求助: virtualbox 如何防虚拟机检测??搜来搜去只有 VMware 的防检测介绍,奇怪了不是?

2017-10-22 05:52:40 +08:00
 qceytzn

我的主机系统是 linux,virtualbox 是最新版本,现在有一家银行的网银插件拒绝在虚拟机里运行(我特么在虚拟机里试过从 xp 到 10 的各种安装全部失败最后投诉得到的反馈),现在我想从技术上搞定网银插件的防虚拟机检测,无奈有关 virtualbox 的相关文章怎么也搜不到,全是 VMware 的

( VMware 的防检测就是在 vmx 文件里添加

monitor_control.restrict_backdoor = "TRUE"

disable_acceleration = "TRUE"

这样的几行描述)

请大佬们帮忙指点一下 virtualbox 如何防虚拟机检测,谢谢!

11299 次点击
所在节点    问与答
8 条回复
qceytzn
2017-10-22 11:04:19 +08:00
到处是坑

在这里总结一下几个小时的搜索结果:

1,用中文搜“ virtualbox 防虚拟机检测”,出来的结果都是 VMware 的,VMware 的就是 vmx 文件里加几段话:

第一种:

monitor_control.virtual_rdtsc = "false"

monitor_control.restrict_backdoor = "true"

monitor_control.disable_directexec = "true"

第二种:

monitor_control.virtual_rdtsc = "false"

monitor_control.restrict_backdoor = "true"

monitor_control.disable_directexec = "true"

isolation.tools.getPtrLocation.disable = "true"

isolation.tools.setPtrLocation.disable = "true"

isolation.tools.setVersion.disable = "true"

isolation.tools.getVersion.disable = "true"

第三种:

isolation.tools.getPtrLocation.disable ="TRUE"
isolation.tools.setPtrLocation.disable ="TRUE"
isolation.tools.setVersion.disable ="TRUE"
isolation.tools.getVersion.disable ="TRUE"
monitor_control.disable_directexec ="TRUE"
monitor_control.disable_chksimd ="TRUE"
monitor_control.disable_ntreloc ="TRUE"
monitor_control.disable_selfmod ="TRUE"
monitor_control.disable_reloc ="TRUE"
monitor_control.disable_btinout ="TRUE"
monitor_control.disable_btmemspace ="TRUE"
monitor_control.disable_btpriv ="TRUE"
monitor_control.disable_btseg ="TRUE"

第四种:

monitor_control.restrict_backdoor = "true"

加上设置里面勾选”禁止二进制转换加速“


话说” true “和” TRUE “有区别吗??


然后就是换英文搜,关键词” make virtualbox undetectable “、” hide virtualbox from detection “、” virtualbox anti detection “等等,出来好多 virtualbox 论坛的帖子,我发现所有这些帖子里都有一个叫 mpack 的管理员告诉发帖人”不要想“、”不可能“、”就是能检测出来“....但是总结那些帖子,还是有一点有用的资源

首先,https://github.com/hfiref0x/VBoxHardenedLoader,但是,默认只提供 windows 系统的介绍,linux 系统也有提到,但是,很不幸只是论坛里的一点简介,我很惭愧我看的很累而且没看懂!!

然后,https://github.com/seifreed/malware-scripts/blob/master/virtualbox%20undetectable.sh ,20 几条命令一条一条的运行过去之后我那台虚拟机跑不起来了,启动的时候提示

Configuration error: Querying "DmiBIOSReleaseMajor" as an int failed (VERR_CFGM_NOT_INTEGER).

返回 代码:
NS_ERROR_FAILURE (0x80004005)
组件:
ConsoleWrap
界面:
IConsole {872da645-4a9b-1727-bee2-5585105b9eed}



问题出在 DmiBIOSReleaseMajor 这一段(有可能后面还有问题只是还没显示出来),我也不知道该怎么改 github 上给的数值。心累.....

virtualbox 论坛上有个简化版本,六条命令:

VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiSystemVendor" "Intel"
VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiSystemProduct" "To be filled by OEM"
VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVendor" "Phoenix"
VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVersion" "1.0"
VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiChassisVendor" "Intel"
VBoxManage setextradata "My VM" "VBoxInternal/Devices/pcbios/0/Config/DmiChassisVersion" "1.0"


出处是这里: https://forums.virtualbox.org/viewtopic.php?f=2&t=44961 有没有效果我不知道,等重装一个系统再试。

还有一个教程: http://blog.michaelboman.org/2014/01/making-virtualbox-nearly-undetectable.html,不好意思我看不太懂(本人不会编程),没有尝试。


再来,https://forums.virtualbox.org/viewtopic.php?f=7&t=84353 这里面提到 QEMU/KVM 里设置
<kvm>
<hidden state='on'>
</kvm>
就能防止检测了,因为以前用过 QEMU 和 virt-manager,对其性能还是很满意的,所以我又兴冲冲的去安装了这些东西,然后发现又进了新坑:以前我都是直接 root 登陆操作,如今老老实实的普通用户登陆,那么在普通用户权限下安装虚拟系统是跑不起来的,提示权限错误,又特么需要重新配置!再找教程,挑了个简单易懂的照着做了,还是不行,怒!放弃!!


以上就是几个小时的折腾结果,请大佬们指点一条 virtualbox 上简单易行的防检测方法吧!!
bertonzh
2017-10-22 12:47:02 +08:00
用手机银行吧。。
如果这都没有,就诅咒这种垃圾银行倒闭好了。。
qceytzn
2017-10-22 12:52:17 +08:00
@bertonzh 不喜欢用手机...而且我确实发现有的功能只有网银里有、手机银行里没有
wsy2220
2017-10-22 14:17:11 +08:00
vbox 支持修改 DMI 信息的
qceytzn
2017-10-22 14:32:52 +08:00
@wsy2220 能说的详细一点吗?如果按照那上面六条命令的版本改好了就可以防检测了??
qceytzn
2017-10-22 22:02:17 +08:00
新装了一个 win7 试了下那六条命令,无效
qceytzn
2017-10-22 23:35:02 +08:00
最后,装起了 VMware,再装了一个 thin 7 系统,装完后用第三种方法( 13 条注释),OK 了,网银插件跑起来了...反正 Vbox 的问题是无解,主机系统上为了跑网银再装一个臃肿的 VMware...
ihacku
2017-10-24 13:55:22 +08:00

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/399596

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX