到处是坑
在这里总结一下几个小时的搜索结果:
1,用中文搜“ virtualbox 防虚拟机检测”,出来的结果都是 VMware 的,VMware 的就是 vmx 文件里加几段话:
第一种:
monitor_control.virtual_rdtsc = "false"
monitor_control.restrict_backdoor = "true"
monitor_control.disable_directexec = "true"
第二种:
monitor_control.virtual_rdtsc = "false"
monitor_control.restrict_backdoor = "true"
monitor_control.disable_directexec = "true"
isolation.tools.getPtrLocation.disable = "true"
isolation.tools.setPtrLocation.disable = "true"
isolation.tools.setVersion.disable = "true"
isolation.tools.getVersion.disable = "true"
第三种:
isolation.tools.getPtrLocation.disable ="TRUE"
isolation.tools.setPtrLocation.disable ="TRUE"
isolation.tools.setVersion.disable ="TRUE"
isolation.tools.getVersion.disable ="TRUE"
monitor_control.disable_directexec ="TRUE"
monitor_control.disable_chksimd ="TRUE"
monitor_control.disable_ntreloc ="TRUE"
monitor_control.disable_selfmod ="TRUE"
monitor_control.disable_reloc ="TRUE"
monitor_control.disable_btinout ="TRUE"
monitor_control.disable_btmemspace ="TRUE"
monitor_control.disable_btpriv ="TRUE"
monitor_control.disable_btseg ="TRUE"
第四种:
monitor_control.restrict_backdoor = "true"
加上设置里面勾选”禁止二进制转换加速“
话说” true “和” TRUE “有区别吗??
然后就是换英文搜,关键词” make virtualbox undetectable “、” hide virtualbox from detection “、” virtualbox anti detection “等等,出来好多 virtualbox 论坛的帖子,我发现所有这些帖子里都有一个叫 mpack 的管理员告诉发帖人”不要想“、”不可能“、”就是能检测出来“....但是总结那些帖子,还是有一点有用的资源
首先,
https://github.com/hfiref0x/VBoxHardenedLoader,但是,默认只提供 windows 系统的介绍,linux 系统也有提到,但是,很不幸只是论坛里的一点简介,我很惭愧我看的很累而且没看懂!!
然后,
https://github.com/seifreed/malware-scripts/blob/master/virtualbox%20undetectable.sh ,20 几条命令一条一条的运行过去之后我那台虚拟机跑不起来了,启动的时候提示
Configuration error: Querying "DmiBIOSReleaseMajor" as an int failed (VERR_CFGM_NOT_INTEGER).
返回 代码:
NS_ERROR_FAILURE (0x80004005)
组件:
ConsoleWrap
界面:
IConsole {872da645-4a9b-1727-bee2-5585105b9eed}
问题出在 DmiBIOSReleaseMajor 这一段(有可能后面还有问题只是还没显示出来),我也不知道该怎么改 github 上给的数值。心累.....
virtualbox 论坛上有个简化版本,六条命令:
VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiSystemVendor" "Intel"
VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiSystemProduct" "To be filled by OEM"
VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVendor" "Phoenix"
VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVersion" "1.0"
VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiChassisVendor" "Intel"
VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiChassisVersion" "1.0"
出处是这里:
https://forums.virtualbox.org/viewtopic.php?f=2&t=44961 有没有效果我不知道,等重装一个系统再试。
还有一个教程:
http://blog.michaelboman.org/2014/01/making-virtualbox-nearly-undetectable.html,不好意思我看不太懂(本人不会编程),没有尝试。再来,
https://forums.virtualbox.org/viewtopic.php?f=7&t=84353 这里面提到 QEMU/KVM 里设置
<kvm>
<hidden state='on'>
</kvm>
就能防止检测了,因为以前用过 QEMU 和 virt-manager,对其性能还是很满意的,所以我又兴冲冲的去安装了这些东西,然后发现又进了新坑:以前我都是直接 root 登陆操作,如今老老实实的普通用户登陆,那么在普通用户权限下安装虚拟系统是跑不起来的,提示权限错误,又特么需要重新配置!再找教程,挑了个简单易懂的照着做了,还是不行,怒!放弃!!
以上就是几个小时的折腾结果,请大佬们指点一条 virtualbox 上简单易行的防检测方法吧!!