事情的起因是家属玩 MMO 手游,需要在电脑上多开挂机,并已管理员权限运行一些挂机脚本。这些脚本程序我丢到线上的分析引擎一看,第一件事就是检测当前运行环境是否在虚拟机,第二件事就直奔 Cookie 去了,后面还有一堆的可疑行为。
劝说家属无果后开始想办法。先是在 Hyper-V 开了个虚拟机并开启了嵌套虚拟化,结果游戏显示不允许运行在虚拟机环境。后又尝试了 VMWare 虚拟机,按照网上能搜到的一些去虚拟化特征的教程做了处理,结果还是被游戏厂商检测出在虚拟机环境运行。考虑到我不是专业人士,没有精力去研究怎么抗虚拟机检测,遂来网上求助。
我自己能想到的方案就只有:
沙盒验证过也会导致游戏运行失败,那么其实剩下的选择不多。目前心里倾向于方案 3。因为不管是继续找虚拟机过检测方案还是约束恶意程序都涉及到与 “人” 的长期对抗,但是计算机安全不是我的兴趣也不是我的本业,在这里死磕有点不划算。
1
povsister 171 天前 via iPhone
mmo 那堆东西现在老古董很多啊,随便配台二奶机,内网隔离下随便造
|
2
ysc3839 171 天前
检测虚拟机的话那没啥办法,单独买台机子跑吧。
沙盒的话,Sandboxie 之前的版本是不限制读取数据的,只是限制写入,安全性不足。新版本是否支持限制读取我不知道。 |
3
drymonfidelia 171 天前
只有 3 ,还要隔离好内网
这些脚本有可能虚拟化逃逸,别低估黑产的技术,钱够多什么买不到 |
4
0o0O0o0O0o 171 天前
先说结论:无解
> 1. 沙盒同时运行游戏和脚本; > 3. 搞一个廉价机器专门多开挂机用。 没有安全意识的人,也许不会搜索学习怎么开启保护措施,但搜索学习怎么关闭保护措施那叫一个熟练,机器隔离也一定会给这些人带来各种不便利,为了方便这些人会主动破坏隔离; > 考虑到我不是专业人士,没有精力去研究怎么抗虚拟机检测 > 2. 想办法给脚本程序降权运行(可能会导致程序拒绝正常运行); 虽然你一直说是脚本程序,但我估计也是有编译好的 PE 文件,别人加个壳,你想到的 2 未必就比你无力对抗的虚拟机检测简单; 简单说就是技术上肯定有解,结合到个人,无解,要怪就怪 Windows 吧 |
5
levelworm 170 天前
能不能分享一下脚本?好奇是什么。
|
6
kneo 170 天前
手游在电脑上多开?电脑上运行的是 Windows 还是安卓程序?
|
7
dode 170 天前
安装双系统,你的重要系统作为次启动,默认不进去
|
8
VwEI 170 天前
试试那种能跑 CF 的虚拟机镜像,TP 能过这个应该也行吧
|
13
paopjian 170 天前
1000 块买个 n 手电脑挂着去玩呗,都知道不安全了还敢用那就是无视风险继续访问, 哪天卡被人刷走了就开心了
|
15
aladd 170 天前
廉价的机器最安心,毒窝、养蛊都不怕
|
16
keepRun 170 天前
闲鱼买二手电脑吧
|
17
hgert 169 天前
二手电脑装好系统后镜像一下方便日后重装
|
18
cheese 169 天前
二手电脑
|
19
Kenshiro 162 天前
买个服务器
|