2016-10-01 в 13:15, admin , рубрики: VMware, информационная безопасность, реверс-инжиниринг
Разработчики вирусного ПО и просто разработчики, не желающие, чтобы их программу пытались реверсить, на этапе запуска или установки проводят проверки на виртуальную машину, и в случае её обнаружения отказываются работать, а то и вовсе самоликвидируются. Под катом описан способ, как решить эту проблему.
Я использовал VMWare Fusion для Mac, однако с тем же успехом способ работает и в Workstation для Win.
1) Для работы необходима заново установленная система, как внести изменения в уже существующую — не нашёл.
Готовите виртуальный диск, указываете систему, как это обычно делаете, и в настройках к устанавливаемой машине, у меня этот пункт назван Isolation, выключаете любой обмен данными с хостовой ОС.
2) Далее надо найти конфигурационный VMX файл, создаваемый на этапе создания машины в VMWare, и в конец добавить строки:
VmWare Workstation: Виртуальная Машина | Установка и Настройка в Windows 10 | UnderMind
isolation.tools.getPtrLocation.disable = «TRUE»
isolation.tools.setPtrLocation.disable = «TRUE»
isolation.tools.setVersion.disable = «TRUE»
isolation.tools.getVersion.disable = «TRUE»
monitor_control.disable_directexec = «TRUE»
monitor_control.disable_chksimd = «TRUE»
monitor_control.disable_ntreloc = «TRUE»
monitor_control.disable_selfmod = «TRUE»
monitor_control.disable_reloc = «TRUE»
monitor_control.disable_btinout = «TRUE»
monitor_control.disable_btmemspace = «TRUE»
monitor_control.disable_btpriv = «TRUE»
monitor_control.disable_btseg = «TRUE»
Эти опции предотвращают детектирование программами виртуального окружения через такие сложные проверки, как отслеживание адресного пространства памяти, счётчиков.
Важно! Если на этапе настройки установки будет опция вроде «Express install», «Быстрая установка» — выключайте их. Также не стоит устанавливать VMWare Tools в установленную систему, т.к. некоторое ПО в проверку включает и наличие этого пакета.
3) Сохраняем файл, указываем для загрузки ISO с установщиком системы, устанавливаем ОС как обычно.
4) Несмотря на то, что подавляющее большинство программ, не любящих виртуальной среды, не заходят дальше проверок, которые мы отсекли на 2 шаге, некоторые особо упорные всё же идут дальше и пытаются искать всё, что похоже на название контроллеров виртуальных дисков.
Чтобы победить и их в Windows, идём в редактор реестра в ветку HKLMSYSTEMCurrentControlSetServicesDiskEnum. Как видите, там есть вполне явная отсылка к тому, что диск — виртуальный.
Нам нужно изменить его, убрав из параметра VMware, Virtual, Ven, итп, и сохранить её так.
Полная настройка VMware Workstation
После пробуйте запускать ваш упрямый объект экспериментов — в процентах 90 случаев описанные шаги помогут пройти проверки на виртуальное окружение.
Важно! Значение в HKLMSYSTEMCurrentControlSetServicesDiskEnum перезаписывается после каждой перезагрузки, так что его нужно менять после каждого нового запуска системы.
Источник: www.pvsm.ru
Статья Окно с защитой. Создаем изолированную систему для тестов
Введение
Как и многим специалистам в сфере информационной безопасности, нам приходится сталкиваться с крайне подозрительными файлами, и желания запускать их в родной операционной системе нет. Казалось бы, что на такую проблему всегда есть одно решение — использовать виртуальные машины. Хотя даже здесь все не так гладко и спокойно, как ты мог подумать.
При запуске можно столкнуться с рядом трудностей. Вирус может оказаться злым шифровальщиком или вредителем, который удаляет систему за пару секунд. В таком случае придется по новой искать, скачивать и устанавливать образ операционной системы. Но сегодня я расскажу тебе, как правильно настроить и сохранить систему, чтобы при малейших повреждениях ее можно было откатить до нужного момента.
План статьи
Перед тем как начать, стоит ознакомиться с планом, по которому будет строится наша дальнейшая работа. Первым делом я расскажу об оборудовании, с которым мы будем работать, далее рассмотрим сам процесс установки и настройки системы. После создадим необходимые бэкапы и, конечно же, проверим все в боевых условиях, предварительно заразив систему опасным вирусом. Со всеми необходимыми действиями я тебя ознакомил, значит теперь можно смело переходить к разделу установки и настройки.
- dnSpy/dotPeek;
- Explorer Suite;
- Procmon;
- Process Explorer/Process Hacker;
- IDA Pro/x64dbg;
- Regshot;
- TCPView/Wireshark.
Создание изолированной системы
Первым и самым главным этапом тебе потребуется установить всё необходимое программное обеспечение. После этого переходим в саму VMWare и создаем новую виртуальную машину. Из особенностей установки: следует создать новый виртуальный жесткий диск, а также в настройках системы убрать 3D ускоритель, поскольку из-за него дальнейший запуск системы будет вызывать критические ошибки операционной системы, что приводит к ее падению. Сам процесс установки я описывать не стану, так как я думаю ты знаешь, что делать. Для более точной настройки ниже я оставил скриншот с тем, где найти ускоритель графики.
Во время установки крайне не рекомендую оставлять пункты со сбором данных, поскольку в дальнейшем это нам не пригодится, а компании Microsoft не обязательно знать, чем мы занимаемся на виртуальной машине. По завершении установки перед тобой откроется окно с приветствием, после чего и сам главный экран пользователя. Единственный недостаток варианта нашей установки заключается в том, что в системе отсутствуют драйвера для взаимодействия с виртуальной средой. Чтобы это исправить тебе потребуется перейти во вкладку виртуальной машины и нажать на функцию «Установить пакет VMWare Tools», для наглядности ниже я предоставил скриншот:
Также если ты устанавливал оригинальную версию, то весь интерфейс будет на английском и тебе потребуется перейти в Virtual Machine -> Install VMware Tools. После этого начнется установка всех необходимых компонентов. Не забудь войти в систему перед этими действиями. Далее перезагружаем устройство и получаем полноценную и рабочую Windows 10. Осталось настроить ее, уничтожить все лишнее и можно создавать бэкапы.
Для начала займемся всеми фичами, которыми напичканы современные образцы системы. Для удаления базовых и ненужных программ тебе стоит перейти в раздел настроек и выбрать пункт Приложения. Перед тобой раскроется список всех приложений, которые ты сможешь спокойно удалить.
Также если ты заметил надоедливый и всеми известный значок Кортаны, то рекомендую сделать такие действия: открыть PowerShell от имени администратора и скопировать в буфер обмена следующую команду:
Get-appxpackage -allusers *Microsoft.549981C3F5F10* | Remove-AppxPackage
Вставить и выполнить эту команду, дождаться завершения и закрыть окно. Теперь тебе точно никто не сможет помешать в полноценной работе системы. Не будем забывать про нашу основную цель, а именно полная изоляция.
Чтобы такого достигнуть разберемся с надоедливым Windows Defender, так как при использовании функции Drag удаления» встроенного защитника с системы.
Первым делом открываем окно выполнения команд (Win+R) и вводим gpedit.msс. После этого открывается редактор групповой политики. В нем ты должен найти «Конфигурация компьютера» и перейти в раздел «Административные шаблоны». Далее переходишь по пути «Компоненты Windows» и открываешь папку «Антивирусная программа Защитник Windows».
В ней находится файл с названием «Выключить антивирусную программу Защитник Windows». Открываем его и активируем функцию Включено. Применяем изменения, закрываем редактор. Теперь тебе ничего не помешает в анализе и запуске вредоносного программного обеспечения.
Теперь стоит задуматься о переносе всех необходим утилит в систему, чтобы каждый раз не заниматься этим — активируем функцию Drag Общие папки».
После этого настраиваем все необходимые данные для переноса и применяем изменения. Чтобы активировать функцию переходим на виртуальную машину и во вкладке Сети ищем нашу папку. Если ты до этого не настраивал никакой виртуальной сети, то в проводнике у тебя отобразится всплывающее окно, которое нужно будет активировать.
После проделанных действий нам станет доступна функция переноса файлов. Перетаскиваем все необходимые инструменты в нашу виртуальную среду и далее распаковываем их. Настройка системы прошла успешно!
На следующем этапе стоит задуматься о том, где ты будешь хранить бэкапы системы для быстрого восстановления в случаи неумелого использования. Рекомендую использовать флеш-накопитель или другой съемный диск для этого. Давай я коротко расскажу о том, как это работает. В отличие от VirtualBox, VMware способен восстанавливать систему имея всего лишь один виртуальный диск.
Сам продукт разбивает всю информацию на кластеры, чтобы экономить память и оптимизировать работу. Узнать, где хранится твоя виртуальная машина ты можешь через те же параметры. На вкладке жесткий диск будет указан путь до виртуального диска. Нам то он и потребуется. Переходим по пути и архивируем папку в которой он содержится. Ждем какое-то время и готово!
Теперь ты можешь восстанавливать систему в любой момент времени. Как это работает? Вместо создания новой виртуальной машины ты можешь импортировать уже готовый вариант. Для этого кликаем по кнопки Экспорт и выбираем тот самый жесткий диск, о котором я говорил ранее. После этого VMware найдет и применит все необходимые конфиги и настройки для работы и запустит виртуальную машину со всеми данными на ней.
Также расскажу тебе немного преимуществ, из-за которых для работы стоит использовать именно VMware, вместо привычного нам VirtualBox. Прежде всего это гибкость виртуальной среды. Ты можешь полностью взаимодействовать и менять такие параметры, как оперативная память и место на жестком диске не выключая саму систему. Этот же принцип работает и на смене сетевых мостов.
По мимо этого сама программа имеет лучшую оптимизацию и адаптированность. Тебе не придется мучить себя с потерянной в пространстве вертикальной синхронизацией или тормозами при работе с операционной системой.
Ну а на этом этапе стоит завершить нашу работу и перейти к итогам статьи.
Подводим итоги
Чтобы было легче сделать отчет о проделанной работе давай разберемся с первоначальной целью: создать и настроить изолированную систему для проведения тестирования и анализа вредоносного кода. Мы ее достигли при помощи нескольких простых движений и доли смекалки. Также ради своей же безопасности рекомендую тебе выключать функцию Drag https://codeby.net/threads/okno-s-zaschitoj-sozdaem-izolirovannuju-sistemu-dlja-testov.81364/» target=»_blank»]codeby.net[/mask_link]
Как скрыть от программы запуск в среде vmware
В этой теме рассматриваются проблемы, возникающие при работе с
VMware Workstation
Внимание!
Новые версии VMware Workstation предназначены для установки только на 64-битные системы!
Для установки на 32-битные системы используйте версии ниже 11!
Хотелось бы при переносе использовать в новой машине 1 процессор с 2-мя ядрами. Но при выборе виртуальной машины версии 7 — выбрать дает только кол-во сокетов. Если выбрать версию 8 — то все нормально, можно выбрать и ядра и сокеты.
Пробовали перезагрузить после того, как установили галочку?
Пробовали перезагрузить после того, как установили галочку?
Источник: forum.ru-board.com