吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 36142|回复: 51
收起左侧

[原创] 绕过SE的虚拟机检测

  [复制链接]
pxhb 发表于 2017-4-10 19:00

第一处:
特征码81 7D E4 68 58 4D 56
        cmp dword ptr ss:[ebp-0x1Ch],0x564D5868h //把564D5868随便改一下就行了
        jnz L0069B0FF
        push -0x4h
        pop eax
        jmp L0069B101
L0069B0FF:
        xor eax,eax
L0069B101:
        call L006B3C4C
        retn//这里把eax赋值0也可以
原理:in eax,dx这个大家都知道
第二处:
特征码55 8B EC 83 EC 14

        push ebp//直接mov eax,0  retn
        mov ebp,esp
        sub esp,0x14h
        push ebx
        push esi
        jmp L0069AFA9

原理:关键部分vm了,不清楚检测方式,无意中发现的
-----------------

免费评分

参与人数 9威望 +1 吾爱币 +22 热心值 +9 收起 理由
canku788 + 1 + 1 用心讨论,共获提升!
tan567421 + 1 + 1 过的绕过了 。感谢!!
Lccy_x + 1 + 1 我很赞同!
sophil + 1 + 1 谢谢@Thanks!
Hmily + 1 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
花花小公子w + 2 + 1 大神你出山啦哈哈
赖哥 + 3 + 1 用心讨论,共获提升!
文可う润心 + 1 + 1 我很赞同!
君如兰 + 2 + 1 已答复!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Pizza 发表于 2017-4-10 19:32
第一个是检测注册表
[HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS]
"SystemManufacturer"="VMware, Inc."
564D5868h既是"VMware, Inc."ascii的hash值
这个注册表的好像会在重启之后被vmware恢复 目前我的办法是写个.reg 每次启动虚拟机时手动覆盖一次

第二个检测是cpuid的1号功能 ecx的最高位
.vmx文件中添加
cpuid.1.ecx = "0111:1111:1101:1010:1111:1011:1011:1111"
即可直接过掉 这个检测好像是从vmp3.x学来的

点评

是这个吧? se和vmp3不太一样,se直接改ecx最高位可以,但vmp好像不行。  详情 回复 发表于 2017-4-12 10:18

免费评分

参与人数 7威望 +1 吾爱币 +20 热心值 +7 收起 理由
Hmily + 1 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
材鸟 + 1 + 1 用心讨论,共获提升!
花花小公子w + 1 + 1 谢谢@Thanks!
凉游浅笔深画眉 + 1 + 1 耙子师傅要日天
赖哥 + 3 + 1 用心讨论,共获提升!
苏紫方璇 + 1 + 1 用心讨论,共获提升!
KaQqi + 3 + 1 已答复!

查看全部评分

Pizza 发表于 2017-4-12 19:16
int m;
__asm {
mov eax, 0x1
cpuid
mov m, ecx
}

if (m & 0x80000000)
   printf("vmware\n");

vmp3.x中还有另外一个检测
win7及以上 EnumSystemFirmwareTables + GetSystemFirmwareTable 获取FirmwareTableBuffer
xp NtOpenSection OBJECT_ATTRIBUTES.ObjectName == "\device\physicalmemory" + NtMapViewOfSection打开物理内存
然后从获取到的buffer里直接搜索特征字符串"VMware" "VirtualBox" "Parallels" 判断点可以搜索特征cmp byte[edx], 56h定位
这个检测目前我也没有什么好的办法永久解决 可能需要用到一些修改硬件信息的软件 目前我是手动让api调用返回失败来临时bypass这个检测

参考:
https://forum.tuts4you.com/topic/38701-vmprotect-ultimate-308/

免费评分

参与人数 2威望 +1 吾爱币 +12 热心值 +2 收起 理由
demoscene + 2 + 1 感谢分享
Hmily + 1 + 10 + 1 用心讨论,共获提升!

查看全部评分

梁萧 发表于 2017-4-10 19:27
amscracker 发表于 2017-4-10 19:40
_BaZzi 发表于 2017-4-10 19:32
第一个是检测注册表
[HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS]
"SystemManufacturer"="VMw ...

靶子师傅有没有VMP SDK方面的资料啊!易语言的做授权使用的等你好久了还以为你消失了
 楼主| pxhb 发表于 2017-4-10 19:45
_BaZzi 发表于 2017-4-10 19:32
第一个是检测注册表
[HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS]
"SystemManufacturer"="VMw ...

收藏一份
c66d88 发表于 2017-4-10 19:54
看不懂,全是大神
文可う润心 发表于 2017-4-10 20:24
表示看不懂,支持下
 楼主| pxhb 发表于 2017-4-10 20:32

都可以,全部吧
xie83544109 发表于 2017-4-10 21:04
{:1_914:}
介个太强大鸟
[VIP]一年半载 发表于 2017-4-10 21:35
MARK 一下 我右侧收藏按钮貌似不好用
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-19 18:44

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表