Vmware 8里运行冒险岛097——提取Vmware Tools源文件

      冒险岛自从更新了097以后，在虚拟机里面运行基本上很难，很多以前能用的方法都用了，还是不行。当然网上牛人也多，搞定的也有，我就遇到一个，但是仔细一看却要通过淘宝给他钱买才行！对此我深恶痛绝，搞不清他破解这个Vmware的目的是什么，就是为了钱？如果不是你为什么收费？这不相当于为了免费上船，把别人的大船凿个窟窿，不让别人收费，自己却守着这个窟窿收费？这和偷盗有什么区别？我反对软件收费，崇尚自由软件，但是我更反对破解别人的东西自己收费！于是我想自己搞定，于是有了本文。
      我试验了很多次，大多失败，现在有了点思路。097的现在通过两条途径去检测虚拟机的存在，一个是themida的壳，一个是hackshield。两个必须同时搞定才行。绕过hackshield的方法比较成熟，关键是themida的壳改进了。以前只要关掉后门，最多再禁止二进制翻译就可以搞定，现在不行了。它加了另一个检测机制，其实很简单，就是检测硬件的类型。如果检测到当前的硬件是Vmware的就不放过，因此需要修改硬件的类型。硬件的类型当然在驱动中，而驱动来自于Vmware Tools。所以根源就追溯到了Vmware Tools。我的想法很直接，修改Vmware Tools的安装文件，直接修改驱动的Inf文件，修改驱动的相关信息。具体步骤如下：
      1：首先找到Window上Vmware Tools的镜像文件，我的是D:\Program Files\VMware\VMware Workstation\windows.iso。然后用WInRAR就可以直接打开里面有个Setup.exe，这个就是Vmware的安装程序。
      2：双击打开它，此时会提示"Vmware Tools 只能在虚拟机中安装"。没事，我们本来就不是要安装。运行后，Setup.exe会将相关的文件生成到C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp下的一个类似{96B74176-0BA4-4F5D-B3A5-466EAD9E73BD}~setup这样的目录里。这个文件夹里面有三个文件，其中的Vmware Tools.msi就是我们想要的。注意，必须在点确定之前查看这个文件夹，一点确定这些文件就会被删掉。
      3: 此时我们需要解开Vmware Tools.msi。我们需要两个工具，一个是Universal Extractor，另一个是msiTools。Universal Extractor会模拟运行一次msi文件，此时会得到你机子相关的所有程序，包括可执行程序Vmware Tools.msi; msiTools会直接提取msi包含的所有源文件，但是不包含这个引导PE。所有我们要先用msiTools得到所有的源文件，然后用Universal Extractor获取引导PE文件Vmware Tools.msi，将两个合并就可以了。所有的msi文件都可以按照这条思路提取。
      4: 假设我们将解开的文件放在VMware Tools里面，此时这个文件夹有个两个文件夹，一个msi文件和一个dll文件。我们需要修改的驱动都在Program Files\VMware\VMware Tools\VMware\Drivers里面。
      5: 这时我们可以直接修改驱动的Inf文件了。比如说修改显卡的相关信息，可以编辑此文件夹下的video_xpdm\wvmx_svga.inf文件，这个文件的最后有DiskID、Mfg、SVGA三项，修改了即可。
      6: 直接将整个文件夹VMware Tools拷贝到虚拟机里面安装即可。这时所有的硬件显示的信息就是你修改后的。
      修改这个的目的是过Themida的。配合禁止后门和临时禁止二进制动态翻译就可以绕过Themida的检测。当然还有hackshield的，以后再搞吧。