Vmware 虚拟机-防检测相关

2016-07-12 4076点热度 1人点赞

如果你有发生过 “VmwareTools 只能在虚拟机中安装” 的错误,又或者运行一些程序时提示 “本程序不能在虚拟机中运行”,那么可以通过调整 Vmware 虚拟机参数来改变这类情况

操作方法

先安装 Vmware Tools 并且保存快照,以后除非改回去是无法升级的。

参考文章 https://vircloud.net/exp/anti-vm-detection.html

在宿主机上找到虚拟机文件的根目录,编辑 “ *.VMX ” 的配置文件

monitor_control.restrict_backdoor = "true"
isolation.tools.getPtrLocation.disable = "TRUE"
isolation.tools.setPtrLocation.disable = "TRUE"
isolation.tools.setVersion.disable = "TRUE"
isolation.tools.getVersion.disable = "TRUE"
monitor_control.disable_directexec = "TRUE"
monitor_control.disable_chksimd = "TRUE"
monitor_control.disable_ntreloc = "TRUE"
monitor_control.disable_selfmod = "TRUE"
monitor_control.disable_reloc = "TRUE"
monitor_control.disable_btinout = "TRUE"
monitor_control.disable_btmemspace = "TRUE"
monitor_control.disable_btpriv = "TRUE"
monitor_control.disable_btseg = "TRUE"
disable_acceleration = "TRUE"
hypervisor.cpuid.v0 = "FALSE"
board-id.reflectHost = "TRUE"
hw.model.reflectHost = "TRUE"
serialNumber.reflectHost = "TRUE"
smbios.reflectHost = "TRUE"
SMBIOS.noOEMStrings = "TRUE"
SMBIOS.addHostVendor = "TRUE"

修改硬件信息

参考视频如下

计算机\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum

查询以下四个 UUID 并编辑 FriendlyName 或 DeviceDesc 中含有 VM 的条目

{4d36e967-e325-11ce-bfc1-08002be10318}
{4d36e968-e325-11ce-bfc1-08002be10318}
{4d36e965-e325-11ce-bfc1-08002be10318}
{4d36e96f-e325-11ce-bfc1-08002be10318}

编辑虚拟机参数

进入虚拟机设置,将 cpu 设置中的 虚拟化引擎 里面的所有对勾开启

可选:将 处理器数量和内核数量 增加为 2 及以上,避免单核检测

可选:客户机隔离,取消 启用拖放,启用复制粘贴


额外项目

1 、 Win7 及其他无需数字签名校验的显卡驱动修改方式

备份显卡驱动,然后找到备份的压缩包,编辑里面的 INF 文件。翻到最下方找到三个值:

DiskID =  "VMware Tools"
CompanyName =  "VMware, Inc. " 
SVGA =  "VMware SVGA 3D"

修改引号内的信息为你想伪装的显卡名称。比如

DiskID =  "GeForce GTX 660"
CompanyName =  "Nvidia" 
SVGA =  "GeForce GTX 660"

修改后保存,选择还原驱动,重启后查看设备管理器,名称为伪装的名称即可

2 、旧版本参数说明

开启屏蔽特殊指令
monitor_control.restrict_backdoor = TRUE

开启屏蔽特殊指令加强
monitor_control.disable_directexec = "TRUE"

开启屏蔽版本检测 (最常见也最简单的 VM 侦测)
isolation.tools.setVersion.disable = "TRUE"
isolation.tools.getVersion.disable = "TRUE"

Themida 壳大多只需要加两条
monitor_control.restrict_backdoor = TRUE
PS:这设定是把 VMTools 用的所有特殊指令关闭,所以会导致 VMTools 无法使用、安装 (无法判别 VM 中运行),所以使用前一定要先把 VMTools 装好 (手动安装驱动也是可行~~~)

monitor_control.disable_directexec = "TRUE"
PS:disable_acceleration = TRUE 里有包含到这条命令,不过会对加速功能全关闭,效率上不是太好

StarryVoid

Have a good time