ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
[Parallels Workstation Detection] |
28.11.2008, 20:42
|
|
Постоянный
Регистрация: 25.05.2007
Сообщений: 448
Провел на форуме:
4226446
Репутация:
1564
|
|
[Parallels Workstation Detection]
[Детект Parallels Workstation].
Много написано было про VmWare, а про детект этой вм ничего не видела, а так как юзаю не варю, а ее, то стало интересно. Нашла по крайней мере 2 способа ее сдетектить
ОС: Windows XP (SP2,SP3)
1)Виртуальный cdrom и hdd
В системе, установленной на Parallels
присутствуют символические ссылки с именами
~(у меня)
IDE#CdRomPRL_Virtual_CD-ROM______________________R102____#4&2eac1
2a2&0&0.1.0#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}
IDE#DiskVirtual__HDD_[0]________________________FWR10003#31303134
39353632333538353739333933323438#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
на реальном компе (также только частный случай)
IDE#CdRomATAPI_DVD_A__DH20A4P____________________9 P54____#5&3b5e6
249&0&0.1.0#{1186654d-47b8-48b9-beb9-7df113ae3c67}
IDE#DiskHitachi_HDS721616PLA380_________________P2 2OABEA#5&1bbc6d
1b&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
(см скрины)
http://img530.imageshack.us/my.php?image=parllsuv1.jpg
как видно, юзала Winobj.
понятное дело, что часть CdRomPRL_ и DiskVirtual__HDD_ постоянна на остальное закладываться не стоит (я проверку на эту часть строки делала, но в принципе можно проверять CdRomPRL_Virtual_CD-ROM). Здесь вывод: идем по дереву объектов (используя NtOpenDirectoryObject и NtQueryDirectoryObject) и ищем SymbolicLink. Потом парсим строку и если находим подстроку DiskVirtual__HDD_ или CdRomPRL_, то мы под Paralles.
Результат работы моей проги под эмулятором
детектед
http://img266.imageshack.us/my.php?image=dethd2.jpg
2. Через реестр в VideoBiosVersion права Parallels(R)
Ключ: HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System
Параметр: "VideoBiosVersion"
Значение(у меня):
2Parallels(R) VGA-Compatible BIOS Version 1.05
Id: vgabios.c,v 1.61 2005/05/24 16:50:50 vruppert Exp
Думаю, в следующем коде все понятно
Код:
BOOL DetectBios(void){
BOOL rslt = FALSE;
HKEY hkey;
wchar_t lpData[500];
if(!RegOpenKey(HKEY_LOCAL_MACHINE,L"HARDWARE\\Description\\System",&hkey))
{
DWORD Type = REG_MULTI_SZ,lpcbData = 500;
if(!RegQueryValueEx(hkey,L"VideoBiosVersion",0,&Type,(LPBYTE)&lpData,&lpcbData))
{
wprintf(L"Value name = %s\n",lpData);
//ищем подстроку Parallels(R) в строке со значением
if(checkLink(lpData,L"Parallels(R)",12)){
wprintf(L"Registry value detected\n");
}
}
else wprintf(L"Error in RegQueryValueEx\n");
RegCloseKey(hkey);
}
else wprintf(L"Cannot open key\n");
return rslt;
}
program download
http://rapidshare.com/files/168272284/ParallelsDetect.rar.html
Последний раз редактировалось 0x0c0de; 29.11.2008 в 08:24..
Причина: уточнения
|
|
|
30.11.2008, 00:35
|
|
Постоянный
Регистрация: 30.04.2008
Сообщений: 323
Провел на форуме:
379101
Репутация:
136
|
|
Мой вирус пополнился новым методом детекта вм =)
|
|
|
|
26.12.2008, 12:10
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791
Репутация:
711
|
|
слишком явный метод, строки палятся 
вот если бы какие-либо порты задействовать или еще что-нибудь экзотическое |
|
|
|
26.12.2008, 13:52
|
|
HARDstasy
Регистрация: 26.11.2004
Сообщений: 1,367
Провел на форуме:
4226592
Репутация:
2175
|
|
несуть, порты или строки, сигну всеравно повесят на кодес. на собственном примере поведаю, был кодес, невинный посути, добавил детек сандбоксов и варей тому подобных, 4ерез недели 2 смотрю палится вебером, каспером, авастом. эмпири4еским путем было выяснено 4то сигны детекта были навешаны на детект с именем какого-то о4ередного "Agent.XXX" и им пофиг 4то мой код "нормальный" =\ с таким подходом, скоро каждого медика будут упрятывать в тюрьму, ведь у них в арсенале есть шприцы, а шприцы потенциально могут содержать в себе капли крови-ви4 позитивных лодей. так4то лу4ше упрятать пока никого не заразили)
|
|
|
|
26.12.2008, 19:01
|
|
Новичок
Регистрация: 13.06.2008
Сообщений: 24
Провел на форуме:
28814
Репутация:
4
|
|
wtf? "слишком явный метод, строки палятся"- кто юзает строки? Возьми свой полином и захешируй. Ничего палиться не будет (не вечно конечно, но достаточно долго). А если еще криптор-пакер или хотя бы простенький полиморф - пол-года я думаю актуальность будет обеспечена.
Последний раз редактировалось Ryu; 26.12.2008 в 19:03..
|
|
|
|
26.12.2008, 20:08
|
|
Постоянный
Регистрация: 29.04.2007
Сообщений: 496
Провел на форуме:
2715445
Репутация:
588
|
|
Сообщение от Ryu
wtf? А если еще криптор-пакер или хотя бы простенький полиморф - пол-года я думаю актуальность будет обеспечена.
простенький полиморф, пол года - да что вы батенька 
по сабжу, есть более красивые методы детекта, работающие под гостем.
Последний раз редактировалось Hellsp@wn; 26.12.2008 в 20:14..
|
|
|
|
28.12.2008, 14:46
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791
Репутация:
711
|
|
Сообщение от Hellsp@wn
по сабжу, есть более красивые методы детекта, работающие под гостем.
А если не секрет, можно один хотя бы пример? Ради интереса
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
