Антидетект vm на *nix

Тема в разделе "Сборник статей по безопасности и анонимности", создана пользователем admin, 23 июн 2017.

  1. admin

    admin Administrator Команда форума Администратор Модератор форума

    Сообщения:
    1.437
    Симпатии:
    163
    И снова здравствуйте, уважаемые пользователи bdf.ms!
    Сегодня вы научитесь вместе со мной устанавливатьнастраивать не палящуюся виртуалку на *nix системах. Приступаем:
    Не малоизвестный ВекторТ13 однажды рассказал о скрипте, который позволяет менять синтетические параметры виртуальной машинки на более менее реальные.
    Этот скрипт хорош благодаря своей простоте, да еще и работате через форточку. А как же быть тем интузиастам, гикам, хз как еще их назвать, которые сидят на линуксоидах и которые то же хотят иметь на вооружении подобный скрипт.
    Так вот он есть, звать его AntiVMDetection.
    Делать все буду на Ubuntu.
    Гоу знакомиться -->

    1. Скачиваем необходимые программы и пакеты:

    1) sudo apt-get install acpidump
    2) sudo apt-get install libcdio-utils
    3) sudo apt-get install python-dmidecode
    4) sudo apt-get install git
    5) git clone Ссылка доступна только зарегистрированным пользователям --(Клонируем наш АнтиДетект с ГитХаба)
    6) cd antivmdetection --(переходим непосредственно в папку АнтиДетекта)
    7) echo retro > user.lst --(создаем файл с именем пользователя ВМ; имя можете придумывайте сами)
    8) echo snuff > computer.lst --(аналогично)
    Скачиваем Ссылка доступна только зарегистрированным пользователям и Ссылка доступна только зарегистрированным пользователям, разархивируем их и кидаем в папку antivmdetection

    Терминал не закрываем

    2. Создаем Вирт.Машину и настраиваем ее:

    Для меня эталон:
    Windows 7 x64
    2048 Mb RAM
    256 Mb Video с включенной функцией акселерации 3D
    120 Gb на виртуальном диске
    4 процессора
    Из настроек:
    System - Motherboard:
    - Chipset - ICH9
    - Hardware Clock in UTC Time --включить

    Важно:
    System - Acceleration - Paravirtualization Interface - None --(хотя в коробке от 5.1 можно оставить значение по умолчанию, но все же ставьте none)

    3. Запускаем antivmdetect.py:

    sudo python2.7 antivmdetect.py

    В итоге в папке antivmdetection появились три файла *.sh , *.ps1, DSDT*.bin --(вместо звездочки может быть разное значение, в моем случае это TobefilledbyO.E.M.)

    Важно: открываем ваш файл *.sh , ищем строчку VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVersion и если у него значение цельночисловое (у меня 2408), то меняем его,например,на Ver.2408 (обязательно с точкой).

    Далее исполняем файл *.sh (вместо звездочки естественно ваше значение):
    bash *.sh имя_виртмашины_без_ковычек

    После этого запускаем свою вирт.машину, если ошибок нет,то устанавливаем винду, если ошибки есть, то решаем их самостоятельно или задаем вопросы тут. В основном запускается с первого раза.

    4. Вырезаем аппендиксы Vbox
    После установки винды переправляем нашу папку antivmdetection из хоста в вирт.тачку на диск С:/ (при помощи файлообменников, установкой общих папок, VK...) и переходим к операции.

    Итак, на установленной системе отключаем лишние службы:
    1) Вырубаем Windows Defender
    2) Вырубаем Windows Update
    3) Вырубаем ASLR:
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management] --на последнем пункте правой кнопкой мыши - New - DWORD - набираем MoveImages - ставим значение 00000000
    4) Вырубаем DEP :
    Командная строка от имени админа - пишем bcdedit.exe /set {current} nx AlwaysOff

    Теперь запускаем PowerShell (пуск-стандартные-powershell) от имени админа:
    1) Пишем Set-ExecutionPolicy Unrestricted - жмем enter - соглашаемся на изменение прав
    2) Далее пишем cd C:/antivmdetection - жмем enter
    3) И наконец пишем .*.ps1 (опять же вместо звездочки название вашего .ps1 файла)
    4) Как только начнут вылазить окна по удалению файлов, можете закрывать PowerShell

    Усе, на этом вы невье*ически прекрасны


    Спойлер: Вот так это должно выглядеть


    Вы наверняка заметли, что данный Супер-пупер антидетект грубо говоря клонирует вашу систему и вклеивает её в виртуальную машину, но все значения можно легко изменить, и в .sh, и в .ps1.
    Этот скрипт скрывает все важные моменты, которыми светит виртуалка, но есть еще одна хрень, над которой я советую заморочиться. Речь идет о том, что виртуальные устройства, пусть и не все, имеют ID вмваер. Есть ПО, специализирующееся на смене данных id. Тестите, задавайте вопросы, всегда буду рад на них ответить.
    admin, 23 июн 2017
    #1
  2. хуербуер

    хуербуер Member

    Сообщения:
    167
    Симпатии:
    0
    На сколько сейчас актуально или оаботоспособна данная тема? Т13 орет что скоро новую виртуалку даст с антидетектом если тс будет возможность также расписать сделай за больше человеческое срасибо
    хуербуер, 29 янв 2018
    #2
  3. WarTech

    WarTech Member

    Сообщения:
    572
    Симпатии:
    0
    А где можно найти творчество немалоизвестного векторат13? Не хочу никого задеть, просто реально кроме вашего форума нигде он не упоминается, а уточка не выдала никакой информации об этом персонаже. Сайт какой то есть у него или там бложик?
    WarTech, 29 янв 2018
    #3
  4. prad

    prad Member

    Сообщения:
    175
    Симпатии:
    0
    Скрытый контент для пользователей WarTech.
    prad, 29 янв 2018
    #4
  5. WarTech

    WarTech Member

    Сообщения:
    572
    Симпатии:
    0
    спасибо. сейчас ознакомлюсь. может мои выводы преждевременны и там реально что то годное.
    WarTech, 29 янв 2018
    #5
  6. WarTech

    WarTech Member

    Сообщения:
    572
    Симпатии:
    0
    нет. мои выводы не преждевременны. что простите?! линукс минт?
    WarTech, 29 янв 2018
    #6
  7. prad

    prad Member

    Сообщения:
    175
    Симпатии:
    0
    Я вообще если честно не понял, причем тут вы вспомнили векторат13
    prad, 29 янв 2018
    #7
  8. WarTech

    WarTech Member

    Сообщения:
    572
    Симпатии:
    0
    тема же про какой то антидетект от вектора я правильно понимаю? вполне логично в ней его обсуждать на мой взгляд. просто мне уже несколько человек с таким удивлением написало как?! ты не знаешь вектора?! что мне даже как то неловко стало, неужели я пропустил какое то значимое событие в мире сетевой безопасности.

    а что по факту? сайт с продажей флешки на линукс минт. видимо векторт13 не в курсе что:

    1. такие системы принято собирать на прочных ядрах. почему он выбрал десктоп минт с обычным ядром?
    2. такие системы принято собирать на дистрибутивах с патчем для cryptsetup, который позволяет уничтожать key slots (nuke патч от кали).
    3. персональный даблвпн - это какой? от векторат13? в мире есть только один провайдер приватных сеток не ведущий логов которому можно доверять и это явно не вектор.
    4. доставка флешки почтой россии? это какая то особенная шутка кухонных экспертов которую нам дарксайдовцам не понять? вы реально думаете что он эксперт по анонимности?!
    5. почему у него про флешку сандиск расписано больше чем про архитектуру его системы? он так тщательно охраняет свои ноу хау и авторские разработки? или там просто нечего расписывать?

    И самый главный вопрос - на кого расчитано это предложение? На ддосеров? Кардеров? Но у них достаточно времени и знаний чтобы сделать такой же продукт самостоятельно. На торговцев оружием или наркотиками? Ну это смех же ребят. Ну просто смехатура
    WarTech, 29 янв 2018
    #8
  9. prad

    prad Member

    Сообщения:
    175
    Симпатии:
    0
    Ссылка доступна только зарегистрированным пользователям
    тема же про какой то антидетект от вектора я правильно понимаю? вполне логично в ней его обсуждать на мой взгляд. просто мне уже несколько человек с таким удивлением написало как?! ты не знаешь вектора?! что мне даже как то неловко стало, неужели я пропустил какое то значимое событие в мире сетевой безопасности.
    Нажмите, чтобы раскрыть...
    Так и есть. Вектора в принципе можно назвать в топ 5 безопасников руукррбнета. Ну и его бесплатный антидетект - вполне на уровне.

    Ссылка доступна только зарегистрированным пользователям
    а что по факту? сайт с продажей флешки на линукс минт. видимо векторт13 не в курсе что:
    Нажмите, чтобы раскрыть...
    Не воспримите мой коммент как некую защиту вектора, но там кроме флешек есть не мало чего. Минт выбран как юзер-френдли система, опять же ИМХО. Настоящих мотивов вектора нам не узнать)

    Ссылка доступна только зарегистрированным пользователям
    И самый главный вопрос - на кого расчитано это предложение? На ддосеров? Кардеров? Но у них достаточно времени и знаний чтобы сделать такой же продукт самостоятельно. На торговцев оружием или наркотиками? Ну это смех же ребят. Ну просто смехатура
    Нажмите, чтобы раскрыть...
    Скорее на бонусхантеров, но я знаю не мало успешных кардеров, кто использует его систему антидетекта. А учитывая последние новости(прорисовка гпу и полный антик виртуалки) - и что это всё бесплатно, думается мне что аудитория у него крайне велика.
    1. уже ответил.
    2. это скорее для параноиков и дип-дип-дипвебщиков.
    3. персональный, в контексте - личный, настроенный исключительно под цели конечного пользователя, но да, лично я бы вектору не доверил настройку личной цепи впн))
    4. без комментариев.
    5. Я предполагаю, потому что это самый высокомаржинальный продукт, который ему выгоднее всего продавать(клонируй+чуть корректируй + отправляй = профит)
    как-то так.
    prad, 29 янв 2018
    #9
  10. WarTech

    WarTech Member

    Сообщения:
    572
    Симпатии:
    0
    спасибо за развернутый ответ. ну да, наверное ты прав. как говорил богдан титомир пипл хавает. просто я всегда считал что такие системы покупают только для решения весьма рискованных тактических задач, где срока от 8 строгого режима и выше - и под такие задачи и делал продукт. а если ты не один из таких badass motherfuckers то зачем тебе флешка то вообще никак не допетрю. поставь любой линукс туда SelekTOR и Tor Browser прямо из рыночка программ pidgin с otr и ricochet - и хватит этого за глаза на том уровне рисков.
    WarTech, 29 янв 2018
    #10
  11. prad

    prad Member

    Сообщения:
    175
    Симпатии:
    0
    Вектор сам позиционирует свои продукты не как инструменты для нарушения закона, а как инструменты для обхода фроды всяких онлайн казино. Но как говорится и отверткой можно стены колупать)
    prad, 29 янв 2018
    #11
  12. хуербуер

    хуербуер Member

    Сообщения:
    167
    Симпатии:
    0
    WarTech, уважаемый тоже не в обиду тут в основном темы для новичков кто только узнал и начинает двигаться в темную сторону и очень многим ужны наччальные и желательно бесплатные знания касательно вектора мне он интересен как человек который дает хоть скольконибуть рабочию антифрод систему и очеь подробно расказывает о том как это устроено и за безопасность у него есть чему поучиться
    хуербуер, 29 янв 2018
    #12
  13. WarTech

    WarTech Member

    Сообщения:
    572
    Симпатии:
    0
    а вон даже как. а к чему эти Невероятный уровень анонимности и безопасности в сети и профессиональный антидетект. и Защита от криминалистического анализа? Заманухи? Тут тогда не хватает слогана Почувствуй себя киберпреступником!
    WarTech, 29 янв 2018
    #13
  14. WarTech

    WarTech Member

    Сообщения:
    572
    Симпатии:
    0
    я понял уже да, что я неверно оценил его целевую аудиторию. действительно, не всем нужна броня в 4 пальца нет вопросов.
    WarTech, 29 янв 2018
    #14
  15. prad

    prad Member

    Сообщения:
    175
    Симпатии:
    0
    При всём при этом он ведет блог в ютубе и сам, под реальными данными выступает на конференциях ;-)
    Защита от криминалистического анализа - представленна крайне посредственная.
    Почувствуй себя киберпреступником! - именно почувствуй, но не вздумай прикинуться
    prad, 29 янв 2018
    #15
  16. хуербуер

    хуербуер Member

    Сообщения:
    167
    Симпатии:
    0
    WarTech, броня в 4 пачки маргарина очень нужна но чуть опзже когда появится матвозможность нужда и главное понимание что и зачем например твоя сетевая безопасность его антик и еще чейто обнал уже похоже на серьезный подход к делу
    хуербуер, 29 янв 2018
    #16
  17. WarTech

    WarTech Member

    Сообщения:
    572
    Симпатии:
    0
    верно. дорога ложка к обеду.
    WarTech, 29 янв 2018
    #17
  18. MostakaHated

    MostakaHated New Member

    Сообщения:
    2
    Симпатии:
    0
    Привет. Спасибо за такую полезную тему, но кое-что у меня не выходит. Был бы благодарен за совет)
    Если в строчке VBoxInternal/Devices/pcbios/0/Config/DmiBIOSVersion значние "A10", а терминал не пропускает команду bash *.sh имя_виртмашины_без_ковычек без замены. Пишет мол
    DellSystemVostro3450.sh: строка 82: [: ==: ожидается использование унарного оператора
    DellSystemVostro3450.sh: строка 86: [: слишком много аргументов
    Что делать?
    MostakaHated, 8 фев 2018
    #18
  19. feizzulla

    feizzulla New Member

    Сообщения:
    1
    Симпатии:
    0
    Подскажите пожалуйста. Все делаю четко по гайду и все хорошо, но т.к. у меня DSDT файл больше 64кб не запускает виртуальную машину вообще. Пытался решение проблемы в гугле, но там по этому поводу вообще почти ничего нет. Пытался скачать уже готовые DSDT файлы, но пишет, что архитектура не подходит. В общем что делать не знаю даже.
    feizzulla, 3 июн 2018
    #19

Поделиться этой страницей