仮想マシンじゃないフリをする（P2CommanderをVirtualBoxで使う）

フォレンジックを扱うような演習を受ける機会がありまして、同じようなラボ環境を自前で作れないかなといろいろやっていたのですが、その中で使っていたP2 Commanderというツールが仮想マシンだと起動しないという状況に陥りました。

環境
VirtualBox 6.1.16
Windows10 Pro 最新のISOイメージ
仮想マシンのコア：2コア　メモリ：4GB

言いたいことはわかるけどそこをなんとか・・・・ということで、ちょっと考えてみたのですがマルウェアとかでも仮想環境を見破りたいというニーズ（？）はあるわけで、そういうのどうやってんだろうなと思って以下を参考にさせてもらいました。

VMの検知について - 冬のソフトウェア海岸

加えて上のエラーメッセージで調べて見ても、レジストリをいじってVBOXだのVMwareだのを偽装しちゃうっていうパターンで回避できることが多いようなので、その通りやってみましたが、見てるレジストリの場所がアプリケーションごとに違うようでなかなか起動してくれなかった。

根気よくレジストリを検索→値の変更とかやって数時間経ったのですができなかったので、ちょっとやけくそ気味でそもそも値の入ってないようなレジストリの場所は削除しまくってみたら・・・

UACキタぁぁぁぁぁぁぁ！
起動しましたよ長かった・・・。アプリも無事起動しました。やったぜ。

余計なレジストリはいじらないほうがいいなということで、スナップショットで戻しつつどこを削除したらいいのかをまたしばらく試行錯誤しながらたどり着いた結論は、以下のレジストリの操作です。

\HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VBOX__　→キー削除
\HKEY_LOCAL_MACHINE\HARDWARE\ACPI\FADT\VBOX__　→キー削除
\HKEY_LOCAL_MACHINE\HARDWARE\ACPI\RSDT\VBOX__　→キー削除
\HKEY_LOCAL_MACHINE\HARDWARE\ACPI\SSDT\VBOX__　→キー削除

\HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System　のSystemBiosVersion　→ NOBOX - 1 に変更
\HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System　のVideoBiosVersion　→ データを削除

こんな状態になってくれたらOKでした。

文章にまとめると少ない内容ですが、この環境が作れるか作れないかは結構大きくて、フォレンジックの現場でどんなツールが使われてるのかとかを体験できるようになるってのは大事だと思います。自分のマシンは汚したくないしね。
ゲームとかで結構こういう事態が多いみたいです。グラボ偽装とかで起動してるの多かった。フォレンジックに使えるようなツールとか、他にもこういうのあるかもなので、その際はまたちまちま調べるしかないかな・・・。
とりあえずP2 Commanderの他にもハッシュ値計算するやつとかイメージ作成ソフトとかいろいろ有益そうな現場ツールを盛り込んだラボ環境を作ることができたので、演習用としてなかなか良いのができたと思うのですが、Windowsってこともあってかイメージ容量がかなりでかいものになってしまいました・・。軽く20GB超え。

もちょっとWinもコンテナでネットワーク組んだりとかできるようになってくれないかなと思いましたが、今回作った環境はスタンドアロンでネットワークも使わずの環境なので、Windows Sandboxを使えばラボ環境で行けるかもしれない！3GB以内とかで収めてみたいなと思ってるのですが、どうだろうか。やってみる価値は大いにありそう。ワクワク。