2009년 9월 27일 일요일

VMWare 탐지 우회

원본글: http://lain32.egloos.com/4536437

VMWare 탐지 기법 우회


http://www.trapkit.de/ 위에 사이트에 가시면 여러가지 VMWare 탐지 기법들에 대해서 소개하고 있고 맨 마지막으로 그 모든 탐지기법들을
우회하는 방법에 대해서 설명하는데 우회하는 방법은 VMWare에 vmx 파일에 다음 설정을 추가하는 것입니다.

isolation.tools.getPtrLocation.disable = "TRUE"
isolation.tools.setPtrLocation.disable = "TRUE"
isolation.tools.setVersion.disable = "TRUE"
isolation.tools.getVersion.disable = "TRUE"
monitor_control.disable_directexec = "TRUE"
monitor_control.disable_chksimd = "TRUE"
monitor_control.disable_ntreloc = "TRUE"
monitor_control.disable_selfmod = "TRUE"
monitor_control.disable_reloc = "TRUE"
monitor_control.disable_btinout = "TRUE"
monitor_control.disable_btmemspace = "TRUE"
monitor_control.disable_btpriv = "TRUE"
monitor_control.disable_btseg = "TRUE"


테스트 해본결과 일부 상용 DRM 솔루션이 VMWare 탐지인지 체크하는데 유명한 DRM 솔루션도 이 방법은 우회를 하지 못 하였습니다.