V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
qceytzn
V2EX  ›  问与答

求助: virtualbox 如何防虚拟机检测??搜来搜去只有 VMware 的防检测介绍,奇怪了不是?

  •  
  •   qceytzn · 2017-10-22 05:52:40 +08:00 · 11268 次点击
    这是一个创建于 2589 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我的主机系统是 linux,virtualbox 是最新版本,现在有一家银行的网银插件拒绝在虚拟机里运行(我特么在虚拟机里试过从 xp 到 10 的各种安装全部失败最后投诉得到的反馈),现在我想从技术上搞定网银插件的防虚拟机检测,无奈有关 virtualbox 的相关文章怎么也搜不到,全是 VMware 的

    ( VMware 的防检测就是在 vmx 文件里添加

    monitor_control.restrict_backdoor = "TRUE"

    disable_acceleration = "TRUE"

    这样的几行描述)

    请大佬们帮忙指点一下 virtualbox 如何防虚拟机检测,谢谢!

    8 条回复    2017-10-24 13:55:22 +08:00
    qceytzn
        1
    qceytzn  
    OP
       2017-10-22 11:04:19 +08:00
    到处是坑

    在这里总结一下几个小时的搜索结果:

    1,用中文搜“ virtualbox 防虚拟机检测”,出来的结果都是 VMware 的,VMware 的就是 vmx 文件里加几段话:

    第一种:

    monitor_control.virtual_rdtsc = "false"

    monitor_control.restrict_backdoor = "true"

    monitor_control.disable_directexec = "true"

    第二种:

    monitor_control.virtual_rdtsc = "false"

    monitor_control.restrict_backdoor = "true"

    monitor_control.disable_directexec = "true"

    isolation.tools.getPtrLocation.disable = "true"

    isolation.tools.setPtrLocation.disable = "true"

    isolation.tools.setVersion.disable = "true"

    isolation.tools.getVersion.disable = "true"

    第三种:

    isolation.tools.getPtrLocation.disable ="TRUE"
    isolation.tools.setPtrLocation.disable ="TRUE"
    isolation.tools.setVersion.disable ="TRUE"
    isolation.tools.getVersion.disable ="TRUE"
    monitor_control.disable_directexec ="TRUE"
    monitor_control.disable_chksimd ="TRUE"
    monitor_control.disable_ntreloc ="TRUE"
    monitor_control.disable_selfmod ="TRUE"
    monitor_control.disable_reloc ="TRUE"
    monitor_control.disable_btinout ="TRUE"
    monitor_control.disable_btmemspace ="TRUE"
    monitor_control.disable_btpriv ="TRUE"
    monitor_control.disable_btseg ="TRUE"

    第四种:

    monitor_control.restrict_backdoor = "true"

    加上设置里面勾选”禁止二进制转换加速“


    话说” true “和” TRUE “有区别吗??


    然后就是换英文搜,关键词” make virtualbox undetectable “、” hide virtualbox from detection “、” virtualbox anti detection “等等,出来好多 virtualbox 论坛的帖子,我发现所有这些帖子里都有一个叫 mpack 的管理员告诉发帖人”不要想“、”不可能“、”就是能检测出来“....但是总结那些帖子,还是有一点有用的资源

    首先,https://github.com/hfiref0x/VBoxHardenedLoader,但是,默认只提供 windows 系统的介绍,linux 系统也有提到,但是,很不幸只是论坛里的一点简介,我很惭愧我看的很累而且没看懂!!

    然后,https://github.com/seifreed/malware-scripts/blob/master/virtualbox%20undetectable.sh ,20 几条命令一条一条的运行过去之后我那台虚拟机跑不起来了,启动的时候提示

    Configuration error: Querying "DmiBIOSReleaseMajor" as an int failed (VERR_CFGM_NOT_INTEGER).

    返回 代码:
    NS_ERROR_FAILURE (0x80004005)
    组件:
    ConsoleWrap
    界面:
    IConsole {872da645-4a9b-1727-bee2-5585105b9eed}



    问题出在 DmiBIOSReleaseMajor 这一段(有可能后面还有问题只是还没显示出来),我也不知道该怎么改 github 上给的数值。心累.....

    virtualbox 论坛上有个简化版本,六条命令:

    VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiSystemVendor" "Intel"
    VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiSystemProduct" "To be filled by OEM"
    VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVendor" "Phoenix"
    VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVersion" "1.0"
    VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiChassisVendor" "Intel"
    VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiChassisVersion" "1.0"


    出处是这里: https://forums.virtualbox.org/viewtopic.php?f=2&t=44961 有没有效果我不知道,等重装一个系统再试。

    还有一个教程: http://blog.michaelboman.org/2014/01/making-virtualbox-nearly-undetectable.html,不好意思我看不太懂(本人不会编程),没有尝试。


    再来,https://forums.virtualbox.org/viewtopic.php?f=7&t=84353 这里面提到 QEMU/KVM 里设置
    <kvm>
    <hidden state='on'>
    </kvm>
    就能防止检测了,因为以前用过 QEMU 和 virt-manager,对其性能还是很满意的,所以我又兴冲冲的去安装了这些东西,然后发现又进了新坑:以前我都是直接 root 登陆操作,如今老老实实的普通用户登陆,那么在普通用户权限下安装虚拟系统是跑不起来的,提示权限错误,又特么需要重新配置!再找教程,挑了个简单易懂的照着做了,还是不行,怒!放弃!!


    以上就是几个小时的折腾结果,请大佬们指点一条 virtualbox 上简单易行的防检测方法吧!!
    bertonzh
        2
    bertonzh  
       2017-10-22 12:47:02 +08:00
    用手机银行吧。。
    如果这都没有,就诅咒这种垃圾银行倒闭好了。。
    qceytzn
        3
    qceytzn  
    OP
       2017-10-22 12:52:17 +08:00
    @bertonzh 不喜欢用手机...而且我确实发现有的功能只有网银里有、手机银行里没有
    wsy2220
        4
    wsy2220  
       2017-10-22 14:17:11 +08:00 via Android
    vbox 支持修改 DMI 信息的
    qceytzn
        5
    qceytzn  
    OP
       2017-10-22 14:32:52 +08:00
    @wsy2220 能说的详细一点吗?如果按照那上面六条命令的版本改好了就可以防检测了??
    qceytzn
        6
    qceytzn  
    OP
       2017-10-22 22:02:17 +08:00
    新装了一个 win7 试了下那六条命令,无效
    qceytzn
        7
    qceytzn  
    OP
       2017-10-22 23:35:02 +08:00
    最后,装起了 VMware,再装了一个 thin 7 系统,装完后用第三种方法( 13 条注释),OK 了,网银插件跑起来了...反正 Vbox 的问题是无解,主机系统上为了跑网银再装一个臃肿的 VMware...
    ihacku
        8
    ihacku  
       2017-10-24 13:55:22 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1498 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:22 · PVG 01:22 · LAX 09:22 · JFK 12:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.