VM웨어 강화 VM 탐지 완화 로더
현재는 Windows (vista ~ win10) x64 게스트 만 지원됩니다.
VMProtect 3.2, Safengine 및 Themida (anti-vm 기능)에서 vmware 게스트를 감지하지 못합니다.
그것이하는 일
VmLoader 드라이버는 런타임에 SystemFirmwareTable을 패치하고 "VMware" "Virtual" "VMWARE"와 같은 감지 가능한 모든 서명을 제거합니다.
짓다
Visual Studio 2015/2017 및 Windows Driver Kit 10 이 필요합니다.
Visual Studio 2015/2017에서 VmLoader.sln 열기
VmLoader를 x64 / Release로 빌드합니다. (현재 x86 지원 없음)
테스트 서명 모드로로드하려면 "bin / vmloader.sys"를 테스트 서명해야합니다.
설치
경고
vmtools를 설치하지 마십시오. 모든 것이 망칠 것입니다!
대신 TeamViewer / AnyDesk / mstsc / VNC 뷰어를 사용하십시오!
1 단계 : .vmx에 다음 설정 추가
hypervisor.cpuid.v0 = "FALSE" board-id.reflectHost = "TRUE" hw.model.reflectHost = "TRUE" serialNumber.reflectHost = "TRUE" smbios.reflectHost = "TRUE" SMBIOS.noOEMStrings = "TRUE" isolation.tools.getPtrLocation.disable = "TRUE" isolation.tools.setPtrLocation.disable = "TRUE" isolation.tools.setVersion.disable = "TRUE" isolation.tools.getVersion.disable = "TRUE" monitor_control.disable_directexec = "TRUE" monitor_control.disable_chksimd = "TRUE" monitor_control.disable_ntreloc = "TRUE" monitor_control.disable_selfmod = "TRUE" monitor_control.disable_reloc = "TRUE" monitor_control.disable_btinout = "TRUE" monitor_control.disable_btmemspace = "TRUE" monitor_control.disable_btpriv = "TRUE" monitor_control.disable_btseg = "TRUE" monitor_control.restrict_backdoor = "TRUE"
시스템 드라이브로 scsi0 슬롯 (첫 번째 슬롯)에 SCSI 가상 디스크가있는 경우
scsi0:0.productID = "Whatever you want" scsi0:0.vendorID = "Whatever you want"
나는 사용한다
scsi0:0.productID = "Tencent SSD" scsi0:0.vendorID = "Tencent"
2 단계 : MAC 주소 수정
게스트의 MAC 주소를 다음을 제외하고 수정합니다.
TCHAR *szMac[][2] = { { _T("\x00\x05\x69"), _T("00:05:69") }, // VMWare, Inc. { _T("\x00\x0C\x29"), _T("00:0c:29") }, // VMWare, Inc. { _T("\x00\x1C\x14"), _T("00:1C:14") }, // VMWare, Inc. { _T("\x00\x50\x56"), _T("00:50:56") }, // VMWare, Inc. };
추가 할 수 있습니다.
ethernet0.address = "Some random mac address"
vmware GUI에서 MAC 주소를 수정하는 대신 vmx 파일로
나는 사용한다
ethernet0.address = "00:11:56:20:D2:E8"
3 단계 : 관리자 권한으로 vm guest에서 install.bat 실행
서비스 시작시 오류가 발생하면 DbgView를 사용하여 커널 디버그 출력을 캡처합니다. DbgView 출력 정보와 ntoskrnl.exe가 첨부 된 문제를 게시 할 수 있습니다.
오류가 발생하지 않으면 모든 것이 정상적으로 작동합니다.
유리 진열장
VMProtect 3.2 패키지 프로그램이 포함 된 VM웨어 게스트 win8.1 x64 (anti-vm 옵션 활성화 됨)
'자료' 카테고리의 다른 글
| 루트킷 프로세스 숨기기(Hiding the Rootkit Process -2) (0) | 2020.08.07 |
|---|---|
| 루트킷 프로세스 숨기기(Hiding the Rootkit Process -1) (0) | 2020.08.07 |
| 하드디스크 스푸퍼 HWD SPoofer (5) | 2020.08.07 |
| [VB.NET/C#] 마우스,키보드 후킹 keyboard Hook (0) | 2020.08.07 |
| [VB.net/C#] 폴더/파일 유무 확인 및 생성 (0) | 2020.08.05 |
