детектирование VMWare, soft-ice, olly и проч

кто пробовал патч против детекта VMWare ?
http://honeynet.rstack.org/tools/vmpatch.c

как им пользоваться и для какой версии vmware он ?

 

_bloom

gcc -Wall -lz -o VMpatch VMpatch.c

VMware Workstation 5.0.0 build-13124

неужели лень глянуть в исходник самому?

 

А на дворе хардварная поддержка VMX, интересно, действительно верна ли фраза из мануала: "There is no software-visible bit whose setting indicates whether a logical processr is in VMX-root operation."
Интересно, можно ли попытаться стать VMM из VM-guest'a? И каковым будет поведение процессора?

 

раз уж тему подняли..
Есть такая софтина -- Parallels Compressor, предназначена для оптимизации дисков виртуальных машин.
Запускается внутри виртуальной машины, детектит тип ВМ, оптимизирует диск. Что интересно, последний этап этой оптимизации -- disk shrinking -- выполняется _на_хостовой_ машине. Кто-нибудь может объяснить как код из guest OS может влиять на host OS?

 

Процессор просто сгенерирует при этом исключение, которое будет обработано VMM. Ну а уже VMM решает что с ним делать. В том числе возможно проэмулировать инструкции vmload и vmrun, при этом guest сможет запускать свою vmm.
Теоретически это открывает возможность создания недетектируемых виртуальных машин. Практически же, реализовать недетектируемую vm невозможно. Слишком много существует тонкостей в поведении железа, которые врядли получиться предусмотреть.
Другая практическая область применения хардварной виртуализации - это частичная эмуляция оборудования, что может быть концом защит вроде StarForce.
Сейчас идет много разговоров о применении виртуализации в руткитах, но к сожалению, практические ее применение в этой области будет возможно не раньше, чем 99% всех машин будут иметь соответствующие процессоры.

 

flankerx
у wmvare предусмотрен интерфейс (io backdor) позволяющий работать с дисками виртуальной машины.

 

исходник не глянул..
но обошелся вообще без патча.
конфиг vmx рулит

 

в библиотеке системного программиста (том 1 книга 3 - Операционная система МС-ДОС) написано:

Дальше табличка, в которой фигурирует

Точно такой же байт на нормальной тачке
WmWare 5.5.0 - этот байт = 0
Virtual PC 5.3.582 - 7E
Все это я проверял на одной и той же ОС ms-dos 6.22
Правда есть отличия в поведении - на виртуальных машинах пока не получается модифицировать GDTR

 

PE386
а про него почитать где-нибудь можно?

 

все что можно почитать, найдется по вышеприведенным ссылкам в этом топике.
только один фиг, открытой информации недостаточно, чтобы это использовать на практике.