annyoung

anti VM bypass - parallels 본문

분석생활

anti VM bypass - parallels

nopsled 2015. 1. 21. 13:24

How to bypass anti VM at parallels


더미다 특정 버전에서는 VMware 뿐만 아니라 Parallels를 탐지합니다.


현재 악성코드에서 Parallels 탐지하는 악성코드는 한번도 보진 못했지만 언젠간 쓸일이 있을것 같아서 작성합니다.

(물론 맥북에서 게임 하려고 하는 것도 있지만..)


[Themida] Sorry, this application cannot run under a Vitual machine

구체적인 예를 들자면 메이플스토리에서는 Themida를 사용하여 VM을 탐지합니다.



HKLM\HARDWARE\DESCRIPTION\System에 들어가면 VideoBiosVersion이 있는데 이 데이터 부분을 삭제해주시면 됩니다.


Parallels(R) VGA-Compatible BIOS Version 3.0.2111.89721

Parallels(R) VGA-Compatible BIOS Version 3.0.2111.89721

Parallels(R) VGA-Compatible BIOS Version 3.0.2111.89721

Parallels(R) VESA BIOS Version 3.0.2111.89721

Parallels(R) VESA BIOS Version 3.0.2111.89721

Parallels(R) VESA BIOS Version 3.0.2111.89721

Id: vgabios.c,v 2.0 18-10-2006 Exp  


해당 데이터를 지워주면 정상적으로 메이플스토리가 실행됩니다.



Comments