Machines virtuelles (VM) :

  • Description: Une machine virtuelle (VM) permet à un utilisateur d’exécuter un système d’exploitation complet et séparé (le système d’exploitation « invité ») au sein d’une fenêtre ou d’une application sur son système d’exploitation principal (le système d’exploitation « hôte »). Des logiciels comme VMware Workstation/Player, VirtualBox ou Hyper-V permettent cela.

  • Mécanisme et Évitement : La stratégie de contournement consiste à exécuter le jeu (par exemple, Minecraft) à l’intérieur de la VM invitée tout en exécutant des cheats ou des outils d’assistance sur la machine hôte. Lorsque le ScreenSharer se connecte via AnyDesk/TeamViewer à la VM invitée, il n’a ni visibilité ni accès au système d’exploitation hôte. Toute triche opérant sur l’hôte est totalement hors du champ du partage d’écran effectué dans la VM.

  • Pourquoi les tricheurs l’utilisent : Pour isoler complètement les outils de triche de l’environnement inspecté, rendant les techniques standard de partage d’écran inefficaces si le personnel ignore qu’il se trouve dans une VM.

  • Détection: Détecter si le partage d’écran se produit dans une VM est crucial. Plusieurs méthodes existent :

    • Informations système () : Comme mentionné précédemment, vérifiez les champs « Modèle système » ou « Version/Date du BIOS » pour des termes comme « VMware », « VirtualBox », « Hyper-V » ou « Machine virtuelle ».msinfo32

    • Processus et services en cours de marche : Recherchez des processus ou services associés aux logiciels VM (par exemple, , ).vmtoolsd.exe VBoxService.exe

    • ID/Pilotes matériels : Le Gestionnaire de périphériques peut afficher du matériel virtualisé (par exemple, l’adaptateur VMware SVGA).

    • Clés du registre : Les clés spécifiques indiquent l’installation de logiciels de VM.

    • Outils dédiés de détection de VM (par exemple, VMAware) : Des outils spécialisés existent pour détecter la virtualisation de manière plus fiable, même face à d’éventuelles tentatives de renforcement.

      • VMAware : Il s’agit d’une bibliothèque C++ multiplateforme notable (Windows, macOS, Linux) et d’un outil en ligne de commande, spécifiquement conçu pour une détection complète des machines virtuelles.

        • Capacités: Il utilise un grand nombre (115+) de techniques de détection uniques, ciblant diverses technologies de virtualisation, notamment les hyperviseurs (VMware, VirtualBox, Hyper-V, QEMU), les émulateurs, les conteneurs et les bacs à sable. Il vise à être efficace même contre les techniques de durcissement des machines virtuelles conçues pour masquer l’environnement virtuel.

        • Usage: Peut être intégré dans d’autres outils sous forme de bibliothèque ou exécuté en ligne de commande autonome. Lorsqu’elle est exécutée, elle indique généralement si une VM est détectée, la marque/type probable de technologie VM, ainsi qu’un pourcentage de confiance.

        • Disponibilité: VMAware est open source et disponible sur GitHub (https://github.com/kernelwernel/VMAware). Des binaires précompilés peuvent être disponibles dans la section des versions, ou bien être compilés à partir du code source.

        • Pertinence: Utiliser un outil comme VMAware lors d’un partage d’écran offre un contrôle de virtualisation plus robuste que de se fier uniquement à des listes de traitements, augmentant ainsi la probabilité de détecter des tentatives de contournement basées sur des machines virtuelles.msinfo32

    • Règles du serveur : En raison du potentiel important d’évasion, la plupart des serveurs concurrents interdisent explicitement de jouer ou de partager d’écran au sein d’une machine virtuelle. Détecter que l’utilisateur fonctionne dans une VM pendant la vérification, souvent confirmé à l’aide d’outils comme ou de détecteurs dédiés comme VMAware, constitue souvent un motif suffisant pour agir uniquement en violation de cette règle.msinfo32

PrécédentDisques USB externes (FAT32 vs. NTFS) :SuivantStockage cloud (OneDrive, Google Drive, etc.) :

Mis à jour