马上注册,结交更多易友,享用更多功能,让你轻松玩转觅风论坛。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
C++实现VMWARE虚拟机反程序检测虚拟机功能源码分享,VMware强化VM检测缓解加载程序。目前,仅支持Windows(vista~win10)x64来宾。
它使VMProtect 3.2、Safengine和Themida(反虚拟机功能)无法检测到VMware客户机。
VmLoader驱动程序在运行时修补SystemFirmwareTable,它删除了所有可检测的签名,如“VMware”、“Virtual”、“VMware”。
使用方法:
需要Visual Studio 2015/2017和Windows驱动程序工具包10。
使用Visual Studio打开VmLoader.sln 2015/2017
将VmLoader构建为x64/版本。(目前不支持x86)
如果你想在测试签名模式下加载它,记得测试签名“bin/vmloader.sys”。
注意:
不要安装vmtools,请改用TeamViewer/AnyDesk/mstsc/VNC查看器!
虚拟机VMX文件修改如下:
- hypervisor.cpuid.v0 = "FALSE"
- board-id.reflectHost = "TRUE"
- hw.model.reflectHost = "TRUE"
- serialNumber.reflectHost = "TRUE"
- smbios.reflectHost = "TRUE"
- SMBIOS.noOEMStrings = "TRUE"
- isolation.tools.getPtrLocation.disable = "TRUE"
- isolation.tools.setPtrLocation.disable = "TRUE"
- isolation.tools.setVersion.disable = "TRUE"
- isolation.tools.getVersion.disable = "TRUE"
- monitor_control.disable_directexec = "TRUE"
- monitor_control.disable_chksimd = "TRUE"
- monitor_control.disable_ntreloc = "TRUE"
- monitor_control.disable_selfmod = "TRUE"
- monitor_control.disable_reloc = "TRUE"
- monitor_control.disable_btinout = "TRUE"
- monitor_control.disable_btmemspace = "TRUE"
- monitor_control.disable_btpriv = "TRUE"
- monitor_control.disable_btseg = "TRUE"
- monitor_control.restrict_backdoor = "TRUE"
上面添加完成后,如果您在scsi0插槽(第一个插槽)有一个SCSI虚拟磁盘作为系统驱动器,请记得添加
- scsi0:0.productID = "Whatever you want"
- scsi0:0.vendorID = "Whatever you want"
- 我自己的代码如下
- scsi0:0.productID = "Tencent SSD"
- scsi0:0.vendorID = "Tencent"
将虚拟机的MAC地址改成以下地址之外的任何地址:
- TCHAR *szMac[][2] = {
- { _T("\x00\x05\x69"), _T("00:05:69") }, // VMWare, Inc.
- { _T("\x00\x0C\x29"), _T("00:0c:29") }, // VMWare, Inc.
- { _T("\x00\x1C\x14"), _T("00:1C:14") }, // VMWare, Inc.
- { _T("\x00\x50\x56"), _T("00:50:56") }, // VMWare, Inc.
- };
最后以管理员权限在虚拟机来宾中运行install.bat
若启动服务时发生错误,请使用DbgView捕获内核调试输出。您可以使用DbgView输出信息和附加的ntoskrnl.exe发布问题。
如果没有发生错误,那么一切正常。
|
|
