mov eax, 564D5868h ; VMWARE_MAGIC

mov ecx, 0Ah ; Get VMware version

mov edx, 5658h ; VMWARE_PORT

in eax, dx

Для маскировки виртуальной машины Костей Кортчинским (Kostya Kortchinsky) был написан специальный патч, изменяющий идентификационные строки оборудования, MAC-адреса и магический номер backdoor (http://honeynet.rstack.org/tools/vmpatch.c).

Подробнее о способах детектирования виртуальных машин можно прочитать в подборке статей «Know your Enemy» (www.honeynet.org/misc/files/papers.tar.gz).

Полезный совет

Перед снятием топологии скорость привода рекомендуется уменьшить хотя бы до 16x-24х. Как это сделать, показано в утилите CD.snail.c, исходный текст которой можно бесплатно скачать с ftp автора.

Ссылки по теме запутывания кода

n  Анализ запутывающих преобразований программ: теоретическая статья, рассматривающая основные методы «замусоривания» кода и проблемы его «прополки» (на рус.): http://www.citforum.ru/security/articles/analysis.

n  A Taxonomy of Obfuscating Transformations: еще одна статья, посвященная «замусориванию» кода с большим количеством примеров (на англ.): http://www.cs.arizona.edu/~collberg/Research/Publications/CollbergThomborsonLow97a.

n  Virtual Machine Design and Implementation in C/C++ by Bill Blunden: реализация виртуальных машин на Си/Си++ – отличная бумажная книга на англ., электронная версия, по-видимому, недоступна.

Полезные советы

n  положите на ключевой диск файл с заманчивым названием user_name.key и выполняйте над ним различные запутанные операции, это слегка умерит прыть хакера и остановит его на какое-то время;

n  вносите на диск несколько принципиально различных ключевых меток, но проверяйте только часть из них, а часть – оставьте для последующих версий программы (или ее обновлений), тогда хакеру придется каждый раз проводить утомительные исследования, подолгу зависая над монитором шины, дизассемблером и отладчиком;

n  помните, что даже тщательно оттестированная защита в силу некоторых причин может не сработать, «обругав» легального пользователя; поэтому необходимо использовать по меньшей мере три независимых защитных механизма, основанных на различных характеристиках носителя, и если срабатывают хотя бы два из них, проверка считается пройденной; в данной статье мы рассмотрели всего лишь один такой механизм, остальные – в следующий раз.