Изменение работы backdoor интерфейса в VMware

О чем речь?

В Vmware есть недокументированный backdoor, которым можно воспользоваться: помещаем в EAX магическое число 564D5868h, в (E)CX код команды, в EBX параметр команды, в (E)DX - 5658h - номер порта, читаем(пишем) в порт OUT DX, EAX; в некоторым регистр, например, EAX, возвращается определенное значение.

Благодаря этому backdoor'у определить исполняемую среду(физическую или виртуальную) не представляет труда.

Суть

Что можно сделать для антидетекта ?

kaspersky в своей статье предлагал "пройтись по коду VMware hiew'ом, найти в ней все константы 564В5868h и заменить их чем-нибудь другим". На наличие этой константы были проверены vmware-vmx.exe и vmware.exe - безрезультатно.

Первая идея читать EAX в фоне и, если в нем будет значение 564В5868h, изменить его слишком кривая.

Ваши идеи ?

 

по поводу антидетекта. насколько мне известно, помимо этого способа детекта, есть еще несколько. недавно вон была тема по этому поводу.

а Вы не пробовали vmx86.sys смотреть? возможно, там что-то есть.

 

rommanio

В vmx86.sys не нашел.

Эта тема и эта как раз и побудили к действиям.

Но сейчас главным образом интересует backdoor. Если не удаться ничего сделать с ним, то и все остальные телодвижения имеют малый смысл

 

может достаточно будет пошаманить немного в конфиге?

Код (Text):

1. isolation.tools.getPtrLocation.disable = "TRUE"
2. isolation.tools.setPtrLocation.disable = "TRUE"
3. isolation.tools.setVersion.disable     = "TRUE"
4. isolation.tools.getVersion.disable     = "TRUE"
5. monitor_control.restrict_backdoor      = "TRUE"
6. monitor_control.virtual_rdtsc          = "FALSE"

 

Hellspawn

Две последние строчки ключевые. Спасибо!