elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP)
| | | |-+  Programación Visual Basic (Moderadores: LeandroA, seba123neo)
| | | | |-+  [Source] IsVirtualPCPresent() - Sistema AntiVirtualPC
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: [Source] IsVirtualPCPresent() - Sistema AntiVirtualPC  (Leído 7,723 veces)
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
[Source] IsVirtualPCPresent() - Sistema AntiVirtualPC
« en: 30 Junio 2008, 21:34 pm »

Tatatachan!!... aquí vuelvo con mi tercera función para los "anti's" en VB6, en este caso me he metido con la máquina virtual de Microsoft: VirtualPC 2007 Este método me gusta bastante porque es el primero que ha sido desarrollado íntegramente por mí, y de momento no he visto nadie que detecte un VirtualPC de la misma forma, empecemos...

¿Que método utilizas para detectar VirtualPC?

Revisé los otros sources en C/C++ para ver si me inspiraba, pero utilizaban técnicas algo profesionales para el pobre compilador de VB6, seguramente hay otra manera para detectar VirtualPC con VB6 pero esta es una de las más fáciles:

Con la ayuda de los Script WMI, hacemos un volcado de información sobre cada disco duro instalado en el equipo, concretamente buscamos 3 variables: Caption, Model  y PNP DeviceID. En un equipo físico obtendremos nombres relativos al fabricante y modelo de nuestro HDD, mientras que en VirtualPC obtendremos nombres parecidos a estos:

Virtual HD, IDE\DISKVIRTUAL01_, etc...

Así que recopilamos toda la información en una sola variable y buscamos el string: "VIRTUAL" en su interior, hacemos una comparación y ya tenemos nuestro anti-VirtualPC terminado!

Ueeee, ahora... ¿me das el source?

Aquí está el modulo principal:

Código
  1. '''''''''''''''''''''''''''''''''''''''''''''''''''''''''
  2. ' Program:  Anti-VirtualPC 1.0
  3. ' Coder:    MadAntrax
  4. ' Web:      foro.elhacker.net
  5. ' Date:     30/06/08
  6. '
  7. ' Programa que detecta si nuestro malware
  8. ' se ejecuta en la máquina virtual: Virtual PC
  9. ' permitiendo finalizar el proceso de nuestro
  10. ' malware :)
  11. '
  12. ' Usar la función IsVirtualPCPresent() As Boolean
  13. ' Detecta el nombre, modelo y driver del HD para determinar
  14. ' si nos encontramos en VirtualPC
  15. '
  16. ' Original idea: MadAntrax
  17. ' Referencias: http://www.microsoft.com/technet/scriptcenter/scripts/storage/disks/drives/stdvvb19.mspx?mfr=true
  18. '
  19. '''''''''''''''''''''''''''''''''''''''''''''''''''''''''
  20.  
  21. Function IsVirtualPCPresent() As Boolean
  22.    Dim DetectVirtualPC As String
  23.  
  24.    Set WMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")
  25.    Set HDS = WMI.ExecQuery("Select * from Win32_DiskDrive")
  26.  
  27.    DetectVirtualPC = ""
  28.    For Each objHDS In HDS
  29.        DetectVirtualPC = DetectVirtualPC & objHDS.Caption & objHDS.Model & objHDS.PNPDeviceID
  30.    Next
  31.  
  32.    If InStr(UCase(DetectVirtualPC), "VIRTUAL") <> 0 Then
  33.        IsVirtualPCPresent = True
  34.    Else
  35.        IsVirtualPCPresent = False
  36.    End If
  37. End Function
  38.  

y para llamarlo, podemos usar algo así:

Código
  1. Sub Main()
  2.    If IsVirtualPCPresent = True Then
  3.        MsgBox "VirtualPC: Detectado"
  4.        End
  5.    End If
  6.    'Your Code Here
  7. End Sub
  8.  
  9.  

Saludos!!

EDITADO: Parece ser que esta misma función detecta de forma correcta VirtualPC 2007 y VMWare (los 2 software de virtualización más usados). Así que esta función sirve para los 2

 >:D


« Última modificación: 30 Junio 2008, 23:02 pm por ||MadAntrax|| » En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
‭‭‭‭jackl007


Desconectado Desconectado

Mensajes: 1.403


[UserRPL]


Ver Perfil WWW
Re: [Source] IsVirtualPCPresent() - Sistema AntiVirtualPC
« Respuesta #1 en: 30 Junio 2008, 21:46 pm »

excelente, yo ya iba a postear este tipo de cosillas, me adelantaste.
(me iba a poner a mirar lares del mismo modo).
el de VMware es mas sencillo se puede implementar del mismo modo que el virtual, el registro contiene ese tipo de info, o sino el proceso.
es cosa de curiosiar y probar.
al final se completa un modulo llamado: antiVirtualMachines, donde contenta todos los scripts. :D


En línea

‭‭‭‭jackl007


Desconectado Desconectado

Mensajes: 1.403


[UserRPL]


Ver Perfil WWW
Re: [Source] IsVirtualPCPresent() - Sistema AntiVirtualPC
« Respuesta #2 en: 30 Junio 2008, 21:48 pm »

por cierto incluso el mismo code funciona con VMware.
(es multiWare el codigo) ;D
En línea

carlitos.dll

Desconectado Desconectado

Mensajes: 266



Ver Perfil
Re: [Source] IsVirtualPCPresent() - Sistema AntiVirtualPC
« Respuesta #3 en: 30 Junio 2008, 22:06 pm »

lo encuentro muy creativo, gracias por el source. ¿Una consulta? ¿Para qué evitar VirtualPC?
En línea

‭‭‭‭jackl007


Desconectado Desconectado

Mensajes: 1.403


[UserRPL]


Ver Perfil WWW
Re: [Source] IsVirtualPCPresent() - Sistema AntiVirtualPC
« Respuesta #4 en: 30 Junio 2008, 22:18 pm »

¿Para qué evitar VirtualPC?

Si programas malware es muy util, ya que evitaras en parte de que tu "creacion" sea estudiada por personas que trabajan para los antivirus.
de ese modo sera indetectable (salvo que lo prueben en alguna pc o la VM sea distinta y no se evada).
En línea

cobein


Desconectado Desconectado

Mensajes: 759



Ver Perfil WWW
Re: [Source] IsVirtualPCPresent() - Sistema AntiVirtualPC
« Respuesta #5 en: 30 Junio 2008, 22:30 pm »

Muy interesante, me preguntaba si no hay una manera un poco mas "general" de detectar este tipo de soft?
En línea

http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: [Source] IsVirtualPCPresent() - Sistema AntiVirtualPC
« Respuesta #6 en: 30 Junio 2008, 22:41 pm »

Citar
Muy interesante, me preguntaba si no hay una manera un poco mas "general" de detectar este tipo de soft?

No creo que sea necesario, ya que este "tipo de soft" es contado con los dedos  :P
Basta un par de rutinas de este tipo para solucionar el problema

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: [Source] IsVirtualPCPresent() - Sistema AntiVirtualPC
« Respuesta #7 en: 30 Junio 2008, 22:59 pm »

por cierto incluso el mismo code funciona con VMware.
(es multiWare el codigo) ;D

Vaya, pues me ahorraste tiempo. Estaba instalando un Windows XP en un VMWare para probar, pero ya no hace falta.

Edito el primer post para que la gente sepa que sirve para VirtualPC, VMWare y posiblemente algún otro software de Virtualización, lástima que la función se llama IsVirtualPCPresent() y no IsVirtualEnvironmentPresent() o algo por el estilo, en fin...

Con esto completamos:

IsAnubisPresent() = Detects Anubis SandBox.
IsSandboxiePresent() = Detects Sandboxie SandBox.
IsVirtualPCPresent() = Detects VirtualPC 2007 & VMWare & ... Software.

Saludos y gracias por los comentarios.!!
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: [Source] IsVirtualPCPresent() - Sistema AntiVirtualPC
« Respuesta #8 en: 30 Junio 2008, 23:11 pm »

Muy bueno Mad... ya estan a salvo nuestras aplicaciones de mirones >:D

Ahora solo falta probar a ver si tambien funciona con otras herramientas de virtualizacion... como : QEMU...
En línea

krackwar


Desconectado Desconectado

Mensajes: 900


Ver Perfil
Re: [Source] IsVirtualPCPresent() - Sistema AntiVirtualPC
« Respuesta #9 en: 1 Julio 2008, 00:06 am »

 :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o

Me as dejado sin palabras.
En línea

Mi blog
Bienvenido krackwar, actualmente tu puntuación es de 38 puntos y tu rango es Veteran.
El pollo número 1, es decir yo, (krackwar), adoro a Shaddy como a un dios.
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines