Hey,

ich habe folgende Methode gesehen, mit der man testen kann, ob das eigene Programm virtualisiert wird.

Nur habe ich leider keine Idee, wie ich das ganze in eine inline Assembler Funktion konvertieren könnte. Kann da jemand helfen?

Gruß

Einfach die Bytefolge des Opcodes mit "DB" in einem Inline-ASM-Block einbinden.

Allerdings ist SIDT Dummfug und selbst Frau Rutkowska hat das bereits implizit eingestanden, indem sie es in ihrem SVV garnicht erst aus dem Usermode aufruft ... naja, und Thema Kernelmode und Delphi will ich hier nicht aufwaermen. Zur weiteren Lektuere, warum es Dummfug ist empfehle ich meine beiden Blogeintraege sowie den von dort herunterladbaren Artikel und das Programm mit Treiber:

http://blog.assarbad.net/20061105/re...ing-colorless/
http://blog.assarbad.net/20070401/re...ess-continued/

Die PDF direkt: http://blog.assarbad.net/wp-content/..._colorless.pdf



Nachtrag: Uebrigens bin ich persoenlich bei diesem Thema immer aeusserst skeptisch. Bisher habe ich nur zwei Anwendungen fuer das was du willst gesehen: Forschung (i.e. Neugierde) und Malware.

Sehr interessante Artikel. Den Maleware Aspekt hatte ich bisher nie so betrachtet. Ich möchte den User meines Programmes darauf hinweisen, dass einige Rechenintensive Aufgaben nicht in einer WM ausgeführt werden können, da die Ausführzeit einfach zu lange dauern würde.

Wie mache ich das mit dem Opcode?

Bspw. bei Rutkowska im Code nachschauen:

Das sind alle Opcodes als einfache Bytes: \x0f\x01\x0d\x00\x00\x00\x00\xc3

Ansonsten die ueblichen Verdaechtigen, sprich Intel Manuals. Und die sagen:

SIDT = 0F 01 /1 .. .. .. .. (wobei die 4 freien Stellen eine Speicheradresse darstellen)

Bsp. fuer die Verwendung von "DB": http://www.delphipraxis.net/internal...=763908#763908

Da ich das mit den Opcodes nicht ganz verstehe habe ich es mal so versucht, weiß aber nicht, ob das ganze noch funktioniert. Im normalen System kommt eine AV und unter VirtualBox keine. Klingt eigentlich nicht schlecht oder?

Allerdings werden weder _vmware_detected noch _virtualpc_detected aufgerufen.

Bei dem Code wuerde ich immer eine AV erwarten. Werde nachher mal schauen, ob ich es in FP schreiben kann. Wie schon anderswo erwaehnt, habe ich kein Delphi installiert.

Okey danke dir

Versuch's mal hiermit:

... oder wenn das nicht geht das hier

... und wenn das partout nicht geht, versuche

Beide sind identisch, eben verschiedene Darstellungen. Und immer an die Besonderheiten denken, die ich u.a. im Artikel beschrieben habe.


Sobald du die BaseAddress hast, kannst du ja den Rest selber schreiben

Sorry, hatte einen Fehler drin. Statt [esp-2] muß es natürlich [esp+2] heißen. Habe es oben soeben korrigiert.

Noch für die Englischsprachigen: http://blog.assarbad.net/20070913/ge...s-with-delphi/

Hallo.

Besteht noch ein Problem? Leider habe ich noch nicht so das Vergnügen mit dem Inline-Assembler gehabt, aber ich glaube du hast ein Problem bei den Jump-Befehlen (JMP/JGE/... etc). Meines Wissens nach müsste ein Assembler Jump-Befehl in Delphi so aussehen:

Wenn du hingegen eine Funktionen aufrufen möchtes (z.B. VirtualPCErkannt() oder VMWareErkannt()), die dann deine Warnungen oder Captions erzeugen, müsste folgendes Funktonieren:

Kann es leider derzeit nicht ausprobieren.

Gruß
blackdrake