如何绕开对虚拟机检测

如何绕开对虚拟机检测,第1张

1,用记事本打开虚拟系统镜像文件的配置文件,这个文件扩展名为vmx,比如我的虚拟系统名为XP,那这个文件就叫XPvmx,然后在
其末尾添加这么一句,如下红色部分(注意,虚拟机不能在运行状态添加)
monitor_controlrestrict_backdoor = "true"
这句的意思是关闭vmware的后门(什么后门?后面详细说)
2,开启vmware workstation,在里面的 虚拟机 -> 设置 -> 处理器 -> 勾上‘禁用二进制翻译加速’(不同汉化版翻译有所出入)
这两条一起用,可以躲过大部分检测,包括一些壳的检测,比如VMProtect等。

如果你的电脑足够快,那么
首先你把你的 VMware 虚拟机里面的 *** 作系统调到最快的状态(关闭不必要的程序、自动更新等)然后关闭虚拟机;
打开 VMware 虚拟机的配置文件,这是一个后缀为 vmx 的文本文件。在里面加入以下内容
isolationtoolsgetPtrLocationdisable = "TRUE"
isolationtoolssetPtrLocationdisable = "TRUE"
isolationtoolssetVersiondisable = "TRUE"
isolationtoolsgetVersiondisable = "TRUE"
monitor_controldisable_directexec = "TRUE"
monitor_controldisable_chksimd = "TRUE"
monitor_controldisable_ntreloc = "TRUE"
monitor_controldisable_selfmod = "TRUE"
monitor_controldisable_reloc = "TRUE"
monitor_controldisable_btinout = "TRUE"
monitor_controldisable_btmemspace = "TRUE"
monitor_controldisable_btpriv = "TRUE"
monitor_controldisable_btseg = "TRUE"
这些参数不一定都需要,不过最保险的是都加。可以提高模拟的真实性,不过速度也会慢很多。

你好~
This application cannot run under a virtual machine”这段意思为:“这个应用程序不能运行在一个虚拟机”
试试下面 *** 作方法:
记事本打开 VMX 文件 类似 Windows XP Professionalvmx
在文本末尾加入一行
monitor_controlrestrict_backdoor = "TRUE"
保存文件
现在启动虚拟机 应该就不会被Themida检测到了。
如果不行请再问希望帮到你好~

先我HOOK了 NtQuerySystemInformationh 函数的11号枚举驱动模块功能
实验证明TP没有使用NtQuerySystemInformation的11功能。。白写了半天 呜呜呜
最后无赖直接遍历内核模块链表,把KDCOMdll的链表给断链(具体参考隐藏驱动模块)。
最后成功了!WinDbg正常通讯调试了。当然稳定点的做法应该还可以修改基址为装载个假的KDCOM镜像基址,让TP清零假的,麻烦没写能过就行。
最后把以上全部处理后就可以使用WinDbg+VM双机调试TP游戏了。。(不过有个小问题存在就是KdPrint等其他打印函数都无法打印信息到WinDbg
单是在虚拟机中开启DbgView可以正常看到打印信息,暂时也不知道为何?怀疑是不是和KdPitchDebugger有关,资料上说0是正常 1不正常但实验证明
KdPitchDebugger为1 TP会视为调试疯狂调用KdDisableDebugger 具体是不是不清楚哈反正DbgView能看到就行了)
正高兴中结果在Clientexe 这个登录客户端输入帐号密码登录后TP进度条出现了,刚好就在出现DNFEXE的时候瞬间卡主了
WinDbg断下来了,无法在运行起来
Single step exception - code 80000004 (first chance)
First chance exceptions are reported before any exception handling
This exception may be expected and handled
001b:109575ca 68e188a97b push 7BA988E1h //这个地址是个无效地址啥子都没有不管如何修改这里的汇编代码都会立即断在同样的位置
也就是汇编不运行了彻底死机了就死在这句109575ca 了。。特地查看堆栈调用返回地址结果都是几个无效地址来源

第一关,目前来说,选择金箍棒(12技能一起放黑洞,不要卡星爆之类的)。上天之后扇子(正常来说总共出8个灯笼)技能选择玉壶冰。cd好了就放,不要刻意打灯笼,扇子技能可以刮到。 楼主人物裸攻击4100,侍从比较拉垮,没练过。(如果侍从给力,秒伤5000以上的话,估计人物攻击3500就ok)
涂山君这一关(楼主侍从太垃圾,人物打180万,侍从只能打10万。明天代币攒够换北华念应该就能过) 打法很简单,涂山君耐力跟技能段数有关。比如御剑,扇子玉壶冰龙卷风黑洞之类高段数武器,可以快速打掉耐力。之后就黑洞加重光循环。

虚拟机过游戏检测原理:虚拟机并没破解游戏,只是游戏将虚拟机当作另一台电脑来运行游戏,因此可以多开。

你的显卡在虚拟你里面肯定不是你的电脑的现在的显卡,虚拟机里面的所有硬件都是虚拟的,显卡也是虚拟的,但是玩游戏的话就不行了,这个要真实的硬件的,或者你能虚拟出你现在电脑上装的显卡,虚拟机里面的虚拟vga显卡玩3D游戏不行的,2D的还可以。

虚拟机优点:

Java语言的一个非常重要的特点就是与平台的无关性。而使用Java虚拟机是实现这一特点的关键。一般的高级语言如果要在不同的平台上运行,至少需要编译成不同的目标代码。而引入Java语言虚拟机后,Java语言在不同平台上运行时不需要重新编译。

Java语言使用模式Java虚拟机屏蔽了与具体平台相关的信息,使得Java语言编译程序只需生成在Java虚拟机上运行的目标代码(字节码),就可以在多种平台上不加修改地运行。Java虚拟机在执行字节码时,把字节码解释成具体平台上的机器指令执行。

打开控制面板→程序,找到“启动或关闭windows功能”。在windows功能下面找到Hyper-V,勾选上。点击“确定”。等待一段时间后,安装完成,再点击重启电脑。重启电脑之后,可以在所有应用中看到有一个“Hyper-V 管理工具”,再点击Hyper-V管理器。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/12791308.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-28
下一篇 2023-05-28

发表评论

登录后才能评论

评论列表(0条)

保存