Обходимо детектування віртуальної машини програмами в VMWare

Розробники вірусного ЗА і просто розробники, які не бажають, щоб їх програму намагалися реверсить, на етапі запуску або установки проводять перевірки на віртуальну машину, і у разі її виявлення відмовляються працювати, а то і зовсім самоліквідуються. Під катом описаний спосіб, як вирішити цю проблему.



Я використовував VMWare Fusion для Mac, проте з тим же успіхом спосіб працює і в Workstation для Win.

1) Для роботи необхідна заново встановлена система, як внести зміни у вже існуючу не знайшов.
Готуєте віртуальний диск, вказуєте систему, як це зазвичай робите, і в настройках до встановлюваної машині, у мене цей пункт названий Isolation, вимикаєте будь обмін даними з хостовой ОС.
2) Далі треба знайти конфігураційний VMX файл, створений на етапі створення машини VMWare, і в кінці додати рядки:
isolation.tools.getPtrLocation.disable = «TRUE»
isolation.tools.setPtrLocation.disable = «TRUE»
isolation.tools.setVersion.disable = «TRUE»
isolation.tools.getVersion.disable = «TRUE»
monitor_control.disable_directexec = «TRUE»
monitor_control.disable_chksimd = «TRUE»
monitor_control.disable_ntreloc = «TRUE»
monitor_control.disable_selfmod = «TRUE»
monitor_control.disable_reloc = «TRUE»
monitor_control.disable_btinout = «TRUE»
monitor_control.disable_btmemspace = «TRUE»
monitor_control.disable_btpriv = «TRUE»
monitor_control.disable_btseg = «TRUE»


Ці опції запобігають детектування програмами віртуального оточення через такі складні перевірки, як відстеження адресного простору пам'яті, лічильників.

Важливо! Якщо на етапі налаштування установки буде опція кшталт «Express install», «Швидка установка» — вимикайте їх. Також не варто встановлювати VMWare Tools у встановлену систему, т. к. деякий ЗА перевірку включає і наявність цього пакета.

3) Зберігаємо файл, вказуємо для завантаження ISO з установником системи, встановлюємо ОС як зазвичай.

4) Незважаючи на те, що переважна більшість програм, не люблять віртуального середовища, не заходять далі перевірок, які ми відсікли на 2 кроці, деякі особливо завзяті все ж йдуть далі і намагаються шукати все, що схоже на назву контролерів віртуальних дисків.

Щоб перемогти і їх в Windows, йдемо в редактор реєстру в гілку HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum. Як бачите, там є цілком явна відсилання до того, що диск — віртуальний.



Нам потрібно змінити його, прибравши з параметра VMware Virtual, Ven, ітп, і зберегти її так.

Після пробуйте запускати ваш впертий об'єкт експериментів — в 90 відсотках випадків ці кроки допоможуть пройти перевірки на віртуальне оточення.

Важливо! Значення в HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum перезаписується після кожної перезавантаження, так що його потрібно міняти після кожного нового запуску системи.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.