觅风论坛

标题: C++实现VMWARE虚拟机反程序检测虚拟机功能源码分享 [打印本页]
作者: MatthewAsync    时间: 昨天 02:00
标题: C++实现VMWARE虚拟机反程序检测虚拟机功能源码分享
         C++实现VMWARE虚拟机反程序检测虚拟机功能源码分享,VMware强化VM检测缓解加载程序。目前,仅支持Windows(vista~win10)x64来宾。


它使VMProtect 3.2、Safengine和Themida(反虚拟机功能)无法检测到VMware客户机。

VmLoader驱动程序在运行时修补SystemFirmwareTable,它删除了所有可检测的签名,如“VMware”、“Virtual”、“VMware”。

使用方法:

需要Visual Studio 2015/2017和Windows驱动程序工具包10。
使用Visual Studio打开VmLoader.sln 2015/2017
将VmLoader构建为x64/版本。(目前不支持x86)
如果你想在测试签名模式下加载它,记得测试签名“bin/vmloader.sys”。


注意:

不要安装vmtools,请改用TeamViewer/AnyDesk/mstsc/VNC查看器!


虚拟机VMX文件修改如下:
  1. hypervisor.cpuid.v0 = "FALSE"
  2. board-id.reflectHost = "TRUE"
  3. hw.model.reflectHost = "TRUE"
  4. serialNumber.reflectHost = "TRUE"
  5. smbios.reflectHost = "TRUE"
  6. SMBIOS.noOEMStrings = "TRUE"
  7. isolation.tools.getPtrLocation.disable = "TRUE"
  8. isolation.tools.setPtrLocation.disable = "TRUE"
  9. isolation.tools.setVersion.disable = "TRUE"
  10. isolation.tools.getVersion.disable = "TRUE"
  11. monitor_control.disable_directexec = "TRUE"
  12. monitor_control.disable_chksimd = "TRUE"
  13. monitor_control.disable_ntreloc = "TRUE"
  14. monitor_control.disable_selfmod = "TRUE"
  15. monitor_control.disable_reloc = "TRUE"
  16. monitor_control.disable_btinout = "TRUE"
  17. monitor_control.disable_btmemspace = "TRUE"
  18. monitor_control.disable_btpriv = "TRUE"
  19. monitor_control.disable_btseg = "TRUE"
  20. monitor_control.restrict_backdoor = "TRUE"
复制代码


上面添加完成后,如果您在scsi0插槽(第一个插槽)有一个SCSI虚拟磁盘作为系统驱动器,请记得添加

  1. scsi0:0.productID = "Whatever you want"
  2. scsi0:0.vendorID = "Whatever you want"
  3. 我自己的代码如下

  5. scsi0:0.productID = "Tencent SSD"
  6. scsi0:0.vendorID = "Tencent"
复制代码


将虚拟机的MAC地址改成以下地址之外的任何地址:


  1. TCHAR *szMac[][2] = {
  2.                 { _T("\x00\x05\x69"), _T("00:05:69") }, // VMWare, Inc.
  3.                 { _T("\x00\x0C\x29"), _T("00:0c:29") }, // VMWare, Inc.
  4.                 { _T("\x00\x1C\x14"), _T("00:1C:14") }, // VMWare, Inc.
  5.                 { _T("\x00\x50\x56"), _T("00:50:56") },        // VMWare, Inc.
  6.         };
复制代码


360截图20251028160054370.jpg


最后以管理员权限在虚拟机来宾中运行install.bat


若启动服务时发生错误,请使用DbgView捕获内核调试输出。您可以使用DbgView输出信息和附加的ntoskrnl.exe发布问题。
如果没有发生错误,那么一切正常。


360截图20251028160229794.jpg

360截图20251028160222003.jpg








作者: 呜呜呜    时间: 昨天 03:48
谢谢楼主,对了新人问下,这个也要15字吗
作者: 黑崎一宇    时间: 昨天 04:28
看看看看看看看看看看看看
作者: 李海低    时间: 昨天 05:50
这个好好支持一下
作者: 呵呵哒    时间: 昨天 06:22
支持一下,期待更多东西



欢迎光临 觅风论坛 (https://www.eyyba.com/) Powered by Discuz! X3.4