (Debian).
Поэтому вопрос что именно правили в vmware-vmx.exe кроме текста вендора для SCSI?
И честно говоря я так и не понял как вы обошли проверку из pafish "Check the serial number ("VMware")"
И вы не могли бы выложить вашу версию видеобиоса.

Плюс хочу осветить упущенный вами момент в конфига vmx
обходим проверку MAC адреса:
Code:
  1. ethernet0.checkMACAddress = "false"
  2. ethernet0.addressType = "static"
  3. ethernet0.Address = "XX:XX:XX:XX:XX:XX"


Проблема с детектом rdtsc судя по всему принципиально не решаема?




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 09 октября 2016 08:17 · Поправил: difexacaw
· Личное сообщение · #8

Я копнул чуток ядро 8-ки, можно детектить варю так:

Code:
  1. -> ExpDetectHypervisorCr3Heuristic()
  2.  
  3. NTSTATUS
  4. NtQueryLicenseValue (
  5.     PUNICODE_STRING "Kernel-VMDetection-Private",
  6.     NULL,
  7.     PBOOL Result,
  8.     ULONG 4,
  9.     PULONG ResultLength);




-----
vx


| Сообщение посчитали полезным: VT-x, =TS=

Ранг: 9.0 (гость), 23thx
Активность: 0.030
Статус: Участник

Создано: 17 октября 2016 20:09 · Поправил: mraksol
· Личное сообщение · #9

Danphil пишет:

Занимаюсь данной проблемой, только в реализации под Vmware Workstation 12.01 Linux (Debian).
Поэтому вопрос что именно правили в vmware-vmx.exe кроме текста вендора для SCSI?
И честно говоря я так и не понял как вы обошли проверку из pafish "Check the serial number ("VMware")"
И вы не могли бы выложить вашу версию видеобиоса.

Плюс хочу осветить упущенный вами момент в конфига vmx
обходим проверку MAC адреса:
Code:
ethernet0.checkMACAddress = "false"
ethernet0.addressType = "static"
ethernet0.Address = "XX:XX:XX:XX:XX:XX"


Проблема с детектом rdtsc судя по всему принципиально не решаема?


убрать пристаку vmware перед серийным ( напишы вместо VMware к примеру 123456 )



а также в финикс биосе вписать попробуй серийники которых нет

по поводу rdtsc решаема, но я пока решения не нашел. В боксе этой проблемы нет, а в варе хз что подправить.

Вот с сайта вари ответ насчет проблемы.
https://communities.vmware.com/thread/540870?tstart=0



Ранг: 2.6 (гость), 4thx
Активность: 0=0
Статус: Участник

Создано: 24 ноября 2016 13:45
· Личное сообщение · #10

Решил продолжить историю по созданию патча, но только для новой VMWare 12.5.1 и возникли трудности.

mraksol, ты писал о изменение видео биоса, что требуется корректировка чексуммы. Но где именно эта чексумма, и вообще чем открывается видео-биос? phoenix bios editor его не понимает. Править только руками?



Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

Создано: 24 ноября 2016 16:04
· Личное сообщение · #11

AnTiDoD пишет:
но только для новой VMWare 12.5.1 и возникли трудности.


давайте сразу 12.5.2 (в .1 обнаружена критическая бага)



Ранг: 145.8 (ветеран), 191thx
Активность: 0.140.36
Статус: Участник

Создано: 01 декабря 2016 13:21
· Личное сообщение · #12

difexacaw пишет:

Я копнул чуток ядро 8-ки, можно детектить варю так:

Клекр, это тоже самое что проверить бит гипервизора через cpuid (https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458). И никаких андоков и "копаний" в гавноядре гавнооси не нужно.

| Сообщение посчитали полезным: TixRanger

Ранг: 1.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 01 декабря 2016 18:37
· Личное сообщение · #13

Ссылки на первой странице не рабочие.
Существует актуальный способ тестирования, на вм, софта с защитой от вм?




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 02 декабря 2016 08:47
· Личное сообщение · #14

Alchemistry

Нет, там полноценный детект по таймингу, посмотрите сами.

-----
vx




Ранг: 1.4 (гость)
Активность: 0=0
Статус: Участник

Создано: 08 июня 2017 12:41
· Личное сообщение · #15

Ребят есть у кого бинарник Видео биоса все по теме сделал но с виидо Всё слишком сложно, знаний не хватает



Ранг: 0.4 (гость)
Активность: 0=0
Статус: Участник

Создано: 15 июня 2017 15:47
· Личное сообщение · #16

Всем привет
Работа над допиливанием патча ведется или прикрыли тему?
Есть свежие версии патча?



Ранг: 9.0 (гость), 23thx
Активность: 0.030
Статус: Участник

Создано: 04 июля 2017 22:42
· Личное сообщение · #17

Не было времени заниматься им , обновлю инструкцию как будет время и приведу в более читабельный вид.

| Сообщение посчитали полезным: TixRanger, negoday, sashagg, limpapo

Ранг: 1.4 (гость)
Активность: 0=0
Статус: Участник

Создано: 16 июля 2017 22:52
· Личное сообщение · #18

Жду с нетерпением, полную настройку, особенно интересен видео биос и настройка видюхи!

Хочу выразить огромную благодарность за проделанную тобой работу(+100 к карме), всё очень полезно, хоть и поначалу было сложно разобраться!

ЗЫ Делай побыстрее полный гайд пока вектор твои лавры не прибрал)



Ранг: 0.4 (гость)
Активность: 0=0
Статус: Участник

Создано: 17 июля 2017 02:03 · Поправил: TixRanger
· Личное сообщение · #19

JohnnyEN пишет:
Жду с нетерпением, полную настройку, особенно интересен видео биос и настройка видюхи!

Хочу выразить огромную благодарность за проделанную тобой работу(+100 к карме), всё очень полезно, хоть и поначалу было сложно разобраться!

ЗЫ Делай побыстрее полный гайд пока вектор твои лавры не прибрал)


Полностью присоединяюсь к пожеланиям и благодарности
Очень жду гайда по полной настройке
Мы верим в тебя, mraksol



Ранг: -0.7 (гость)
Активность: 0=0
Статус: Участник

Создано: 01 августа 2017 01:49
· Личное сообщение · #20

mraksol Привет подскажи чем отредактировать жесткий диск? и вообще биос



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 01 сентября 2017 15:12
· Личное сообщение · #21

https://prnt.sc/gfrmpc как этот детект убрать подскажите! не могу понять)



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 04 сентября 2017 17:33
· Личное сообщение · #22

в этом поле убери VMware [img]http://joxi.ru/12MZJblC4gaVZA[/img]



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 01 октября 2017 14:24
· Личное сообщение · #23

Огромный респект автору патча и +1000 к карме. Но после применения патча(а именно копирования .vmx-файла) пропадает функция copy&paste с хостовой в гостя и обратно, что делает невероятно неудобным использование данного патча. Установить VmWare тулз не удается, так как гость не определяется как виртулка



Ранг: 145.8 (ветеран), 191thx
Активность: 0.140.36
Статус: Участник

Создано: 03 октября 2017 06:21
· Личное сообщение · #24

GavGav
тебе шашечки или ехать?



Ранг: 0.2 (гость)
Активность: 0=0
Статус: Участник

Создано: 05 октября 2017 11:29
· Личное сообщение · #25

подскажите плиз как установить этот патч в VMware Fusion? Это реально?? Основная система OS X



Ранг: 0.6 (гость)
Активность: 0=0
Статус: Участник

Создано: 29 декабря 2017 15:23 · Поправил: dmx512
· Личное сообщение · #26

krypt0n пишет:
в этом поле убери
сработало!

Добавлено спустя 17 часов
Здравствуйте.Поздравляю всех с наступающим новым годом.желать ничего небуду а-то меня забанят за флуд ).У меня Просьба к автору.Уважаемый Mraksol ,подскажите строку в экзешнике , где изменяется вендор скази хдд.Самостоятельно не удается повторить(простите за нубство в честь праздника).Заранее спасибо за понимание.И еще раз всем-всего хорошего.



Ранг: 0.6 (гость)
Активность: 0=0
Статус: Участник

Создано: 31 декабря 2017 19:43
· Личное сообщение · #27

Нашел строчку.формочка.что курили действительно?



Ранг: 0.4 (гость)
Активность: 0=0
Статус: Участник

Создано: 31 января 2018 21:33
· Личное сообщение · #28

mraksol

Добрый вечер. Можете протестировать софт на предмет обнаружения VM?



Ранг: 0.4 (гость)
Активность: 0=0
Статус: Участник

Создано: 01 февраля 2018 21:14
· Личное сообщение · #29

Подскажите, ну так реально установить патч на VMware Fusion по Mac?



Ранг: 9.0 (гость), 6thx
Активность: 0.030.02
Статус: Участник

Создано: 23 апреля 2018 12:33 · Поправил: dsrabot1
· Личное сообщение · #30

Многие вещи отработали хорошо, но не совсем понял, как обойти:
Code:
  1. wmic bios get serialnumber
  2.  
  3. SerialNumber
  4. VMware-56 4d 76 78 4a dc 97 26-63 5c 29 92 9b 19 de bf


Только патчить vmware-vmx ? (p.s. у меня linux)
Да, запатчил, все ок, только надо бне забыть права обратно на файл выставить (4755)



Ранг: 3.2 (гость), 1thx
Активность: 0.020
Статус: Участник

Создано: 17 июля 2018 22:12
· Личное сообщение · #31

фиксанули "Vmware" в SCSI?


<< . 1 . 2 . 3 . 4 . >>
 [email protected] —› Вопросы новичков —› Патч анти детект VMware
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати