Здраствуйте, имею 10 21h1 у себя на пк, хотел потестить титанхайд, скачал, настроил проект под свою windows, (в настройках Target выбрал Windows 10), драйвер сыпался ошибками при сборке, пришлось включать игнорирование предупреждений при сборке и добавлять директиву _NO_CRT_STDIO_INLINE, а так же отключать сертификаты, которые почему то было включены в проекте, короче это чудо с хуем по полам как то собралось в файл sys, который уходит в бд при подгрузке через дефолтный kdmapper, как я понял он вообще не подходит под 10 винду или конкретно мою сборку, хочу поставить его на VM, поэтому хочу узнать какая сборка под него нужна
Я не знаю,почему у вас не компилируется.Вот вам скомпилированные файлы -
.
Я рекомендую использовать
,ибо он ебёт большинство методов анти-отладки.
Однако,есть на данный момент несколько обнаружений из ring3 гипервизора :
Во-первых,это гипервизор,а это означает - его могут легко обнаружить,если у вас есть мозги или гипервизор был написан лениво.
На данный момент отлично гипервизор обнаруживается с ring3 данными методами:
1)rdtsc +cpuid + rdtsc
2)rdtscp + cpuid + rdtscp(небезопасный способ)
3)Исключение с TF (
)
Во-вторых,можно проверить на тест мод:
NtQuerySystemInformation с SystemCodeIntegrityInformation он хукает.
Правда, он не изменяет в реестре значения,поэтому можно легко его обнаружить таким образом:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control -> SystemStartOptions строка SystemStartOptions (удалите её).
Эта бесконечная война,поэтому не буду говорить про другие способы обнаружить тест мод/гипервизора и т.п.
P.S не забываете включать Hypervisor not vivible + поскольку VMP использует временную атаку с rdtsc,то дождитесь исключения с nop(Исключение:EXCEPTHION_SINGE_STEP),nop'им cpuid and you have bypass ;)
Обнаружение VMP виртуалки (последняя версия):
Обход:
