下沙论坛

标题: 如何绕开对通用VMware虚拟机检测 [打印本页]

作者: 煎饼 时间: 2019-12-17 10:32
标题: 如何绕开对通用VMware虚拟机检测

1，用记事本打开虚拟系统镜像文件的配置文件，这个文件扩展名为vmx，比如我的虚拟系统名为XP，那这个文件就叫XP.vmx，然后在9 v6 Q; I$ l- }7 \4 |" V0 M2 e3 l
其末尾添加这么一句，如下红色部分（注意，虚拟机不能在运行状态添加）$ H/ O4 d$ e& P- ^0 y1 V9 s
, K7 h& A4 Q% X: r! {, Z8 T
monitor_control.restrict_backdoor = "true" ! f* a8 ~$ @& t/ x: W" g% M, k

3 X, b v! i% H" Z- ]- V8 H这句的意思是关闭vmware的后门（什么后门？后面详细说）8 N3 C$ Z, ^& U* s. n2 W
+ ?5 L- y2 T) x8 F
2，开启vmware workstation，在里面的虚拟机 -> 设置 -> 处理器 -> 勾上‘禁用二进制翻译加速’（不同汉化版翻译有所出入）
% L( S/ m# H3 {! F0 `" _ x7 y$ \1 `: g# c+ W+ z U! d/ I
这两条一起用，可以躲过大部分检测，包括一些壳的检测，比如VMProtect等。

如果你的电脑足够快，那么
/ T( e; }" f% X8 s' B, s8 N- ~/ [7 w- b  E, j9 ^1 }' l7 H
首先你把你的 VMware 虚拟机里面的操作系统调到最快的状态（关闭不必要的程序、自动更新等）然后关闭虚拟机；
+ n8 D5 U0 s- f& e7 f# B打开 VMware 虚拟机的配置文件，这是一个后缀为 vmx 的文本文件。在里面加入以下内容* |  ?* P6 E+ c! n) s/ R
isolation.tools.getPtrLocation.disable = "TRUE"7 `- x2 l) m% a, q
isolation.tools.setPtrLocation.disable = "TRUE"& T  \5 O% i0 a+ }% M
isolation.tools.setVersion.disable = "TRUE"
1 u. ]# \. a/ C9 g# d+ u" ]3 [isolation.tools.getVersion.disable = "TRUE"
  m; c3 t) M6 g( {monitor_control.disable_directexec = "TRUE"' U* i8 t- s; E& z  k
monitor_control.disable_chksimd = "TRUE"' R; a: u2 M% \1 n, @2 M
monitor_control.disable_ntreloc = "TRUE"
: o& @0 `% S0 X, u: H: Y4 Wmonitor_control.disable_selfmod = "TRUE"
- y( e! I- s5 O- K2 S- ~monitor_control.disable_reloc = "TRUE"
5 T; {2 v3 w7 N9 Tmonitor_control.disable_btinout = "TRUE"/ m) Y. W9 m" x- b) W" D+ z
monitor_control.disable_btmemspace = "TRUE"
5 o- ^! f/ l( K, g) R* Omonitor_control.disable_btpriv = "TRUE"$ Y7 ?0 E6 Y2 x
monitor_control.disable_btseg = "TRUE"6 o' @. d$ q0 L2 k+ e
这些参数不一定都需要，不过最保险的是都加。可以提高模拟的真实性，不过速度也会慢很多。

monitor_control.virtual_rdtsc = "false"
; ^! F# I' _; b3 Cmonitor_control.restrict_backdoor = "true"" k* [ y/ d4 V+ Y% R n& f* m
monitor_control.disable_directexec = "true"

欢迎光临下沙论坛 (http://bbs.xiasha.cn/)