VMware 탐지 우회 방법
VMX파일 수정
monitor_control.disable_directexec = "TRUE"
monitor_control.disable_chksimd = "true"
monitor_control.disable_ntreloc = "true"
monitor_control.disable_selfmod = "true"
monitor_control.disable_reloc = "true"
monitor_control.disable_btinout = "true"
monitor_control.disable_btmemspace = "true"
monitor_control.disable_btpriv = "true"
monitor_control.disable_btseg = "true"
isolation.tools.getPtrLocation.disable = “TRUE”
isolation.tools.setPtrLocation.disable = “TRUE”
isolation.tools.getVersion.disable = "TRUE"
isolation.tools.setVersion.disable = “TRUE”
일반적인 VMware 탐지 방법은 vmx파일에 위 내용을 추가하면 우회 가능하다.
하지만 패킹되어있는 프로그램에 대하여 VMware탐지를 우회하기 위해서는
monitor_control.restrict_backdoor = "TRUE"
disable_acceleration = "TRUE"
monitor_control.vt32 = "TRUE"
monitor_control.enable_svm = "TRUE"
mks.enable3d = "TRUE"
svga.vramsize = 67108864
vmmouse.present = "FALSE"
위의 내용을 추가로 수정해 주어야 한다.
'Reversing > Anti Debugging' 카테고리의 다른 글
| [Hardware BP 기반] (2) Hardware BreakPoint - SEH Handler (0) | 2015.03.31 |
|---|---|
| [Hardware BP 기반] (1) Hardware BreakPoint - GetThreadContext (0) | 2015.03.31 |
| [VM 탐지] IO Port (0) | 2015.03.26 |
| [VM 탐지] Mouse Driver (1) | 2015.03.26 |
| [VM 탐지] Video Driver (0) | 2015.03.26 |
