Антидетект виртуальной машины на *nix системах!

Приступаем: 

Скрипт, который позволяет менять синтетические параметры виртуальной машинки на более менее реальные, звать его AntiVMDetection.

Делать все буду на Ubuntu.

1. Скачиваем необходимые программы и пакеты:

1) sudo apt-get install acpidump

2) sudo apt-get install libcdio-utils

3) sudo apt-get install python-dmidecode

4) sudo apt-get install git

5) git clone GitHub - nsmfoo/antivmdetection: Script to create templates to use with VirtualBox to make vm detection harder --(Клонируем наш АнтиДетект с ГитХаба)

6) cd antivmdetection --(переходим непосредственно в папку АнтиДетекта)

7) echo "retro" > user.lst --(создаем файл с именем пользователя ВМ; имя можете придумывайте сами)

8) echo "snuff" > computer.lst --(аналогично)

Скачиваем VolumeID и DevManView, разархивируем их и кидаем в папку antivmdetection

Терминал не закрываем

2. Создаем Вирт.Машину и настраиваем ее:

Для меня эталон:

Windows 7 x64

2048 Mb RAM

256 Mb Video с включенной функцией акселерации 3D

120 Gb на виртуальном диске

4 процессора

Из настроек:

System - Motherboard:

- Chipset - ICH9

- Hardware Clock in UTC Time --включить

Важно:

System - Acceleration - Paravirtualization Interface - None --(хотя в коробке от 5.1 можно оставить значение по умолчанию, но все же ставьте none)

3. Запускаем antivmdetect.py:

sudo python2.7 antivmdetect.py

В итоге в папке "antivmdetection" появились три файла *.sh , *.ps1, DSDT*.bin --(вместо звездочки может быть разное значение, в моем случае это TobefilledbyO.E.M.)

Важно: открываем ваш файл *.sh , ищем строчку VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVersion и если у него значение цельночисловое (у меня 2408), то меняем его,например,на Ver.2408 (обязательно с точкой).

Далее исполняем файл *.sh (вместо звездочки естественно ваше значение):

bash *.sh "имя_виртмашины_без_ковычек" 

После этого запускаем свою вирт.машину, если ошибок нет,то устанавливаем винду, если ошибки есть, то решаем их самостоятельно или задаем вопросы тут. В основном запускается с первого раза.

4. Вырезаем аппендиксы Vbox

После установки винды переправляем нашу папку antivmdetection из хоста в вирт.тачку на диск С:/ (при помощи файлообменников, установкой общих папок, VK...) и переходим к операции.

Итак, на установленной системе отключаем лишние службы:

1) Вырубаем Windows Defender

2) Вырубаем Windows Update

3) Вырубаем ASLR:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management] --на последнем пункте правой кнопкой мыши - New - DWORD - набираем MoveImages - ставим значение 00000000

4) Вырубаем DEP :

Командная строка от имени админа - пишем bcdedit.exe /set {current} nx AlwaysOff

Теперь запускаем PowerShell (пуск-стандартные-powershell) от имени админа:

1) Пишем Set-ExecutionPolicy Unrestricted- жмем enter - соглашаемся на изменение прав

2) Далее пишем cd C:/antivmdetection - жмем enter

3) И наконец пишем .\*.ps1 (опять же вместо звездочки название вашего .ps1 файла)

4) Как только начнут вылазить окна по удалению файлов, можете закрывать PowerShell

Спойлер: Вот так это должно выглядеть

Вы наверняка заметли, что данный Супер-пупер антидетект грубо говоря клонирует вашу систему и вклеивает её в виртуальную машину, но все значения можно легко изменить, и в .sh, и в .ps1.

Этот скрипт скрывает все важные моменты, которыми светит виртуалка, но есть еще одна хрень, над которой я советую заморочиться. Речь идет о том, что виртуальные устройства, пусть и не все, имеют ID вмваер. Есть ПО, специализирующееся на смене данных id.

⚡️Читайте самые интересные материалы про безопасность на канале BezLich ⚡️