Anti VM 우회 기법

악성코드가 분석을 어렵게 하기 위해 Anti VM 기법을 이용할 때가 있다. 이를 우회하기 위해 VM 이미지 파일이 있는 폴더의 vmx 파일에 다음과 같은 내용을 추가한다

 

isolation.tools.getPtrLocation.disable = "TRUE"

isolation.tools.setPtrLocation.disable = "TRUE"

isolation.tools.setVersion.disable = "TRUE"

isolation.tools.getVersion.disable = "TRUE"

monitor_control.disable_directexec = "TRUE"

monitor_control.disable_chksimd = "TRUE"

monitor_control.disable_ntreloc = "TRUE"

monitor_control.disable_selfmod = "TRUE"

monitor_control.disable_reloc = "TRUE"

monitor_control.disable_btinout = "TRUE"

monitor_control.disable_btmemspace = "TRUE"

monitor_control.disable_btpriv = "TRUE"

monitor_control.disable_btseg = "TRUE"

monitor_control.restrict_backdoor = "TRUE"

disable_acceleration = "TRUE"

monitor_control.vt32 = "TRUE"

monitor_control.enable_svm = "TRUE"

mks.enable3d = "TRUE"

svga.vramsize = 67108864

vmmouse.present = "FALSE" 

 

 

단, 위 코드를 추가한 경우 Vmware tools가 제대로 동작하지 않아 드래그&드랍 같은 파일 이동이 불가능하다. 따라서 공유 폴더나 기타 방법을 이용해야 한다.