虚拟机防检测教程集锦

方法一: 防检测代码 3条:(该方法能用,尽力不要用下面几种方法!)

monitor_control.virtual_rdtsc = "false"

monitor_control.restrict_backdoor = "true"

monitor_control.disable_directexec = "true"

方法二: 防检测代码 7条:

monitor_control.virtual_rdtsc = "false"

monitor_control.restrict_backdoor = "true"

monitor_control.disable_directexec = "true"

isolation.tools.getPtrLocation.disable = "true"

isolation.tools.setPtrLocation.disable = "true"

isolation.tools.setVersion.disable = "true"

isolation.tools.getVersion.disable = "true"

方法三: 防检测代码 11条

isolation.tools.getPtrLocation.disable = "TRUE"

isolation.tools.setPtrLocation.disable = "TRUE"

isolation.tools.setVersion.disable = "TRUE"

isolation.tools.getVersion.disable = "TRUE"

monitor_control.disable_directexec = "TRUE"

monitor_control.disable_chksimd = "TRUE"

monitor_control.disable_ntreloc = "TRUE"

monitor_control.disable_selfmod = "TRUE"

monitor_control.disable_reloc = "TRUE"

monitor_control.disable_btinout = "TRUE"

monitor_control.disable_btmemspace = "TRUE"

monitor_control.disable_btpriv = "TRUE"

monitor_control.disable_btseg = "TRUE"

方法四 :是配合其他三种方法使用的不需要删除其他代码! ! !分两步

① 添加一条代码:

同样添加至 ".vmx配置文件" 末尾! ! !

--------------------------------------------------------

monitor_control.restrict_backdoor = "true"

--------------------------------------------------------

② 打开需要玩游戏的虚拟机点击 "编辑虚拟机设置" --> 点击 "处理器" -->

"虚拟化引擎" 勾上"√ 禁止二进制转化(D)" --> 点击 "确定" 即可!

PS 通过上述四种方法!如果还是不能打开游戏,只能说明这个游戏的检测力度太强了! ! !

修改显卡驱动达到改名称

在我自己找到方法之后，我后来又在网上找到个改显卡名称的教程，而且的确有用。

虽然原理上是一样的，不过过程不一样，我下面就分享一下我的做法吧

首先：安装好VMware Tools工具（这个就不多说了，包括怎么安装虚拟机系统）

然后装个驱动精灵--点击显卡备份

将压缩文件里的VMware SVGA II 文件夹解压出去，然后打开Oem3.ini

将最下面的三行里的信息，改成你想要的名称就行了，比如我改成和实机一样的 Nvidia GeForce GTX 560

然后保存退出

打开设备管理器，更新显卡驱动

从磁盘安装……

装好后重启就OK了~~

vmvare虚拟化平台巡检细则和方法

vmvare虚拟化平台巡检细则和方法 1.1 检测多个主机之间是否有相同的软件版本 通过图形化方法: 为了获得ESXi主机的版本信 息，使用VS Client，点击给定ESXi 主机的配置标签。 为了获得VC的版本信息，通过 使用VS Client，在主菜单上选择帮助 正常异常 -〉关于虚拟化架构选项 ESXi 5.0.0 1311175 命令行方法: 以root权限登陆ESXi 主机，在 命令行提示符下输入“vmware –v” 1.2 检查网络和存储配置信息是否一致 图形化方法: 正常异常 在VS Client里面, 导航到

Configuration -> Networking and Network Adapters 检测: 虚拟交换机数量 虚拟交换机命名 物理网卡数量 物理网卡的速度/全双 工 端口组类型 是否有冗余 命令行方法: 在命令行提 示符下键入 “esxcfg –vswitch –l” 列出多个虚拟交换机和端口组信息 在命令行提示符下键入 “esxcfg -nics –l” 列出多个物理网卡，网卡的速度，制造商，连接状态 1.3 检查服务器配置信息是否相同，是否有不同的CPU 类型

图形化方法: 在VS Client里面, 导航到每个主机的Configuration -> Processors 检测: Cpu型号 处理器速度 处理器数量 每个物理处理器上是否有多核核数是否相同 超线程是否开启 逻辑cpu数量正常异常 1.4 是否配置NTP时钟同步服务 图形化方法: 在VS Client中, 导航到Configuration -> Security Profile 并且观察NTP Client 选择是否开启了外出连接选项。正常异常

虚拟机检测技术剖析

虚拟机检测技术剖析 作者：(泉哥) 主页： 前言 在当今信息安全领域，特别是恶意软件分析中，经常需要利用到虚拟机技术，以提高病毒分析过程的安全性以及硬件资源的节约性，因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机（）是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件（比如，），你可以在一台物理计算机上模拟出一台或多台虚拟的计算机，这些虚拟机完全就像真正的计算机那样进行工作，例如你可以安装操作系统、安装应用程序、访问网络资源等等。攻击者为了提高恶意程序的隐蔽性以及破坏真实主机的成功率，他们都在恶意程序中加入检测虚拟机的代码，以判断程序所处的运行环境。当发现程序处于虚拟机（特别是蜜罐系统）中时，它就会改变操作行为或者中断执行，以此提高反病毒人员分析恶意软件行为的难度。本文主要针对基于的虚拟环境中的系统进行检测分析，并列举出当前常见的几种虚拟机检测方法。 方法一：通过执行特权指令来检测虚拟机 为真主机与虚拟机之间提供了相互沟通的通讯机制，它使用“”指令来读取特定端口的数据以进行两机通讯，但由于指令属于特权指令，在处于保护模式下的真机上执行此指令时，除非权限允许，否则将会触发类型为“”的异常，而在虚拟机中并不会发生异常，在指定功能号0A（获取版本）的情况下，它会在中返回其版本号“”；而当功能号为时，可用于获取内存大小，当大于时则说明处于虚拟机中。正是利

测试结果： 图 如图所示，成功检测出的存在。 方法二：利用基址检测虚拟机 利用基址检测虚拟机的方法是一种通用方式，对和均适用。中断描述符表（）用于查找处理中断时所用的软件函数，它是一个由项组成的数据，其中每一中断对应一项函数。为了读取基址，我们需要通过

恶意代码技术和检测方法

恶意代码及其检测技术 1.恶意代码概述 1.1定义 恶意代码也可以称为Malware，目前已经有许多定义。例如Ed Skoudis将Malware定义为运行在计算机上，使系统按照攻击者的意愿执行任务的一组指令。微软“计算机病毒防护指南”中奖术语“恶意软件”用作一个集合名词，指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。随着网络和计算机技术的快速发展，恶意代码的传播速度也已超出人们想象，特别是人们可以直接从网站获得恶意代码源码或通过网络交流代码。很多编程爱好者把自己编写的恶意代码放在网上公开讨论，发布自己的研究成果，直接推动了恶意代码编写技术发展。所以目前网络上流行的恶意代码及其变种层出不穷，攻击特点多样化。 1.2类型 按照恶意代码的运行特点，可以将其分为两类：需要宿主的程序和独立运行的程序。前者实际上是程序片段，他们不能脱离某些特定的应用程序或系统环境而独立存在；而独立程序是完整的程序，操作系统能够调度和运行他们；按照恶意代码的传播特点，还可以把恶意程序分成不能自我复制和能够自我复制的两类。不能自我复制的是程序片段，当调用主程序完成特定功能时，就会激活它们；能够自我复制的可能是程序片段（如病毒），也可能是一个独立的程序（如蠕虫）。

2.分析与检测的方法 恶意代码与其检测是一个猫捉老鼠的游戏，单从检测的角度来说。反恶意代码的脚步总是落后于恶意代码的发展，是被动的.目前基于主机的恶意代码检测方法主要有反恶意代码软件、完整性校验法以及手动检测，基于网络的检测方法主要有基于神经网络”、基于模糊识别“等方法，本文主要讨论基于主机的检测。 2.1 恶意代码分析方法 2.1.1 静态分析方法 是指在不执行二进制程序的条件下进行分析，如反汇编分析，源代码分析，二进制统计分析，反编译等，属于逆向工程分析方法。 （1）静态反汇编分析，是指分析人员借助调试器来对而已代码样本进行反汇编出来的程序清单上根据汇编指令码和提示信息着手分析。 （2）静态源代码分析，在拥有二进制程序的源代码的前提下，通过分析源代码来理解程序的功能、流程、逻辑判定以及程序的企图等。 （3）反编译分析，是指经过优化的机器代码恢复到源代码形式，再对源代码进行程序执行流程的分析。 2.1.2 动态分析方法 是指恶意代码执行的情况下利用程序调试工具对恶意代码实施跟踪和观察，确定恶意代码的工作过程对静态分析结果进行验证。

虚拟机去虚拟化及检测技术攻防

在当今信息安全领域，特别是恶意软件分析中，经常需要利用到虚拟机技术，以提高病毒分析过程的安全性以及硬件资源的节约性，因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机（Virtual Machine）是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件（比如VMware，Virtual PC ,VirtualBox），你可以在一 台物理计算机上模拟出一台或多台虚拟的计算机，这些虚拟机完全就像真正的计算机那样进行工作，例如你可以安装操作系统、安装应用程序、访问网络资源等等。攻击者为了提高恶意程序的隐蔽性以及破坏真实主机的成功率，他们都在恶意程序中加入检测虚拟机的代码，以判断程序所处的运行环境。当发现程序处于虚拟机（特别是蜜罐系统）中时，它就会改变操作行为或者中断执行，以此提高反病毒人员分析恶意软件行为的难度。本文主要针对基于Intel CPU的虚拟环境VMware中的Windows XP SP3系统进行检测分析，并列举出当前常见的几种虚拟机检测方法。 方法一：通过执行特权指令来检测虚拟机 Vmware为真主机与虚拟机之间提供了相互沟通的通讯机制，它使用“IN”指令来读取特定端口的数据以进行两机通讯，但由于IN指令属于特权指令，在处于保护模式下的真机上执行此指令时，除非权限允许，否则将会触发类型为“EXCEPTION_PRIV_INSTRUCTION”的异常，而在虚拟机中并不会发生异常，在指定功能号0A（获取VMware版本）的情况下，它会在EBX中返回其版本号“VMXH”；而当功能号为0x14时，可用于获取 VMware内存大小，当大于0时 则说明处于虚拟机中。VMDetect正是利用前一种方法来检测VMware的存在，其检测代码分析如下： 代码: bool IsInsideVMWare() { bool rc = true; __try { __asm { push edx push ecx push ebx mov eax, 'VMXh' mov ebx, 0 // 将 ebx设置为非幻数’VMXH’的其它值 mov ecx, 10 // 指定功能号，用于获取VMWare版本，当它为0x14时用于获取VMware内存大 小 mov edx, 'VX' // 端口号 in eax, dx // 从端口dx读取 VMware版本到eax//若上面指定功能号为0x14时，可通过判断eax中的值是否大于0，若是则说明处于虚拟机中 cmp ebx, 'VMXh' // 判断ebx 中是否包含VMware版本’VMXh’，若是则在虚拟机 中 setz [rc] // 设置返回 值 pop ebx pop ecx pop edx } } __except( EXCEPTION_EXECUTE_HANDLER) // 如果未处于VMware中，则触发此异 常 { rc = false; } return rc;} 测试结果：

如何绕开虚拟机检测

如何绕开虚拟机检测 1，用记事本打开虚拟系统镜像文件的配置文件，这个文件扩展名为vmx，比如我的虚拟系统名为XP，那这个文件就叫XP.vmx，然后在 其末尾添加这么一句，如下红色部分（注意，虚拟机不能在运行状态添加） monitor_control.restrict_backdoor = "true" 这句的意思是关闭vmware的后门（什么后门？后面详细说） 2，开启vmware workstation，在里面的虚拟机->设置->处理器->勾上‘禁用二进制翻译加速’（不同汉化版翻译有所出入） 这两条一起用，可以躲过大部分检测，包括一些壳的检测，比如VMProtect 等。 如果你的电脑足够快，那么 首先你把你的VMware 虚拟机里面的操作系统调到最快的状态（关闭不必要的程序、自动更新等）然后关闭虚拟机； 打开VMware 虚拟机的配置文件，这是一个后缀为vmx 的文本文件。在里面加入以下内容 isolation.tools.getPtrLocation.disable = "TRUE" isolation.tools.setPtrLocation.disable = "TRUE" isolation.tools.setVersion.disable = "TRUE" isolation.tools.getVersion.disable = "TRUE" monitor_control.disable_directexec = "TRUE" monitor_control.disable_chksimd = "TRUE" monitor_control.disable_ntreloc = "TRUE" monitor_control.disable_selfmod = "TRUE" monitor_control.disable_reloc = "TRUE" monitor_control.disable_btinout = "TRUE" monitor_control.disable_btmemspace = "TRUE" monitor_control.disable_btpriv = "TRUE" monitor_control.disable_btseg = "TRUE" cpuid.1.eax = "0000:0000:0000:0001:0000:0110:1010:0101" checkpoint.overrideVersionCheck = "true" checkpoint.disableCpuCheck = "true" 这些参数不一定都需要，不过最保险的是都加。可以提高模拟的真实性，不过速度也会慢很多。

虚拟机防检测教程集锦

方法一: 防检测代码 3条:(该方法能用,尽力不要用下面几种方法!) monitor_control.virtual_rdtsc = "false" monitor_control.restrict_backdoor = "true" monitor_control.disable_directexec = "true" 方法二: 防检测代码 7条: monitor_control.virtual_rdtsc = "false" monitor_control.restrict_backdoor = "true" monitor_control.disable_directexec = "true" isolation.tools.getPtrLocation.disable = "true" isolation.tools.setPtrLocation.disable = "true" isolation.tools.setVersion.disable = "true" isolation.tools.getVersion.disable = "true" 方法三: 防检测代码 11条 isolation.tools.getPtrLocation.disable = "TRUE" isolation.tools.setPtrLocation.disable = "TRUE" isolation.tools.setVersion.disable = "TRUE" isolation.tools.getVersion.disable = "TRUE" monitor_control.disable_directexec = "TRUE" monitor_control.disable_chksimd = "TRUE" monitor_control.disable_ntreloc = "TRUE" monitor_control.disable_selfmod = "TRUE" monitor_control.disable_reloc = "TRUE" monitor_control.disable_btinout = "TRUE" monitor_control.disable_btmemspace = "TRUE" monitor_control.disable_btpriv = "TRUE" monitor_control.disable_btseg = "TRUE" 方法四 :是配合其他三种方法使用的不需要删除其他代码! ! !分两步 ① 添加一条代码: 同样添加至 ".vmx配置文件" 末尾! ! ! -------------------------------------------------------- monitor_control.restrict_backdoor = "true" -------------------------------------------------------- ② 打开需要玩游戏的虚拟机点击 "编辑虚拟机设置" --> 点击 "处理器" --> "虚拟化引擎" 勾上"√ 禁止二进制转化(D)" --> 点击 "确定" 即可! PS 通过上述四种方法!如果还是不能打开游戏,只能说明这个游戏的检测力度太强了! ! !

虚拟机陷出的检测及分析

*The National Natural Science Foundation of China under Grant No. 90718028, 60873052 (国家自然科学基金); the National Grand Basic Research 973 Program of China under Grant No. 2007CB310900 (国家重点基础研究发展规划(973)); the National High-Tech Research and Development of China under Grant No. 2008AA01Z112 (国家高技术研究发展计划(863)); the MOE-Intel Information Technology Foundation under Grant No. MOE-INTEL-10-06 (教育部-英特尔信息技术专项科研基金). Received 2010-09, Accepted 2010-11. ISSN 1673-9418 CODEN JKYTA8 E-mail: fcst@https://www.wendangku.net/doc/7c2498004.html, Journal of Frontiers of Computer Science and Technology https://www.wendangku.net/doc/7c2498004.html, 1673-9418/2011/05(06)-0493-08 Tel: +86-10-51616056 DOI: 10.3778/j.issn.1673-9418.2011.06.002 虚拟机陷出的检测及分析* 汪小林1, 张彬彬1, 靳辛欣1, 王振林2, 罗英伟1+, 李晓明1 1. 北京大学 信息科学技术学院, 北京 100871 2. 密西根理工大学 计算机系, 美国 密西根州 49931-1295 Detection and Analysis of Virtual Machine Exits * WANG Xiaolin 1, ZHANG Binbin 1, JIN Xinxin 1, WANG Zhenlin 2, LUO Yingwei 1+, LI Xiaoming 1 1. School of Electronics Engineering and Computer Science, Peking University, Beijing 100871, China 2. Department of Computer Science, Michigan Technological University, Michigan 49931-1295, USA + Corresponding author: E-mail: lyw@https://www.wendangku.net/doc/7c2498004.html, WANG Xiaolin, ZHANG Binbin, JIN Xinxin, et al. Detection and analysis of virtual machine exits. Journal of Frontiers of Computer Science and Technology, 2011, 5(6): 493-500. Abstract: It’s essential to learn about sensitive instructions that cause virtual machine (VM) to exit to the virtual machine monitor (VMM) to find new ways to optimize the performance of VM. This paper proposes a novel method, competition in bucket method (CBM), to track all VM exits efficiently, by mapping sensitive instructions to buckets according to instruction addresses, and find out hot instructions in each bucket. Key words: virtualization; virtual machine monitor (VMM); hot instructions; virtual machine exits; competition in bucket method (CBM) 摘 要：虚拟机执行敏感指令时会陷出到虚拟机管理器(virtual machine monitor, VMM)处理, 虚拟机频繁陷出是影响虚拟化性能的重要因素, 因此全面了解导致陷出的敏感指令对虚拟化性能优化有重要意义。提出了一个创新性的方法“桶竞争法”(competition in bucket method, CBM), 通过把敏感指令的地址映射到不同

VM破虚拟机检测

VM破虚拟机检测 vm是这样解决的。BOX有没有类似的办法解决呢, 虚拟机中被提示"请不要在虚拟机中运行此程序" 解决方法,“Themida Sorry, this application cannot run(2012-08-16 14:45:58)转载? 标签:虚拟机it 分类:虚拟机 虚拟机中被提示"请不要在虚拟机中运行此程序" 解决方法. 英文提示:"Themida Sorry, this application cannot run under a VirtualMachine" 解决 VMware 虚拟机中被提示“请不要在虚拟机中运行此程序”或者“Themida Sorry, thisapplication cannot run under a Virtual Machine”方法自己发现问题，解决问题后，觉得应该分享给大家。 用记事本打开 VMX 文件类似 Windows XP Professional.vmx 在文本末尾加入一行 monitor_control.restrict_backdoor = TRUE 保存文件 现在启动虚拟机就不会被其他不能运行的软件检测到了 如果还被检测可以再加入一行 disable_acceleration = TRUE “这样处理以后可能有个后遗症就是 VMTools 无法加载了”————我的没有遇到这种情况 以上来自网络，未亲测 =======================重 --------点=========================== 1原因:是因为此程序会自动执行虚拟机检测，从而禁止在虚拟机运行。 2解决办法: