Обходим детектирование виртуальной машины программами в VMWare
Разработчики вирусного ПО и просто разработчики, не желающие, чтобы их программу пытались реверсить, на этапе запуска или установки проводят проверки на виртуальную машину, и в случае её обнаружения отказываются работать, а то и вовсе самоликвидируются. Под катом описан способ, как можно попробовать решить эту проблему.
Я использовал VMWare Fusion для Mac, однако с тем же успехом способ работает и в Workstation для Win.
1) Для работы необходима заново установленная система, как внести изменения в уже существующую — не нашёл.
Готовите виртуальный диск, указываете систему, как это обычно делаете, и в настройках к устанавливаемой машине, у меня этот пункт назван Isolation, выключаете любой обмен данными с хостовой ОС.
2) Далее надо найти конфигурационный VMX файл, создаваемый на этапе создания машины в VMWare, и в конец добавить строки:
isolation.tools.getPtrLocation.disable = «TRUE»
How to install Vibrations on your Game Controller
isolation.tools.setPtrLocation.disable = «TRUE»
isolation.tools.setVersion.disable = «TRUE»
isolation.tools.getVersion.disable = «TRUE»
monitor_control.disable_directexec = «TRUE»
monitor_control.disable_chksimd = «TRUE»
monitor_control.disable_ntreloc = «TRUE»
monitor_control.disable_selfmod = «TRUE»
monitor_control.disable_reloc = «TRUE»
monitor_control.disable_btinout = «TRUE»
monitor_control.disable_btmemspace = «TRUE»
monitor_control.disable_btpriv = «TRUE»
monitor_control.disable_btseg = «TRUE»
Эти опции предотвращают детектирование программами виртуального окружения через такие сложные проверки, как отслеживание адресного пространства памяти, счётчиков.
Важно! Если на этапе настройки установки будет опция вроде «Express install», «Быстрая установка» — выключайте их. Также не стоит устанавливать VMWare Tools в установленную систему, т.к. некоторое ПО в проверку включает и наличие этого пакета.
3) Сохраняем файл, указываем для загрузки ISO с установщиком системы, устанавливаем ОС как обычно.
4) Несмотря на то, что подавляющее большинство программ, не любящих виртуальной среды, не заходят дальше проверок, которые мы отсекли на 2 шаге, некоторые особо упорные всё же идут дальше и пытаются искать, к примеру, всё, что похоже на название контроллеров виртуальных дисков.
Чтобы победить и их в Windows, идём в редактор реестра в ветку HKLMSYSTEMCurrentControlSetServicesDiskEnum. Как видите, там есть вполне явная отсылка к тому, что диск — виртуальный.
Нам нужно изменить его, убрав из параметра VMware, Virtual, Ven, итп, и сохранить её так.
Также имеет смысл заменить в реестре поиском по VMware/Virtual на какой-нибудь Intel или IBM всё, что меняется, а не только дисковые переменные.
После пробуйте запускать ваш упрямый объект экспериментов — в процентах 70 случаев описанные шаги помогут пройти проверки на виртуальное окружение.
Важно! Значение в HKLMSYSTEMCurrentControlSetServicesDiskEnum перезаписывается после каждой перезагрузки, так что его нужно менять после каждого нового запуска системы.
Естественно, это не исчерпывающее руководство, некоторое ПО также может пытаться определять виртуальную систему следующими методами:
1) Проверками диапазона MAC адресов (просто подменяется в настройках виртуального сетевого адаптера до запускa виртуальной машины)
2) Через WinAPI опросом конфигурации ОС и прочей системной информации (FirmwareTable)
3) Низкоуровневыми трюками.
Проверить, насколько вы обезопасили себя от обнаружения, а также ознакомиться с другими популярными у разработчиков средствами обнаружения песочниц и виртуалок можно средством Pafish.
Несмотря на то, что остались места, где можно себя выдать, предложенный метод заставляет обхитрить большинство ПО, которое не желает работать в виртуальной среде, в данном случае, в VMWare.
Как видно, улучшить скрытность можно также выделив виртульной машине больше системных ресурсов. Что касается памяти, выбирать стоит значения, кратные 1024.
Спасибо всем, кто осилил статью и помог в дополнении её толковыми комментариями!
- vmware
- реверс-инжиниринг
- Информационная безопасность
- Реверс-инжиниринг
Источник: habr.com
Что такое » rfpicon.exe » ?
В нашей базе содержится 5 разных файлов с именем rfpicon.exe . You can also check most distributed file variants with name rfpicon.exe. Чаще всего эти файлы принадлежат продукту RockFire Wireless Gamepad. Наиболее частый разработчик — компания Ruling Tec Pte Ltd. Самое частое описание этих файлов — RockFire Wireless Gamepad Battery Status. Это исполняемый файл.
Вы можете найти его выполняющимся в диспетчере задач как процесс rfpicon.exe.
Подробности о наиболее часто используемом файле с именем «rfpicon.exe»
Продукт: RockFire Wireless Gamepad Компания: Ruling Tec Pte Ltd Описание: RockFire Wireless Gamepad Battery Status Версия: 1.0 MD5: e8c10a93743d3475a9b271c60242d333 SHA1: e71e385c9ba9903822c2486637750a96a035938f SHA256: 0ce3372a450a7de30c464c4bdbeae1e03c64510930ebc58d18eef449959d8900 Размер: 49152 Папка: %PROGRAMFILES%VibrateGameDeviceDriver ОС: Windows XP Частота: Средняя
Проверьте свой ПК с помощью нашей бесплатной программы
System Explorer это наша бесплатная, удостоенная наград программа для быстрой проверки всех работающих процессов с помощью нашей базы данных. Эта программа поможет вам держать систему под контролем.
Процесс «rfpicon.exe» безопасный или опасный?
Последний новый вариант файла «rfpicon.exe» был обнаружен 3942 дн. назад. В нашей базе содержится 2 шт. вариантов файла «rfpicon.exe» с окончательной оценкой Безопасный и ноль вариантов с окончательной оценкой Опасный . Окончательные оценки основаны на комментариях, дате обнаружения, частоте инцидентов и результатах антивирусных проверок.
Процесс с именем «rfpicon.exe» может быть безопасным или опасным. Чтобы дать правильную оценку, вы должны определить больше атрибутов файла. Самый простой способ это сделать — воспользоваться нашей бесплатной утилитой для проверки файлов посредством нашей базы данных. Эта утилита содержит множество функций для контролирования вашего ПК и потребляет минимум системных ресурсов.
Щёлкните здесь, чтобы загрузить System Explorer.
Комментарии пользователей для «rfpicon.exe»
У нас пока нет комментариев пользователей к файлам с именем «rfpicon.exe».
Добавить комментарий для «rfpicon.exe»
Для добавления комментария требуется дополнительная информация об этом файле. Если вам известны размер, контрольные суммы md5/sha1/sha256 или другие атрибуты файла, который вы хотите прокомментировать, то вы можете воспользоваться расширенным поиском на главной странице .
Если подробности о файле вам неизвестны, вы можете быстро проверить этот файл с помощью нашей бесплатной утилиты. Загрузить System Explorer.
Проверьте свой ПК с помощью нашей бесплатной программы
System Explorer это наша бесплатная, удостоенная наград программа для быстрой проверки всех работающих процессов с помощью нашей базы данных. Эта программа поможет вам держать систему под контролем. Программа действительно бесплатная, без рекламы и дополнительных включений, она доступна в виде установщика и как переносное приложение. Её рекомендуют много пользователей.
Источник: systemexplorer.net
DriverMax 9.43.0.280
У каждого случались ситуации, когда на компьютере пропадает звук, или просто не включается игра, выдавая ошибку, связанную с видеокартой. Эти, а также многие другие проблемы возникают по причине отсутствия обновлений драйверов, которые обеспечивают правильную работу устройств.
Обновления выходят не каждый день, но все же достаточно часто, и чтобы за ними уследить, нужно быть постоянно в курсе новостей, что практически невозможно. Но с программой Драйвер Макс можно забыть об этом навсегда.
Информация о системе и установленном ПО
На главном окне программы можно увидеть краткую информацию о системе (1), а при нажатии на восклицательный знак откроется окно браузера, где покажется подробная информация обо всех компонентах компьютера. Чуть ниже находится информация о драйверах (2).
Сканирование системы
Чтобы обнаружить недостающие или старые версии программного обеспечения необходимо произвести сканирование системы.
Обновление драйверов
В бесплатной версии программы можно обновить ПО только поочередно либо отмечая галочкой и нажимая на кнопку «Download and Install» (1), либо нажатием на кнопку «Update» (2) возле каждого драйвера. В отличие от DriverPack Solution, здесь одновременное обновление всего программного обеспечения доступно только в PRO-версии.
Соответствие и игнорирование
Некоторое ПО может не подходить для вашей системы, и для этого есть кнопка «Matching devices», которая проверит, подходит драйвер устройству на вашем ПК или нет. Также можно проигнорировать тот или иной софт, что поможет избавиться от его появления при следующем сканировании.
Бэкап и точка восстановления
Также во время обновления ПО в DriverMax может произойти сбой или любое другое непредвиденное обстоятельство, которое может привести к проблемам в системе. Для исправления этого в программе есть возможность создать системную точку восстановления (1) или резервную копию драйверов (2).
Восстановление
Восстановить систему можно 4 способами, чего не было в Driver Booster:
— Используя системную точку восстановления (1)
— Используя резервные копии (2)
— Используя откат до базовой версии (3)
— Используя ранее скачанные драйвера (4)
Преимущества:
- Неплохой набор драйверов
- Детальная информация о системе и подбор соответствующего программного обеспечения
- Четыре способа восстановления
Недостатки:
- Слегка урезанные возможности в бесплатной версии
Простая и удобная программа DriverMax является отличным инструментом, который значительно упрощает жизнь пользователей ПК. DriverMax обладает одной из самых богатых на разновидности драйверов баз, и направлена целиком именно в это русло. Не обладает дополнительными возможностями, как в DriverPack Solution и многих других программах, но в ней это не так уж и необходимо.
Источник: lumpics.ru
VibranceGUI что это такое, установка и настройка
VibranceGUI — это приложение, которое особенно будет полезно игрокам Counter-Strike: Global Offensive, Overwatch, Heroes Of The Storm, Half-Life, Diablo и других. Когда картинка в игре смотрится серой и скучной(что особенно заметно в контр страйк, на помощь приходит Vibrance GUI). Говоря простым языком программа делает изображения более яркими, насыщенным, что не только делает визуальное восприятие приятнее, но может дать преимущество в шутерах и динамических онлайн играх. Ниже мы расскажем где скачать и основные настройки этой программы.
Автоматизируется NVIDIA Digital Vibrance Control («DVC»), используя API-интерфейс драйвера NVIDIA. В последних версиях добавлена поддержка AMD для автоматизации насыщенности.
Пример работы VibranceGUI
Содержание скрыть
В чем преимущество и особенности VibranceGUI
Настройка цифровой вибрации существует в NVIDIA и называется Digital Vibrance, однако тут есть большой недостаток, при выходе из игры обратно в систему Windows, цвета остаются яркими и насыщенными что определенно режет глаз и портит внешний вид, происходит это потому что процесс работает во всей системе, а VibranceGUI активируется вручную либо при запуске игры.
Настройка цифровой вибрации и насыщенности (Digital Vibrance, Saturation) может дать преимущество в игре CS:GO, это облегчает обнаружение врагов в игре, делает картинку на мониторе более насыщенной. Многие профессиональные игроки уже пользуются данной фишкой.
У программы простой интерфейс и она обладает следующими возможностями:
- Изменяется уровень цифровой вибрации на желаемый игровой уровень, когда игра запущена;
- При выходе на рабочий стол вернуться настройки по умолчанию;
- Настройка автозапуска при включении компьютера;
- Возможность тонкой регулировки в графическом интерфейсе;
- Сохранение конфигурации;
- В последних добавлена поддержка для добавления любой игры, процесса;
Настройка VibranceGUI, где скачать приложение
Скачать приложение следует на официальном сайте vibrancegui.com. Программа легкая и весит меньше мегабайта. Внизу есть две кнопки: «Download for Desctop PC» для установки на компьютер, «Download for Notebook» — версия vibrancegui для ноутбука. Ниже ссылка «vibranceGUI Version 1 Download» это упрощенная версия для CS:GO.
Установка простая:
- Скачиваем архив с программой;
- Распаковываем в удобное место и запускаем;
- Вот так выглядит интерфейс программы;
Интерфейс VibranceGui
Как пользоваться программой?
По настройкам рекомендуем следующие параметры:
- Autoload — автозапуск при старте системы. Лучше выключить, включайте если постоянно играете в игры;
- Windows Vibrance Level — позволит усилить цвета в Wnidows;
- Кнопка Add — для добавления игры, программы в которой хотим усилить цвета;
- Кнопка Remove — убирает выбранные приложения из списка;
- Refresh Rate — частота обновления, рекомендуем установить значение от 3000 до 5000 мс;
Что делать если VibranceGui не работает?
В прошлых версиях игроки жаловались что VibranceGui не работает на ноутбуке, в последних версиях программы разработчики потрудились исправить эту проблему. Если проблема на настольном ПК и программа не запускается — рекомендуем скачать последнюю версию. В операционной системе обязательно должен быть установлен Microsoft .NET Framework 4.
Заключение
Если вас перестали радовать картинки и насыщенность цветов в любимых играх, а хочется больше яркости и насыщенности, получить ярко выраженные детали, вам поможет VibranceGui, надеюсь вы разобрались что это за программа, как ее установить и настроить на компьютере или ноутбуке.
Евгений Загорский IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.
- ВКонтакте
- Telegram
Источник: itpen.ru