程序检测自身是否运行在虚拟机下

最新推荐文章于 2023-10-24 19:03:32 发布
最新推荐文章于 2023-10-24 19:03:32 发布
阅读量2.3k 收藏 1
点赞数
文章标签: 虚拟机 vmware exception 测试 windows xp

来自:http://www.codeproject.com/kb/system/VmDetect.aspx
    分析病毒的时候人们通常在vmware等虚拟机下运行,以查看病毒的执行路径或者提取特征码。但是近年来出现许多抗虚拟机检测的病毒。也就是说,在虚拟机下运行的时候,病毒会隐匿其恶意行为,使人们无法检测得到。
    上面那篇文章是codeproject的链接。它详细说明了程序如何检测自身是否在虚拟机下并且提供了源代码。我用我的windows Xp测试通过。
    其实检测vmware的原理很简单。vmware存在一个隐藏通道,这个通道用于虚拟机和实体机的信息交流。文中的代码检测这个通道是否存在,并用try...catch来得到结果——如果try和catch之间的那段代码不出现异常,则表示在虚拟机里。如果出现异常,则表示在虚拟机外。(既没有虚拟机)
    对抗这种抗虚拟机技术的方法,我看过一篇论文《Efficient Detection of Split Personalities in Malware》。我看了一遍,可惜我还没彻底看懂,以后再补充。
    作为测试,可以新建一个VC++工程并且把下面代码复制粘贴:
#include <windows.h>
#include <stdio.h>
bool IsInsideVMWare()
{
bool rc = true;

__try
{
   __asm
   {
    push   edx
     push   ecx
     push   ebx
   
     mov    eax, 'VMXh'
     mov    ebx, 0 // any value but not the MAGIC VALUE
     mov    ecx, 10 // get VMWare version
     mov    edx, 'VX' // port number
   
     in     eax, dx // read port
     // on return EAX returns the VERSION
     cmp    ebx, 'VMXh' // is it a reply from VMWare?
     setz   [rc] // set return value
   
     pop    ebx
     pop    ecx
     pop    edx
   }
}
__except(EXCEPTION_EXECUTE_HANDLER)
{
   rc = false;
}

return rc;
}
int main()
{
if (IsInsideVMWare())
   printf("yes");
else
    printf("no");
return 0;
}

gylll
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
检测程序是否虚拟机运行的两种方法
hnlwt的专栏
04-05 1万+
最近在项目中遇到一个虚拟机检测的问题,需要检测当前程序是否虚拟机运行。 关于虚拟机检测方法有很多,网上也能搜索到很多相关的 相信很多程序狗很可能也会遇到相同的问题
检查程序是否运行VMWare虚拟机
wangyunyong0905的专栏
10-08 1092
{     This function can be used to determine whether your program is     running from within VMWare.    For more information please refer to the article at:   http://www.codeproject.com/syste
软件测试-虚拟机
qq_43632054的博客
09-19 991
命令符的使用 若打开虚拟机时出现 “内部错误 ”,则进入服务页面, 将此以 VMware开头的五个服务打开,问题即可解决。 mkdir:创建目录, mkdir -p a/b/c/d:创建多级目录, rm -rf a:删除多级目录, rm -rf a.txt:删除该文件, cp -r a /home:将a文件夹复制到根目录的home文件夹下, mv a /home:将a文件夹剪切到根目录的ho...
detectvm:用于检测虚拟机是否正在运行的小程序(仅适用于Windows),如果是,则将自身删除
02-15
VMware和VBox Detector :waving_hand: :sparkles: 概述 :sparkles: •检测VMware(如果已安装VMware工具)•检测Oracle VirtualBox•如果检测到VM,则自我删除 先决条件 使用标准库可以使用g ++构建(有时无法在使用gcc的VM上运行,不确定原因) g++ antivm.cpp -o antivm.exe -static-libgcc -static-libstdc++ 演示版 :movie_camera: VMware示范 VirtualBox演示 作者 char *#1337(不和谐) GitHub上的mayhapsDev :handshake: 贡献 欢迎提供文稿,问题和功能要求! 随时检查 表示支持 给一个 :star: 如果这个项目对您有帮助! :memo: 执照 没有牌照
怎样检测当前系统运行虚拟机
weixin_34405354的博客
03-21 244
大家或许都会疑惑,到底怎样用代码检测当前系统运行虚拟机中,如VMWare等。 我在http://www.codeproject.com/system/VmDetect.asp发现了一个VC++6写的代码,用的是嵌套汇编。 后来请装配脑袋迁移到VC++7.1并封装成模块,调用很方便。 下载地址:http://files.cnblogs.com/unruledboy/IsIn...
vmware虚拟机检测
01-13
然而,在某些特殊应用场景下(如游戏反作弊、软件授权等),可能会遇到需要绕过或避免被检测运行在虚拟环境中的需求,这就是所谓的“反虚拟机检测”。本文将基于给定的部分内容深入探讨如何通过修改特定设置来实现...
识别是否虚拟机运行的源码
05-11
对于安全研究人员、开发人员以及系统管理员来说,识别一个程序是否虚拟机运行有时是至关重要的。例如,恶意软件可能试图检测自己是否处于虚拟环境以避免被分析,或者开发者可能需要确保他们的应用在虚拟环境中...
易语言源码易语言汇编检测虚拟机源码.rar
03-31
"检测虚拟机源码"这部分可能是指一种工具或技术,用于检查和分析易语言编写的程序是否运行在一个虚拟机环境中。虚拟机可以为程序提供一个抽象的硬件平台,使得程序可以在不同的操作系统上运行。在安全领域,检测...
检测是否虚拟机
06-20
在IT行业中,尤其是在移动安全和应用开发领域,检测设备是否运行虚拟机上是一个重要的议题。这主要因为虚拟机常被用于恶意攻击、自动化测试或非法应用多开等场景,因此开发者需要保护自己的应用程序免受这些潜在...
判断程序是否运行虚拟机中的代码
liujiayu2的专栏
12-08 5448
首先我们要了解一下什么是虚拟机, 对虚拟机的通用解释是通过软件模拟的具有完整硬件系统功能的, 运行在一个完全隔离环境中的完整计算机系统. 通过虚拟机软件, 你可以在一台物理计算机上模拟出一台或多台虚拟的计算机, 这些虚拟机就像真正的计算机那样进行工作, 例如你可以安装操作系统, 安装应用程序, 访问网络资源等等. 对于你而言, 它只是运行在你物理计算机上的一个应用程序, 但是对于在虚拟机运行
防止虚拟机被应用程序检测
weixin_33739523的博客
04-26 4913
转自http://www.xuniji.com/forum/view.asp?id=13901 某不靠谱银行(就不指名道姓了,大家心照不宣)的网银专业版检测运行虚拟机里就拒绝登录。有个办法是花钱买牠家的 USB Key,映射到虚拟机 guest 里。如果不想花钱,就只好用下面的方法欺骗一下。孟子说,君子可欺之以方。对某银行 IT 部这群偏执狂,更可以欺...
VMware绕过软件的虚拟机检测
热门推荐
nianbingsihan的博客
07-23 5万+
部分软件启动后会检测是否运行虚拟机中,如果是则退出. 下面给出绕过虚拟机检测的方法: 1.修改虚拟机vmx文件. 关闭虚拟机,前往虚拟机目录,找到.vmx后缀的文件,如WinXP.vmx,备份原文件后,使用Notepad++打开,在末尾添加一行: monitor_control.restrict_backdoor = "true" 重启虚拟机即可.   如果还不行,请参考: ...
检测当前环境是否虚拟机
sunjiaoya的博客
07-30 5489
虚拟机检测技术--检测当前环境是否虚拟机
虚拟机检测技术
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
05-05 3065
第一次尝试恶意代码分析就遇到了虚拟机检测,于是就想着先学习一下检测的技术然后再尝试绕过。学习后最终发现,似乎最好的方法不应该是去patch所有检测方法,而是直接调试并定位检测函数再绕过。但既然已经研究了两天,索性将收集到的资料整理一下,方便后人查找。
检测虚拟机环境(一)
最新发布
溡漪幽博客
10-24 1142
虚拟机环境的检测有多种方法,这里以注册表痕迹检测法为例,谈谈如何快速检测虚拟环境。
检测你的程序是否运行虚拟机(VMware)
laoli的专栏
07-01 3300
//------------------------------------------------------------------构建一个函数,使用了汇编语言啊,嘿嘿!// -------------------开始-----------------------------------------function IsVMwarePresent(): LongBool; stdcall; b
如何绕开对通用VMware虚拟机检测
Tommy(凌飞)的专栏
04-28 3万+
<br />1,用记事本打开虚拟系统镜像文件的配置文件,这个文件扩展名为vmx,比如我的虚拟系统名为XP,那这个文件就叫XP.vmx,然后在<br /> 其末尾添加这么一句,如下红色部分(注意,虚拟机不能在运行状态添加)<br /><br />monitor_control.restrict_backdoor = "true"<br /><br /> 这句的意思是关闭vmware的后门(什么后门?后面详细说)<br /><br /> 2,开启vmware workstation,在里面的 虚拟机 ->
VMware虚拟机检测详细教程,巨全面,小白专享教程
qq_54001206的博客
08-28 5万+
虚拟机检测,修改硬件,解除机器码,流畅稳定多开游戏
如何判断当前程序是否运行虚拟机
weixin_34161083的博客
03-08 2104
最近写程序,碰到要检测程序是否运行虚拟机内的问题。在网上找了一下,找到下面两个函数,可以检测程序是否运行在virtual machine中,支持VMWARE 和virtual pc检测. 主要的原理,都是利用virtual machine往往支持一些真实PC不支持的指令.// IsInsideVPC's exception filterDWORD _...
手机虚拟机如何逃避检测
04-26
我可以提供一些一般情况下逃避手机虚拟机检测的方法,但请注意,这并不是鼓励任何非法行为的建议。 1. 安装逃避检测应用:有一些应用可以帮助逃避虚拟机检测,例如VirtualXposed和Parallel Space等。这些应用将在虚拟环境中运行其他应用程序,以避免检测。 2. 修改虚拟机标识:很多虚拟机检测是基于虚拟机的硬件和软件标识。如果您能够更改虚拟机标识,那么您可能会逃避检测。但请注意,这可能会违反某些平台的使用条款,并且可能会导致您的账户被封锁。 3. Root您的手机:如果您的手机已经被Root,那么您可以使用Xposed Framework等工具来绕过虚拟机检测。但是,Root手机有一定的安全风险,可能导致您的数据被泄露或者被攻击。 请注意,这些方法只是一般方法,不能保证完全逃避虚拟机检测,而且有可能违反平台的使用条款。如果您需要逃避虚拟机检测,请注意自身风险,并确保遵守相关法律法规。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值