Як сховатися від програми, яку вона працює на віртуальній машині?

Деякі програми містять тести, щоб перевірити, чи працюють вони на віртуальній машині.

Дуже неприємно бачити попереджувальні повідомлення типу "Вибачте, ця програма не може працювати під віртуальною машиною". і зупиніть ваше програмне забезпечення!

Існує безліч юридичних причин для відмови від таких тестів. Крім того, такі обмеження (в більшості випадків) не зафіксовані в Ліцензійних угодах користувача.

Отже ... як я приховую той факт, що у віртуальній машині працює програма? Я не хочу, щоб програми, які роблять це сканування, успішно виявляли VM, що працює.

Я використовую віртуальний приватний сервер (VPS) з Hyper-V ... Я адміністратор операційної системи (Windows 2003), встановленої на цьому VPS, а не адміністратор Hyper-V.

— Femto Trader
джерело

Чи можете ви уточнити, що ви маєте на увазі під «приховати програму»? Крім того, яке програмне забезпечення ви намагаєтеся запустити, зокрема?

— Андерсон Грін

@AndersonGreen, вони означають, що вони хочуть не допустити, щоб програма виявляла, що вона працює в VM.

— Synetech

Тож дозвольте мені зрозуміти це, ваше запущене програмне забезпечення у VM, і ви не хочете, щоб програмне забезпечення на хості виявляло, що певне програмне забезпечення працює у ВМ, правда?

— user88311

Ви повинні бути обережними. Якщо програма свідомо перевіряє, чи працює вона в налагодженому / віртуальному середовищі, можливо, вона намагається застосувати певну заяву, перелічену в її ліцензійній угоді . Посягання на VM може бути прямим порушенням EULA.

— bytebuster

@bytebuster Я сказав у своєму запитанні "Тим більше, що такі обмеження (в більшості випадків) не зафіксовані в Ліцензійних угодах користувачів". Тому я знаю, що іноді це заборонено ... а іноді це дозволено ... Я не звертайтесь за юридичною, а технічною порадою!

— Femto Trader

Відповіді:

Словом, я думаю, що ви просто не можете. Це дискусія про зловмисне програмне забезпечення, яке намагається виявити, чи працює він у віртуальній машині, щоб уникнути виявлення їх системами, які використовують VM для запуску коду для перевірки наявності шкідливого програмного забезпечення.

Деякі швидкі посилання: VRT: Як шкідливе програмне забезпечення знає різницю між віртуальним та реальним світом? та мертві подарунки зловмисного програмного забезпечення VM .

— шеранд
джерело

Категорично не погоджуючись, у вас аргумент неправильний. Виявлення того, що це віртуалізоване середовище, значно полегшує зловмисним програмним завданням свою роботу. Також врахуйте, що існують лабораторії анти-зловмисного програмного забезпечення та антивірусів, яким потрібно запустити віртуальний комп'ютер, щоб ізолювати свої дослідження, і що встановити зловмисне програмне забезпечення у цих віртуальних машинах, і потрібно приховати факт, що цей екземпляр є віртуалізованим екземпляром. Саме ця причина ESXi / VSphere дозволяє встановити прапор, щоб приховати той факт, що VM - це VM.

— Маттіас Вольф

Я також категорично не погоджуюсь, як щодо NVidia GPU пройдений через картки споживчих класів. Драйвери NVidia роблять перевірку "VM" і не встановлюють код w / error 43, але швидкий google знаходить вирішення. Це постійна гра в кішок і мишей, коли мова йде про такі речі.

— FreeSoftwareServers

Я вважаю, що ця відповідь є правильною, а точніше, якби в ній сказано, що все, що може працювати «зараз», швидше за все, не буде працювати через певний період часу, оскільки це багато в чому своєрідна «гонка озброєнь» (особливо це стосується зловмисного програмного забезпечення ) і тому засоби виявлення проти засоби запобігання виявленню з часом постійно змінюються і просуваються.

— Чак ван дер Лінден

Наскільки я знаю, це залежить від виду віртуалізації, який ви використовуєте.

Почнемо говорити, що ви, безумовно, можете пом'якшити деякі речі (EG змінити MAC-адресу, видалити додатки для гостей).

Це означає, що якщо ви працюєте з повною віртуалізацією, гіпервізор емулює обладнання для гостей. Емульований процесор матиме власний (програмний) годинник, який незабаром чи пізніше демонструватиме різні швидкості, коли цього не повинен.

Це одне з речей, які неможливо відновити жодним чином, і програма (в основному шкідливі програми) буде знати, що вона працює у віртуальній машині.

Ви можете отримати це прямо, використовуючи паравіртуалізацію, яка полягає у використанні реального обладнання в закритому середовищі.

— ingroxd
джерело

Я б сказав, що це однаково залежить від того, який гіпервізор ви використовуєте щодо того, що перевіряє програмне забезпечення, щоб побачити, чи є він у вітрині.

— FreeSoftwareServers