CrackMe Anti-VM

jmp[0x1337]
  • 14
  • 13
Я реверсил vmp и смог обойти Anti-VM.Я решил поискать в интернете другие способы детекта виртуалки/гипервизора.
Это небольшой тест,поскольку вирусы всё чаще делают Anti-VM трюки.
Сама программа виртуализована фемидой в некоторых частях(естественно,строки виртуализованы),чтобы жизнь мёдом вам не казалось + 1 anti-debug трюк.
Цель:обойти проверки в виртуальной машине.
Разрешено все,что не запрещено законом!
Virustotal:VirusTotal
Подсказка:

 

Вложения

  • Meh.zip
    5 MB · Просмотры: 5
Последнее редактирование:
Arting
  • 28
  • 3
  • 42
VirtualBoxVM_Slr4qek6zx.png


main надо было тоже под вм закинуть, а то хватило лишь 2 патча. Но методы интересные, без всяких там реестров, чека файлов и т. д.
P.S. Упоминай так же в теме что таргет работает только на Windows 10, у тебя системный номер NtClose вшит.
 
jmp[0x1337]
  • 14
  • 13
Arting написал(а):
Посмотреть вложение 18241

main надо было тоже под вм закинуть, а то хватило лишь 2 патча. Но методы интересные, без всяких там реестров, чека файлов и т. д.
P.S. Упоминай так же в теме что таргет работает только на Windows 10, у тебя системный номер NtClose вшит.
Нажмите для раскрытия...
Да,я проебался с syscall,ибо нужно было получать автоматический.
Все способы детекта:
1)сравнение листьев cpuid
2)cpuid is hypervisor
3)rdtsc + cpuid
4)readmsr по адресу 0x40000000
5)выход виртуалки с помощью xgetbv
6)исключение с sidt
7)cpuid по 0x40000000 и сравнение имён
8)одношаговое исключение с cpuid
9)NtQuerySystemInformation с SystemHypervisorDetailInformation
10)виртуализация LBR
11)исключение с invd


P.S пришлось убрать детект rdtscp + cpuid из-за фемиды
 
Последнее редактирование:
Войдите или зарегистрируйтесь для ответа.

Похожие темы

T
CrackMe Anti debug patch
Ответы
1
Просмотры
892
playbackrate
playbackrate
Сверху Снизу