关于如何绕开对通用VMware虚拟机检测的一些收集

1，用记事本打开虚拟系统镜像文件的配置文件，这个文件扩展名为vmx，比如我的虚拟系统名为XP，那这个文件就叫XP.vmx，然后在
其末尾添加这么一句，如下红色部分（注意，虚拟机不能在运行状态添加）

monitor_control.restrict_backdoor = "true"

这句的意思是关闭vmware的后门（什么后门？后面详细说）

2，开启vmware workstation，在里面的虚拟机 -> 设置 -> 处理器 -> 勾上‘禁用二进制翻译加速’（不同汉化版翻译有所出入）

这两条一起用，可以躲过大部分检测，包括一些壳的检测，比如VMProtect等。

如果你的电脑足够快，那么

首先你把你的 VMware 虚拟机里面的操作系统调到最快的状态（关闭不必要的程序、自动更新等）然后关闭虚拟机；
打开 VMware 虚拟机的配置文件，这是一个后缀为 vmx 的文本文件。在里面加入以下内容
isolation.tools.getPtrLocation.disable = "TRUE"
isolation.tools.setPtrLocation.disable = "TRUE"
isolation.tools.setVersion.disable = "TRUE"
isolation.tools.getVersion.disable = "TRUE"
monitor_control.disable_directexec = "TRUE"
monitor_control.disable_chksimd = "TRUE"
monitor_control.disable_ntreloc = "TRUE"
monitor_control.disable_selfmod = "TRUE"
monitor_control.disable_reloc = "TRUE"
monitor_control.disable_btinout = "TRUE"
monitor_control.disable_btmemspace = "TRUE"
monitor_control.disable_btpriv = "TRUE"
monitor_control.disable_btseg = "TRUE"
这些参数不一定都需要，不过最保险的是都加。可以提高模拟的真实性，不过速度也会慢很多。

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

对于一些不确定行为的程序，比如外挂、木马病毒等，需要在虚拟机里运行来观察其行为。但是很多的程序都加了壳保护，并且有检测虚拟机运行环境，如果是在虚拟机里，则退出。有什么方法可以绕过虚拟机检测呢？

1. 普遍的绕过方法：

disable_acceleration = "TRUE"

monitor_control.restrict_backdoor = "TRUE"

2. 虚拟机检测--注册表

HKLM\System\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-08002BE10318}\0000\DriverDesc 等含有VM的子键。

HKLM\HARDWARE\DESCRIPTION\System\BOIS\SystemManufacturer -- SafeEngine检测项

isolation.tools.getPtrLocation.disable = "TRUE"
isolation.tools.setPtrLocation.disable = "TRUE"
isolation.tools.setVersion.disable = "TRUE"
isolation.tools.getVersion.disable = "TRUE"
monitor_control.disable_directexec = "TRUE"
monitor_control.disable_chksimd = "TRUE"
monitor_control.disable_ntreloc = "TRUE"
monitor_control.disable_selfmod = "TRUE"
monitor_control.disable_reloc = "TRUE"
monitor_control.disable_btinout = "TRUE"
monitor_control.disable_btmemspace = "TRUE"
monitor_control.disable_btpriv = "TRUE"
monitor_control.disable_btseg = "TRUE"
monitor_control.restrict_backdoor = "TRUE"

添加进*.vmx

可有可无
disable_acceleration = TRUE

虚拟机设置 - 处理器 - 虚拟化引擎
首选模式：最后一项最长的

显卡改名：

先安装 VMware Tools 装好驱动，备份出显卡驱动。

*.inf 中
DiskID = "VMware Tools"
CompanyName = "VMware, Inc."
SVGA = "VMware SVGA II"

修改为
DiskID = "NVIDIA Windows Driver Library Installation"
CompanyName = "NVIDIA"
SVGA = "GeForce GTX 660"

http://blog.csdn.net/qq1841370452/article/details/76619774 虚拟机游戏多开教程

https://jingyan.baidu.com/article/f71d603798aa041ab641d117.html dnf vm多开教程

VMware 14 Pro官方下载链接
https://download3.vmware.com/software/wkst/file/VMware-workstation-full-14.0.0-6661328.exe

VMware 14 Pro 永久许可证激活密钥
FF31K-AHZD1-H8ETZ-8WWEZ-WUUVA
CV7T2-6WY5Q-48EWP-ZXY7X-QGUWD
GA18K-DRXE3-488TZ-J4ZNX-PZAXA

VMware Workstation 14.0.0-6661328 官方版及注册机
VMware Workstation 10.0.7-2844087 官方版及注册机
https://pan.baidu.com/s/1eSO5s6e#gbfb 访问码gbfb

http://www.xitongcheng.com/jiaocheng/xtazjc_article_15314.html vm安装win7

第一款3000价位的！
+——+
CPU：FX6350 500块  TB
主板:华擎970 449块  JD
硬盘：英特尔固态硬盘535 240G 539块 JD
显卡：讯景HD7850 2G 499块 TB
散热：玄冰400 99块  JD
电源：航嘉500W 279块 JD
机箱：99块自选
内存：威刚万紫千红  8GX2 249块X2 JD
合计总价：2962
这个是可以4开的电脑配置！
+——+
+——+
第二款3500价位的！
+——+
CPU：FX8320 665块  TB
主板:华擎970 449块  JD
硬盘：英特尔固态硬盘535 240G 539块 JD
显卡：讯景HD7850 2G 499块 TB
散热：散热超频3风冻S126 199块  JD
电源：航嘉500W 279块 JD
机箱：99块自选
内存：威刚万紫千红  8GX3 249块X3 JD
合计总价：3476
这个是可以6开的！
+——+
+——+
第三款4200价位的！
+——+
CPU：FX8320 665块  TB
主板:华擎970 449块  JD
硬盘：英特尔固态硬盘535 480G 979块 JD
显卡：讯景HD7850 2G 499块 TB
散热：散热超频3风冻S126 199块  JD
电源：航嘉500W 279块 JD
机箱：99块自选
内存：威刚万紫千红  8GX4 249块X4 JD
合计总价：4165

xp下载 传送门：http://www.7xdown.com/Download.asp?ID=3319&URL=http://d5.7xdown.com/soft2/&file=WindowsXP-SP3-VOLMSDN.rar，直接复制进迅雷下载就可以。序列号MRX3F-47B9T-2487J-KWKMF-RPWB---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------一核二线程 分2g内存最少

转载于:https://www.cnblogs.com/yellowcool/p/8134066.html

关于如何绕开对通用VMware虚拟机检测的一些收集相关推荐

如何绕开对通用VMware虚拟机检测
1,用记事本打开虚拟系统镜像文件的配置文件,这个文件扩展名为vmx,比如我的虚拟系统名为XP,那这个文件就叫XP.vmx,然后在其末尾添加这么一句,如下红色部分(注意,虚拟机不能在运行状态添加) m ...
如何绕开对通用VMware虚拟机检测_剑灵
1,用记事本打开虚拟系统镜像文件的配置文件,这个文件扩展名为vmx,比如我的虚拟系统名为XP,那这个文件就叫XP.vmx,然后在其末尾添加这么一句,如下红色部分(注意,虚拟机不能在运行状态添加) m ...
vmware虚拟机检测不到vspd虚拟串口问题
参考帖子:https://blog.csdn.net/baidu_33232390/article/details/54954931 照做后发现vmware并不能检测到虚拟串口,结果发现帖子少写了关键 ...
屏蔽软件对VMWare虚拟机检测
1.网友推荐解决方法 monitor_control.virtual_rdtsc = "false" monitor_control.restrict_backdoor = &qu ...
[VMware]如何绕开对虚拟机检测
1,用记事本打开虚拟系统镜像文件的配置文件,这个文件扩展名为vmx,比如我的虚拟系统名为XP,那这个文件就叫XP.vmx,然后在其末尾添加这么一句,如下红色部分(注意,虚拟机不能在运行状态添加) m ...
VMware虚拟机去虚拟化|过强壳|虚拟机过检测|游戏多开-WINXP|WIN7|WIN10
学破解论坛交流学习首先,为什么要发布出来?因为现在的大部分软件都具有检测虚拟机技术,然而一些恶意代码也在VMware环境下的有虚拟环境检测技术,所以参考了文献分析了VMware虚拟机环境的检测原理以 ...
VMware绕过软件的虚拟机检测
部分软件启动后会检测其是否运行在虚拟机中,如果是则退出. 下面给出绕过虚拟机检测的方法: 1.修改虚拟机vmx文件. 关闭虚拟机,前往虚拟机目录,找到.vmx后缀的文件,如WinXP.vmx,备份原文 ...
华三HCL模拟器添加虚拟网卡连接外网、VMware虚拟机、实体机方法
华三模拟器可以模拟交换机.路由器.防火墙等,由于自带的PC功能有限,因此需要连接到VMware虚拟机或实体机以模拟真实的PC或者FTP\HTTP服务器设备.另外也可以使其连接到互联网,以进行防火墙等的 ...
关于虚拟机检测技术的研究
平平无奇的搬砖日,突然想起来之前分析的一个病毒好像有某种反虚拟机的方法,当时没太研究明白,甚至都没研究明白是检测虚拟机的操作.现在想起来回过头去再研究一下,虚拟机的检测技术,在这个过程中借鉴了很多其他 ...

关于如何绕开对通用VMware虚拟机检测的一些收集

关于如何绕开对通用VMware虚拟机检测的一些收集相关推荐

最新文章

热门文章