Изменение работы backdoor интерфейса в VMware

Тема в разделе "WASM.HEAP", создана пользователем Derek, 13 мар 2010.

  1. Derek

    Derek New Member

    Публикаций:
    0
    Регистрация:
    2 ноя 2008
    Сообщения:
    121
    О чем речь?

    В Vmware есть недокументированный backdoor, которым можно воспользоваться: помещаем в EAX магическое число 564D5868h, в (E)CX код команды, в EBX параметр команды, в (E)DX - 5658h - номер порта, читаем(пишем) в порт OUT DX, EAX; в некоторым регистр, например, EAX, возвращается определенное значение.

    Благодаря этому backdoor'у определить исполняемую среду(физическую или виртуальную) не представляет труда.

    Суть

    Что можно сделать для антидетекта ?

    kaspersky в своей статье предлагал "пройтись по коду VMware hiew'ом, найти в ней все константы 564В5868h и заменить их чем-нибудь другим". На наличие этой константы были проверены vmware-vmx.exe и vmware.exe - безрезультатно.

    Первая идея читать EAX в фоне и, если в нем будет значение 564В5868h, изменить его слишком кривая.

    Ваши идеи ?
     
  2. rommanio

    rommanio New Member

    Публикаций:
    0
    Регистрация:
    4 май 2008
    Сообщения:
    151
    по поводу антидетекта. насколько мне известно, помимо этого способа детекта, есть еще несколько. недавно вон была тема по этому поводу.

    а Вы не пробовали vmx86.sys смотреть? возможно, там что-то есть.
     
  3. Derek

    Derek New Member

    Публикаций:
    0
    Регистрация:
    2 ноя 2008
    Сообщения:
    121
    rommanio

    В vmx86.sys не нашел.

    Эта тема и эта как раз и побудили к действиям.

    Но сейчас главным образом интересует backdoor. Если не удаться ничего сделать с ним, то и все остальные телодвижения имеют малый смысл
     
  4. Hellspawn

    Hellspawn New Member

    Публикаций:
    0
    Регистрация:
    4 фев 2006
    Сообщения:
    310
    Адрес:
    Москва
    может достаточно будет пошаманить немного в конфиге?
    Код (Text):
    1. isolation.tools.getPtrLocation.disable = "TRUE"
    2. isolation.tools.setPtrLocation.disable = "TRUE"
    3. isolation.tools.setVersion.disable     = "TRUE"
    4. isolation.tools.getVersion.disable     = "TRUE"
    5. monitor_control.restrict_backdoor      = "TRUE"
    6. monitor_control.virtual_rdtsc          = "FALSE"
     
  5. Derek

    Derek New Member

    Публикаций:
    0
    Регистрация:
    2 ноя 2008
    Сообщения:
    121
    Hellspawn

    Две последние строчки ключевые. Спасибо!