О чем речь? В Vmware есть недокументированный backdoor, которым можно воспользоваться: помещаем в EAX магическое число 564D5868h, в (E)CX код команды, в EBX параметр команды, в (E)DX - 5658h - номер порта, читаем(пишем) в порт OUT DX, EAX; в некоторым регистр, например, EAX, возвращается определенное значение. Благодаря этому backdoor'у определить исполняемую среду(физическую или виртуальную) не представляет труда. Суть Что можно сделать для антидетекта ? kaspersky в своей статье предлагал "пройтись по коду VMware hiew'ом, найти в ней все константы 564В5868h и заменить их чем-нибудь другим". На наличие этой константы были проверены vmware-vmx.exe и vmware.exe - безрезультатно. Первая идея читать EAX в фоне и, если в нем будет значение 564В5868h, изменить его слишком кривая. Ваши идеи ?
по поводу антидетекта. насколько мне известно, помимо этого способа детекта, есть еще несколько. недавно вон была тема по этому поводу. а Вы не пробовали vmx86.sys смотреть? возможно, там что-то есть.
rommanio В vmx86.sys не нашел. Эта тема и эта как раз и побудили к действиям. Но сейчас главным образом интересует backdoor. Если не удаться ничего сделать с ним, то и все остальные телодвижения имеют малый смысл
может достаточно будет пошаманить немного в конфиге? Код (Text): isolation.tools.getPtrLocation.disable = "TRUE" isolation.tools.setPtrLocation.disable = "TRUE" isolation.tools.setVersion.disable = "TRUE" isolation.tools.getVersion.disable = "TRUE" monitor_control.restrict_backdoor = "TRUE" monitor_control.virtual_rdtsc = "FALSE"
