всем привет. есть прога запакованная вмпротом, с защитой от запуска на виртуальной машине. нужно это дело снять - т.е. либо скрыть саму ВМ от VMprotectенной проги, либо пропатчить прогу в процессе запуска (замороженный образ т.е.) вопрос - кто нибудь этим занимался? (отпишите если да) на данный момент: [слил и установил демку вмпрота, смотрю что к чему] [ковыряю] [решено. теперь надо скрыться от антиотладки]
Запуск в нормально настроенной VMware на железе с поддержкой аппаратной виртуализации он детектирует?
"Нормально настроенной" подразумевает следующее: 1. Загружаем и устанавливаем последнюю на текущий момент версию 2. Убеждаемся, что для виртуальной машины включён Intel VT-x (Virtual Machine Settings -> Processor). 3. В конфиге виртуальной машины отключаем бекдор (monitor_control.restrict_backdoor = "TRUE"). 4. С самой виртуальной машины старательно вычищаем всё, что касается VMware Tools. За VMProtector не скажу, но после перечисленных манипуляций мне удавалось запустить на виртуальной машине все самплы malware за редким исключением тех, что детектировали VMware по специфичным именам устройств.
убедившись по пункту 2 и ресетнув машину еще раз, получил работающий экземпляр. сенкс. терь займусь антидебагом. впрочем, я поторопился. дрозофила, упакованная последней демоверсией вмпрота это прекрасно схавала. но вот целевой софт продолжает определять. посмотрим.. о, вылечилось запретом бакдурного канала.
