안티VM을 우회하기 위한 "Anti-VMware Bypass" 셋팅 방법

예전에도 가상머신에서는 동작하지 않도록 하는 프로텍터들이 많이 존재했다.

근래에 와서는 좀 뜸해지나 했는데~ 오늘 확인 된 주말 유포 사이트에서 Anti-Vm을 사용해서 Vmware의 셋팅을 수정해야 했다 ㅜㅜ;
(로컬PC에서 파일코드를 수정해서 사용 할 수도 있지 않느냐? 라고 물어볼 수도 있지만, 그걸 찾아서 코드를 수정하는 것보다 이렇게 한번 VM을 셋팅해 두면 두고두고 유용하게 사용할 수 있기 때문에 이 방식을 더 추천한다!!)

서론이 길면 재미없으니 바로 본론으로~ 
원하고자 하는 vmx의 파일에 아래 내용을 추가 해 주면 된다. 초 간단하다!!

isolation.tools.getPtrLocation.disable = "TRUE"

isolation.tools.setPtrLocation.disable = "TRUE"

isolation.tools.setVersion.disable = "TRUE"

isolation.tools.getVersion.disable = "TRUE"

monitor_control.disable_directexec = "TRUE"

monitor_control.disable_chksimd = "TRUE"

monitor_control.disable_ntreloc = "TRUE"

monitor_control.disable_selfmod = "TRUE"

monitor_control.disable_reloc = "TRUE"

monitor_control.disable_btinout = "TRUE"

monitor_control.disable_btmemspace = "TRUE"

monitor_control.disable_btpriv = "TRUE"

monitor_control.disable_btseg = "TRUE"


* Themida, WinLicense, VMProtect 같은 상용패킹에 대해 우회하려면,  아래의 내용을 추가하면 된다.

monitor_control.restrict_backdoor = "TRUE"

disable_acceleration = "TRUE"

monitor_control.vt32 = "TRUE"

monitor_control.enable_svm = "TRUE"

mks.enable3d = "TRUE"

svga.vramsize = 67108864

vmmouse.present = "FALSE" 

출처 : http://simples.kr/35057

참고로 상용패킹에 대한 우회는 하지 않는게 더 효과적일 수 있으며~ 해당 셋팅의 단점이 몇개 있다.

1. VMware Tools를 사용하지 못한다. 
- 파일이동이 자유롭지 못하다는 것이다, 하지만 공유폴더를 이용하여 파일을 이동하면 된다.

2. 모니터링 툴을 사용하지 못한다.
- procexp.exe, autoruns.exe, Filemon.exe 같은 툴들이 실행되지 않는다. 하지만 파일명을 바꾸면 실행 할 수 있다.