Антидетект виртуальной машины на *nix системах!
BezLichПриступаем:
Скрипт, который позволяет менять синтетические параметры виртуальной машинки на более менее реальные, звать его AntiVMDetection.
Делать все буду на Ubuntu.
1. Скачиваем необходимые программы и пакеты:
1) sudo apt-get install acpidump
2) sudo apt-get install libcdio-utils
3) sudo apt-get install python-dmidecode
4) sudo apt-get install git
5) git clone GitHub - nsmfoo/antivmdetection: Script to create templates to use with VirtualBox to make vm detection harder --(Клонируем наш АнтиДетект с ГитХаба)
6) cd antivmdetection --(переходим непосредственно в папку АнтиДетекта)
7) echo "retro" > user.lst --(создаем файл с именем пользователя ВМ; имя можете придумывайте сами)
8) echo "snuff" > computer.lst --(аналогично)
Скачиваем VolumeID и DevManView, разархивируем их и кидаем в папку antivmdetection
Терминал не закрываем
2. Создаем Вирт.Машину и настраиваем ее:
Для меня эталон:
Windows 7 x64
2048 Mb RAM
256 Mb Video с включенной функцией акселерации 3D
120 Gb на виртуальном диске
4 процессора
Из настроек:
System - Motherboard:
- Chipset - ICH9
- Hardware Clock in UTC Time --включить
Важно:
System - Acceleration - Paravirtualization Interface - None --(хотя в коробке от 5.1 можно оставить значение по умолчанию, но все же ставьте none)
3. Запускаем antivmdetect.py:
sudo python2.7 antivmdetect.py
В итоге в папке "antivmdetection" появились три файла *.sh , *.ps1, DSDT*.bin --(вместо звездочки может быть разное значение, в моем случае это TobefilledbyO.E.M.)
Важно: открываем ваш файл *.sh , ищем строчку VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVersion и если у него значение цельночисловое (у меня 2408), то меняем его,например,на Ver.2408 (обязательно с точкой).
Далее исполняем файл *.sh (вместо звездочки естественно ваше значение):
bash *.sh "имя_виртмашины_без_ковычек"
После этого запускаем свою вирт.машину, если ошибок нет,то устанавливаем винду, если ошибки есть, то решаем их самостоятельно или задаем вопросы тут. В основном запускается с первого раза.
4. Вырезаем аппендиксы Vbox
После установки винды переправляем нашу папку antivmdetection из хоста в вирт.тачку на диск С:/ (при помощи файлообменников, установкой общих папок, VK...) и переходим к операции.
Итак, на установленной системе отключаем лишние службы:
1) Вырубаем Windows Defender
2) Вырубаем Windows Update
3) Вырубаем ASLR:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management] --на последнем пункте правой кнопкой мыши - New - DWORD - набираем MoveImages - ставим значение 00000000
4) Вырубаем DEP :
Командная строка от имени админа - пишем bcdedit.exe /set {current} nx AlwaysOff
Теперь запускаем PowerShell (пуск-стандартные-powershell) от имени админа:
1) Пишем Set-ExecutionPolicy Unrestricted- жмем enter - соглашаемся на изменение прав
2) Далее пишем cd C:/antivmdetection - жмем enter
3) И наконец пишем .\*.ps1 (опять же вместо звездочки название вашего .ps1 файла)
4) Как только начнут вылазить окна по удалению файлов, можете закрывать PowerShell
Спойлер: Вот так это должно выглядеть
Вы наверняка заметли, что данный Супер-пупер антидетект грубо говоря клонирует вашу систему и вклеивает её в виртуальную машину, но все значения можно легко изменить, и в .sh, и в .ps1.
Этот скрипт скрывает все важные моменты, которыми светит виртуалка, но есть еще одна хрень, над которой я советую заморочиться. Речь идет о том, что виртуальные устройства, пусть и не все, имеют ID вмваер. Есть ПО, специализирующееся на смене данных id.
⚡️Читайте самые интересные материалы про безопасность на канале BezLich ⚡️