04.09.2009, 21:14
|
|
Новичок
Регистрация: 10.08.2009
Сообщений: 11
Провел на форуме:
202027
Репутация:
37
|
|
Сообщение от AltairG
Мне все же кажется что их предусмотрительность заканчивается на каком то пункте из regedit, все конечно зависит от самой проги.
Насколько я понимаю {читал где то} что определение\детектировани програмами того что они запущены на виртуалке происходит по спецефическому оборудованию \\сетевая карта и тд..\\ которое в реальности невстречается...
Сообщение от WALKMAN
******* что ты пытаешся запустить на виртуалке.
Как сделать так чтобы программа понимала что ето не виртуалка а "обычный" ПК ?
Использую программу : VirtualBox
вот всё же решил посмотреть в яндексе:
- http://www.insidepro.com/kk/096/096r.shtml
Детектирование VMWare
Автору известны, по меньшей мере, три способа обнаружения VM-Ware. Во-первых, по оборудованию: виртуальные машины несут на своем борту довольно специфический набор железа, практически не встречающийся в живой природе. Это:
Видеокарта VMware Inc [VMware SVGA II] PCI Display Adapter;
Сетевая карта: Advanced Micro Devices [AMD] 79c970 [PCnet 32 LANCE] (rev 10);
Жесткие диски: VMware Virtual IDE Hard Drive и VMware SCSI Controller.
Опросив конфигурацию оборудования, защищаемая программа сразу поймет, куда ее занесло.
Во-вторых, виртуальные сетевые карты имеют довольно предсказуемый диапазон MAC-адресов, а именно: 00-05-69-xx-xx-xx, 00-0C-29-xx-xx-xx и 00-50-56-xx-xx-xx. Защите достаточно выполнить команду "arp -a", чтобы распознать хакерские планы.
В-третьих, VM-Ware имеет коварный back-door, оставленный разработчиками для служебных целей и управляемый через порт 5658h, при этом в регистре EAX должно содержатся "магическое" число 564D5868h. Ниже приведен фрагмент кода червя Agobot, определяющий версию VM-Ware:
- http://www.xakep.ru/magazine/xa/118/144/1.asp
Руткиты уже давно научились распознавать виртуальные машины, отказываясь от заражения в их присутствии, что ломает весь концепт. Мы устанавливаем программное обеспечение с руткитом на виртуальную машину, сравниваем образы, ничего не находим и, довольные собой, запускаем руткита в основную систему. Выходит, гарантировано обнаружить современных руткитов при помощи виртуальных машин невозможно! А если еще учесть большое количество дыр в эмуляторах, то руткит имеет все шансы заразить основную систему из гостевой машины. Выход? Либо использовать выделенную живую машину, либо надежную виртуальную машину с полной эмуляцией (например, Bochs). Это предотвратит вирусное вторжение, но, увы, не спасет от детекции виртуальной машины руткитом. Bochs содержит множество мелких дефектов эмуляции (ведет себя не как настоящий процессор), которые не препятствуют работе нормальных программ, но могут быть использованы для детекта эмулятора. К тому же, ЛЮБОЙ эмулятор несет на своем борту довольно специфический набор виртуального железа, по которому его легко опознать. И хотя при наличии исходных текстов мы можем воспрепятствовать этому — купить живой компьютер намного дешевле, чем корежить виртуальное железо.
ну и сам яндекс: http://yandex.ru/yandsearch?clid=14585&text=%D0%B4%D0%B5%D1%82%D0%B 5%D0%BA%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD% D0%B8%D0%B5+%D0%B2%D0%B8%D1%80%D1%82%D1%83%D0%B0%D 0%BB%D1%8C%D0%BD%D0%BE%D0%B9+%D0%BC%D0%B0%D1%88%D0 %B8%D0%BD%D1%8B
|
|
|