Скрыть виртуальную машину
Зарегистрирован: 23.03.2010
Пользователь #: 86,204
Сообщения: 32
guru
Зарегистрирован: 04.11.2007
Пользователь #: 63,218
Сообщения: 7031
Зарегистрирован: 13.02.2007
Пользователь #: 51,550
Сообщения: 616
Зарегистрирован: 21.11.2017
Пользователь #: 166,934
Сообщения: 332
Зарегистрирован: 23.03.2010
Пользователь #: 86,204
Сообщения: 32
Зарегистрирован: 23.03.2010
Пользователь #: 86,204
Сообщения: 32
Обходим детектирование виртуальной машины программами в VMWare
Разработчики вирусного ПО и просто разработчики, не желающие, чтобы их программу пытались реверсить, на этапе запуска или установки проводят проверки на виртуальную машину, и в случае её обнаружения отказываются работать, а то и вовсе самоликвидируются. Под катом описан способ, как можно попробовать решить эту проблему.
Я использовал VMWare Fusion для Mac, однако с тем же успехом способ работает и в Workstation для Win.
1) Для работы необходима заново установленная система, как внести изменения в уже существующую — не нашёл.
Готовите виртуальный диск, указываете систему, как это обычно делаете, и в настройках к устанавливаемой машине, у меня этот пункт назван Isolation, выключаете любой обмен данными с хостовой ОС.
2) Далее надо найти конфигурационный VMX файл, создаваемый на этапе создания машины в VMWare, и в конец добавить строки:
isolation.tools.getPtrLocation.disable = «TRUE»
isolation.tools.setPtrLocation.disable = «TRUE»
isolation.tools.setVersion.disable = «TRUE»
isolation.tools.getVersion.disable = «TRUE»
monitor_control.disable_directexec = «TRUE»
monitor_control.disable_chksimd = «TRUE»
monitor_control.disable_ntreloc = «TRUE»
monitor_control.disable_selfmod = «TRUE»
monitor_control.disable_reloc = «TRUE»
monitor_control.disable_btinout = «TRUE»
monitor_control.disable_btmemspace = «TRUE»
monitor_control.disable_btpriv = «TRUE»
monitor_control.disable_btseg = «TRUE»
Эти опции предотвращают детектирование программами виртуального окружения через такие сложные проверки, как отслеживание адресного пространства памяти, счётчиков.
Важно! Если на этапе настройки установки будет опция вроде «Express install», «Быстрая установка» — выключайте их. Также не стоит устанавливать VMWare Tools в установленную систему, т.к. некоторое ПО в проверку включает и наличие этого пакета.
3) Сохраняем файл, указываем для загрузки ISO с установщиком системы, устанавливаем ОС как обычно.
4) Несмотря на то, что подавляющее большинство программ, не любящих виртуальной среды, не заходят дальше проверок, которые мы отсекли на 2 шаге, некоторые особо упорные всё же идут дальше и пытаются искать, к примеру, всё, что похоже на название контроллеров виртуальных дисков.
Чтобы победить и их в Windows, идём в редактор реестра в ветку HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum. Как видите, там есть вполне явная отсылка к тому, что диск — виртуальный.
Нам нужно изменить его, убрав из параметра VMware, Virtual, Ven, итп, и сохранить её так.
Также имеет смысл заменить в реестре поиском по VMware/Virtual на какой-нибудь Intel или IBM всё, что меняется, а не только дисковые переменные.
После пробуйте запускать ваш упрямый объект экспериментов — в процентах 70 случаев описанные шаги помогут пройти проверки на виртуальное окружение.
Важно! Значение в HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum перезаписывается после каждой перезагрузки, так что его нужно менять после каждого нового запуска системы.
Естественно, это не исчерпывающее руководство, некоторое ПО также может пытаться определять виртуальную систему следующими методами:
1) Проверками диапазона MAC адресов (просто подменяется в настройках виртуального сетевого адаптера до запускa виртуальной машины)
2) Через WinAPI опросом конфигурации ОС и прочей системной информации (FirmwareTable)
3) Низкоуровневыми трюками.
Проверить, насколько вы обезопасили себя от обнаружения, а также ознакомиться с другими популярными у разработчиков средствами обнаружения песочниц и виртуалок можно средством Pafish.
Несмотря на то, что остались места, где можно себя выдать, предложенный метод заставляет обхитрить большинство ПО, которое не желает работать в виртуальной среде, в данном случае, в VMWare.
Как видно, улучшить скрытность можно также выделив виртульной машине больше системных ресурсов. Что касается памяти, выбирать стоит значения, кратные 1024.
Спасибо всем, кто осилил статью и помог в дополнении её толковыми комментариями!
Скрыть использование виртуальной машины (qemu)
Помогите, пожалуйста, ибо нет сил уж больше гуглить. Есть задача: запустить некий «CAD софт» в виртуалке. Хитрый «кад» не разрешает себя устанавливать в виртуалку, а я пытаюсь его обмануть. XML конфиг для libvirt прилагаю:
Я уже изрядно над ним поиздевался, не пинайте сильно, но все равно не смог добиться нужного результата.
К слову, в комплекте к данному софту есть таблэтка, которая позволяет его запустить в виртуалбоксе. Выглядит примерно вот так:
Таблэтка рабочая, действительно в виртуалбоксе работает (сам виртуалбокс не хочу использовать потому что нужно пробросить видеокарту в виртуалку)
Подскажите, что я делаю не так (либо чего я еще не сделал)?
Прошу особо обратить внимание вот на этот кусок XML’ки:
Не знаю, как с CAD-овской штуковиной, но в случае с драйвером NVidia это решалось вот так:
а что именно не работает, софт не запускается? Или виртуалка не стартует с этими костылями.
Мне кажется примерно это же я передаю через параметры напрямую в qemu в этом куске:
С Nvidia драйвером я решил вопрос очень просто: установил драйвер 335 (начиная с 338 они блочат виртуалку)
Виртуалка стартует и работает отлично. А вот софт стартовать не хочет.
Есть у меня нешуточное подозрение, что они детектят по жестким дискам.
В офтопике диски определяются как
А в таблэтке для virtualbox есть как раз лечение для этого:
Спасите, помогите, не дают работать (пожалуйста)
сам виртуалбокс не хочу использовать потому что нужно пробросить видеокарту в виртуалку
Дык с линуксового хоста вроде ж можно пробрасывать виртуящиком видюху в гостя, не?
Можно, но помечено как Highly Experimental (что по русски можно перевести как «почти не работает») и действительно, проброс gpu на vb у меня пока так и не получилось завести
Тоже пробовал. Беда, что все эти 6 решений не работают под x64. А мне очень бы хотелось иметь более 4гб оперативы на процесс
Для начала конечно стоит погуглить по softwarename, чтобы узнать что оно проверяет. В крайнем случае ты можешь всегда взять отладчик и узнать сам. Или просто спросить у разработчиков объяснив ситуацию, если у тебя конечно это все легально.
Тоже об этом подумал. про мою ситуацию с %softwarename% есть буквально одна страничка в этих интернетах, на которой говорится, что софт смотрит на:
Даже приведен пример для libvirt как это поправить, но увы не работает.
Тоже подумал в сторону дебагера. Даже установил windbg, но столкнулся с двумя следующими проблемами:
Ты всегда можешь поставить VirtualBox в qemu/kvm, или просто все-таки использовать VirtualBox если с ним работает, похоже оно не стоит того времени.
Сейчас мне кажется, что у меня осталась последняя неопробованная опция: где-нибудь взять PCI-e контроллер для SATA и пробросить его в виртуалку, дабы иметь не виртуализованный диск. Возможно это поможет.
Если же нет, увы, действительно остается только:
А почему не второй комп? Собственно, это же напрашивается, когда есть специализированная задача, потребляющая много ресурсов, а у вас нет желания попробовать разобраться, может всё дело в строках «QEMU», которые захаркожены в исходнике и возможно чуть поправив их оно бы решило проблему? Я бы именно попробовал последнее, так как беглый анализ исходников показал, что это опциями вызова не решается.
Это упущение. Напиши об этом разработчикам на форум и в багтрекер.
Настройка анонимной виртуальной машины
Как и обещал, публикую материал о настройке безопасной и анонимной виртуальной машины на базе операционной системы Windows XP. Материал окажется полезным для всех тех, кто занимается сомнительными видами деятельности, например, фродом в партнерских программах или банальным мошенничеством. Это действительно полезный материал, который заслуживает вашего внимания. Весь софт, представленный в этом посте, даёт возможность менять те или иные данные вашей виртуальной машины практически на лету, что очень удобно и даёт возможность не палить данные своего настоящего железа. Итак, приступим.
Для начала скачиваем и устанавливаем саму виртуальную машину. Я рекомендую VMware Workstation. Программа платная, если не изменяет память, но, наверное, есть какие-то альтернативные пути её получения. Главное, не нарушайте законодательство страны, в которой живете. Всё же я рекомендую приобрести эту программу у разработчика, но также вы можете просто скачать её с какого-нибудь торрент-трэкера, установить в зашифрованном файловом контейнере и особо не запариваться из-за каких-то там авторских прав.
Далее скачиваем образ операционной системы. Рекомендую Windows XP, так как она по-прежнему актуальна и не будет нагружать ваш компьютер. Скачать можно также бесплатно. Боже, храни торрент-трэкеры. После скачивания устанавливаем нашу операционную систему в VMware Workstation. Расписывать этот процесс я не буду, так как в сети полно материала по этой теме. Ничего сложного там нет. Вы справитесь. Я в вас верю.
Устанавливаем CCleaner + утилиту CCEnhancer. Эта утилита в значительной степени увеличивает возможности программы, тем самым давая вам возможность вычищать намного больше различного мусора. В настройках советую выставить режим очистки хотя бы с 3 проходами. Время очистки немного увеличится, но так будет гораздо надёжнее.
Скачиваем HardDiskSerialNumberChanger. Как понятно из названия, эта простенькая программа меняет серийный номер жесткого диска, что очень даже в тему, когда вам надо менять данные о своей системе при работе в той или иной не совсем чистой сфере деятельности.
Качаем парочку портативных браузеров на выбор. Рекомендую классическую сборку Firefox и Iron Portable (браузер на базе Chrome, но более заточенный на анонимность). Вообще, чем больше разных браузеров для работы, тем лучше, так как вы можете под отдельную тему использовать свой браузер и тем самым будет меньше шансов запутаться и натворить косяков. Ну, это моё мнение.
SMAC 2.7 Professional Rus — это наше всё. Программа для быстрой смены MAC-адреса. Значительно улучшает качество сна и помогает быстрее зарабатывать шекели. Впрочем, от неё даже болт увеличивается на 0,01 см в год. Полезная штука во всех смыслах. Качаем отсюда, только тсс, никому.
По хорошему бы установить на нашу виртуальную систему VeraCrypt и KeePass. О пользе этих программ я подробно рассказал в предыдущем посте о настройке безопасной рабочей системы за 60 минут. Обязательно к прочтению!
Open VPN protector автоматически обрубает соединение с интернетом, если ваш VPN падает. Отличная вещь, которая не даёт засветить ваш реальный IP. Лучше установить, иначе может возникнуть достаточно неприятная ситуация.
Соответственно, в этом случае вам нужен VPN. Я рекомендую TorGuard, так как он не дорогой и надёжный. На ваш выбор бесчисленное множество серверов в различных странах. Плати и пользуйся. К слову, оплатить можно в биткоинах, что тоже радует мамкиных манимейкеров. Зарегистрировался по реферальной ссылке? Молодец, спасибо, +100 к фарту тебе, дружище. Кстати, в этом случае у вас фактически будет двойной VPN, если вы запустите его на основной машине, а затем подрубите на виртуальной.
VolumeID — меняет ID тома в один клик. Полезно и очень легко в использовании. Качаем тут.
Для постоянной смены IP адреса рекомендую использовать SSH туннели. Для работы с туннелями качаем программу Plinker. Ссылки нет, но вы держитесь!
Proxifier — качаем. Эта программа нам нужна для работы с носками (Socks proxy). В целом, если вам больше по душе туннели, то качать не обязательно.
Боевая машина готова к бою!
Комментарии (3):
лол ты думаешь что 4г модем тебя спасет? даже трингуляции и ты как на лодоне, молчу о других возможностях.
А не надо молчать, ты скажи. Триангуляция — далеко не панацея, особенно в плотной городской застройке. А если на конце модема сидит дальнобойный WiFi? А если здание в 40 этажей? А если смежные хаты?
Войдите или зарегистрируйтесь чтобы оставить комментарий
Как перенести виртуальную машину VirtualBox на обычный компьютер. Или как с помощью программы Vhd2disk перенести Windows 10 с виртуальной машины на стационарный ПК
При создании виртуального диска я указал размер 250 Гб. На диске (C:) установлена операционная система, а на (E:) находятся различные файлы.
Выделяем левой мышью виртуальный диск VDI, принадлежащий операционной системе, которую хотим переносить на обычный компьютер и жмём на кнопку Копировать.
Отмечаем пункт VHD (Virtual Hard Disk).
Отмечаем пункт Динамический виртуальный жёсткий диск.
Щёлкаем левой мышью на кнопке проводника.
Выбираем место сохранения будущей копии виртуального жёсткого диска, я выберу диск (G:), так как нём много свободного места.
Происходит недолгий процесс преобразования виртуального жёсткого диска VDI в формат VHD.
По окончании процесса жмём на кнопку Закрыть.
На диске (G:) рядом с виртуальным жёстким диском VDI появилась его копия, только в формате VHD.
Разворачивать копию виртуального диска нужно на полностью чистый физический жёсткий диск без разделов.
Открываем оснастку Управления дисками.
Удаляю на нём все разделы.
В открывшемся проводнике находим копию нашего виртуального диска VHD, выделяем его левой кнопкой мыши и жмём Open VHD.
В поле Target drive мы должны указать порядковый номер того жёсткого диска, на который будем разворачивать копию виртуального диска. Жмём на стрелочку.
В выпадающем списке выбираем PhysicalDrive1, так как разворачивать содержимое виртуального диска VHD мы будем на Диск 1.
Жмём на кнопку Vhd to disk.
Начинается процесс копирования содержимого виртуального жёсткого диска VHD на обычный жёсткий диск.
Процесс успешно завершён.
Status: VHD dumped on drive successfully! (VHD успешно скопирован на жёсткий диск!).
Заходим в Управление дисками, жмём Действие—>Обновить.
Как видим, жёсткий диск (Диск 1) представляет из себя точную копию виртуального жёсткого диска VHD с виртуальной машины и установленной Windows 10.
Пробуем загрузиться в Windows 10.
Перезагружаем компьютер и входим в меню загрузки, выбираем наш жёсткий диск (копию виртуального диска VHD с Windows 10).
Windows 10 загружена!
В диспетчере задач есть несколько устройств без драйверов, но для нас это не проблема, драйвера устанавливаем по этим статьям.
Комментарии (33)
Рекламный блок
Подпишитесь на рассылку
Навигация
Облако тегов
Архив статей
Сейчас обсуждаем
admin
Да сравнение игровой производительности i5 12600k и Ryzen 5600X с видеокартой RTX 360 Ti, показало
Glorian
админ, вы сами сравнивали в играх процессоры i5 12600k и Ryzen 5600X с какой-нибудь одной
admin
Remap не восстанавливает логически битые блоки, а сразу переназначает их резервными (так же как
admin
На материнской плате ASUS Z97-A есть разъём для SSD M.2 (ключ 2260/2280) интерфейса PCI Express 2.0
admin
Вы не правы, вот моя статья по этому вопросу: https://remontcompa.ru/270-ustanovka-windows-8.html
О проекте RemontCompa.ru
RemontCompa — сайт с огромнейшей базой материалов по работе с компьютером и операционной системой Windows. Наш проект создан в 2010 году, мы стояли у истоков современной истории Windows. У нас на сайте вы найдёте материалы по работе с Windows начиная с XP. Мы держим руку на пульсе событий в эволюции Windows, рассказываем о всех важных моментах в жизни операционной системы. Мы стабильно выпускаем мануалы по работе с Windows, делимся советами и секретами. Также у нас содержится множество материалов по аппаратной части работы с компьютером. И мы регулярно публикуем материалы о комплектации ПК, чтобы каждый смог сам собрать свой идеальный компьютер.
Наш сайт – прекрасная находка для тех, кто хочет основательно разобраться в компьютере и Windows, повысить свой уровень пользователя до опытного или профи.