检测虚拟机环境(一)

已于 2023-10-24 19:11:10 修改
阅读量731 收藏 1
点赞数 6
分类专栏: Windows 基础编程 文章标签: windows c++ 算法 1024程序员节
于 2023-10-24 19:03:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59075481/article/details/133661342
版权

VMware 虚拟机环境的检测有多种方法,这里以注册表痕迹检测法为例,谈谈如何快速检测虚拟环境。

一、理论分析

注册表是 Windows 操作系统的重要概念,对注册表的操作直接涉及系统的核心配置,具有牵一发而动全身的作用。在 HKEY_LOCAL_MACHINE 项下,有 HARDWARE 键,这是我们今天的主角。

HARDWARE 键中包含了计算机硬件信息的子项。在启动系统时,该项都会被重新创建,这样就很容易向系统中添加硬件了。该项是系统根据硬件信息在启动时自己填写的,而不是根据数据去启动硬件,所以用户对该项的修改不会生效。在该项下面的四个项中含有 CPU、FPU、系统总线、 PCI 总线的设备、即插即用总线、高级控制电源接口、键盘、打印机端口、鼠标、屏幕等信息,有些信息要在 BIOS 才能看见(比如高级控制电源接口)。

通过对比客户机和虚拟机的硬件信息,就可以发现它们存在较多不同点,这篇文章以 SCSI 信息为例,讲解如何区分虚拟机和物理机环境。

首先打开虚拟机:依次展开左侧导航栏中的 HKEY_LOCAL_MACHINE > HARDWARE > DEVICEMAP > Scsi

SCSI 下有很多端口 SCSI Port XX,其中至少有一个端口下包含的 Identifier 数据值包含 VMware 厂商名称,如图所示:

我们再尝试打开物理机上的该路径,可以看出他显示的是真实设备的厂商名称,而不是虚拟设备:

显然,可以根据该特征来判断环境是不是虚拟环境。

二、代码实现

从编写程序的角度上来讲,这里由于我们并不知道特征值会位于 SCSI 下的哪个子键内,所以我们需要利用递归的方法,遍历每一层每一个 Identifier 值,看是否有特征值,只要找到了特征值,就算作是虚拟环境。

首先,使用 RegOpenKeyEx 函数打开注册表项。在每一层,我们都需要利用 RegQueryInfoKeyW 和 RegEnumKeyEx 函数的组合来枚举指定打开的注册表项的子项。使用 RegEnumValueW 获取对应值项的数据,并比较获取到的字符串是否包含 VMware 字样。将这些操作写入到一个 SearchKey 函数中,然后对于找到的键(而不是值)递归调用它本身,即可对每一层每一个值项进行遍历。

调好的代码如下,需要以管理员身份启动,我用的 VMware 是 17 版本,不知道其他版本是否一致:


#include <iostream>
#include <windows.h>
#include <stdio.h>
#include <tchar.h>

#define MAX_KEY_LENGTH 255
#define MAX_VALUE_NAME 16383


DWORD GetRegKeyCount(HKEY hKey, DWORD dwIndex, TCHAR* achKey, DWORD dwKeyLen, BOOL bEnable)
{
    LONG   lRet = ERROR_SUCCESS;
    DWORD  cSubKeys = 0;
    DWORD cValues = 0;
    DWORD  cMaxKeyLens = 0;
    DWORD  cMaxValueLens = 0;
    lRet = RegQueryInfoKeyW(hKey, NULL, NULL, NULL, &cSubKeys, &cMaxKeyLens, NULL, &cValues, &cMaxValueLens, NULL, NULL, NULL);
    if (lRet != ERROR_SUCCESS)
    {
        return 0;
    }

    if (cSubKeys != 0 && achKey != NULL)
    {
        lRet = RegEnumKeyEx(
            hKey,
            dwIndex,
            achKey,
            &dwKeyLen,
            NULL,
            NULL,
            NULL,
            NULL
        );
        if (lRet != ERROR_SUCCESS)
        {
            return 0;
        }
    }
    if (bEnable) return cSubKeys;
    else return cValues;
}

#define MAX_DATA_NAME 300
bool IsFindVMKey = FALSE;
// QueryKey - Enumerates the subkeys of key and its associated values.
//     hKey - Key whose subkeys and values are to be enumerated.
BOOL SearchKey(HKEY hKey, LPCTSTR lpSubKey)
{
    IsFindVMKey = FALSE;
    HKEY hSubKey = NULL;
    TCHAR subKeyName[MAX_PATH + 1] = { 0 };
    TCHAR  achValue[MAX_VALUE_NAME]{};
    TCHAR  lpData[MAX_DATA_NAME]{};
    DWORD cchValue = MAX_VALUE_NAME;
    DWORD cbData = MAX_DATA_NAME;
    DWORD DataType = REG_SZ;
    if (ERROR_SUCCESS == RegOpenKeyEx(hKey, lpSubKey, 0, KEY_ALL_ACCESS, &hSubKey))
    {
        DWORD dwValueNum = GetRegKeyCount(hSubKey, 0, NULL, 0, FALSE);
        for (DWORD j = 0, retCode = ERROR_SUCCESS; j < dwValueNum; j++)
        {
            // 枚举指定的开放注册表项的值。该函数每次调用键时都会复制一个索引值名称和键的数据块。
            cchValue = MAX_VALUE_NAME;
            cbData = MAX_DATA_NAME;
            achValue[0] = '\0';
            lpData[0] = '\0';
            retCode = RegEnumValueW(hSubKey, j,
                achValue,
                &cchValue,
                NULL,
                &DataType,
                (PBYTE)&lpData,
                &cbData);

            if (retCode == ERROR_SUCCESS)
            {
                _tprintf(TEXT("(%d) %s\n"), j + 1, achValue);

                if (!wcsncmp(achValue, L"Iden", 4) && wcsstr(lpData, L"VMware"))
                {
                    //printf("Value: %ws\n", lpData);
                    IsFindVMKey = TRUE;
                    return TRUE;
                    //break;
                }

                //SearchKey(hSubKey, subKeyName);
            }
        }
        //获取lpSubKey下面有多少个子项
        DWORD dwSubKey = GetRegKeyCount(hSubKey, 0, NULL, 0, TRUE);
        for (DWORD i = 0; i < dwSubKey; i++)
        {
            if (ERROR_SUCCESS == RegEnumKey(hSubKey, i, subKeyName, MAX_PATH))
            {
                //打印项的名字
                printf("%ws\n", subKeyName);
                SearchKey(hSubKey, subKeyName);
            }
        }
        
        //关闭
        if (hSubKey)
        {
            RegCloseKey(hSubKey);
        }
    }
    else {
        IsFindVMKey = TRUE;
        return FALSE;
    }

    return IsFindVMKey;
}


int __cdecl _tmain()
{
    HKEY hTestKey;
    DPI_AWARENESS_CONTEXT OldTidDpiAware = NULL;
    OldTidDpiAware = SetThreadDpiAwarenessContext(DPI_AWARENESS_CONTEXT_SYSTEM_AWARE);
    if (OldTidDpiAware == NULL)
        printf("设置线程上下文DPI配置失败。\n");
    if (RegOpenKeyEx(HKEY_LOCAL_MACHINE,
        TEXT("HARDWARE\\DEVICEMAP"),
        0,
        KEY_READ,
        &hTestKey) == ERROR_SUCCESS
        )
    {
        if (SearchKey(hTestKey, L"Scsi") && IsFindVMKey == true)
        {
            MessageBoxW(NULL, L"程序运行环境异常,请不要在虚拟机中运行该程序!", L"Ooops!", MB_SYSTEMMODAL | MB_ICONWARNING | MB_OK);
            RegCloseKey(hTestKey);
            exit(1033);
        }
        else if(IsFindVMKey == false)
        {
            MessageBoxW(NULL, L"恭喜你,Handware注册表检验通过,程序认定当前环境为物理机。", L"Congratulations!", MB_SYSTEMMODAL | MB_ICONINFORMATION | MB_OK);
        }
        else {
            MessageBoxW(NULL, L"程序运行环境异常,请重启计算机!", L"Ooops!", MB_SYSTEMMODAL | MB_ICONWARNING | MB_OK);
            RegCloseKey(hTestKey);
            exit(1034);
        }

    }

    RegCloseKey(hTestKey);

    system("pause");
    return 0;
}

下面是代码实测的结果:

递归遍历注册表特征
虚拟机运行结果

本文属于原创文章,转载请注明出处:

https://blog.csdn.net/qq_59075481/article/details/133661342

更新于:2023.10.24 

涟幽516
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
虚拟机检测技术剖析大全
09-29
前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware,Virtual PC ,VirtualBox),你可以在一台物理计算机上模拟出一台或多台虚拟的计算机,这些虚拟机完全就像真正的计算机那样进行工作,例如你可以安装操作系统、安装应用程序、访问网络资源等等。攻击者为了提高恶意程序的隐蔽性以及破坏真实主机的成功率,他们都在恶意程序中加入检测虚拟机的代码,以判断程序所处的运行环境。当发现程序处于虚拟机(特别是蜜罐系统)中时,它就会改变操作行为或者中断执行,以此提高反病毒人员分析恶意软件行为的难度。本文主要针对基于Intel CPU的虚拟环境VMware中的Windows XP SP3系统进行检测分析,并列举出当前常见的几种虚拟机检测方法。
虚拟机检测技术
活下去,学下去
05-05 2834
第一次尝试恶意代码分析就遇到了虚拟机检测,于是就想着先学习一下检测的技术然后再尝试绕过。学习后最终发现,似乎最好的方法不应该是去patch所有检测方法,而是直接调试并定位检测函数再绕过。但既然已经研究了两天,索性将收集到的资料整理一下,方便后人查找。
检测Android模拟器的方法和代码实现
云守护的专栏
09-17 1万+
专自:https://bbs.pediy.com/thread-225717.htm 刚刚看了一些关于Detect Android Emulator的开源项目/文章/论文, 我看的这些其实都是13年14年提出的方法, 方法里大多是检测一些环境属性, 检查一些文件这样, 但实际上检测的思路并不局限于此. 有的是很直接了当去检测qemu, 而其它的方法则是旁敲侧击比如检测adb, 检测ptrace之...
关于虚拟机检测技术的研究
sxr__nc的博客
02-27 1610
平平无奇的搬砖日,突然想起来之前分析的一个病毒好像有某种反虚拟机的方法,当时没太研究明白,甚至都没研究明白是检测虚拟机的操作。现在想起来回过头去再研究一下,虚拟机检测技术,在这个过程中借鉴了很多其他大神的经典文章(当然大多数都是人家的东西,我只不过是拾人牙慧) 相较而言,我们一般在分析病毒的时候,也会碰到一些反虚拟机反调试的操作。常见的反虚拟机的手段,无非就是遍历系统进程,检测特殊进程、检测特殊服务、检测注册表项等几种。国外SANS安全组织的研究人员总结出当前各种虚拟机检测手段不外乎以下四类: ●
虚拟机检测技术攻防
热门推荐
whatday的专栏
08-27 5万+
前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware,Virtual PC ,VirtualBox),你可以在一台物
VM虚拟机检测全套工具
08-01
工具包含Se VMP TMD等等..
虚拟机基础篇-过鲁大师检测
最新发布
qq_54001206的博客
10-02 2115
可以看到很多个vmware的标志,这就是最基础的虚拟机检测了,这里也就是比较浅的过鲁大师,过鲁大师应该是选中那个生成报表,文本中没有vm标志才算过鲁大师基础第一步,还不算细节的硬件仿真(硬件仿真的意思不是vm改了就是仿真了,是参照真实的硬件进行修改,和物理主机有一样的参数,才算是硬件仿真)打开虚拟机安装目录的x64目录的vmware-vmx.exe文件,这就是业内说的虚拟机底层,虚拟机的硬件信息就在这文件中,修改其中的硬件信息以达到欺骗软件的目的,话不多说,开干。可以看到,显示器是没有的,现在打开虚拟机
VMware虚拟机检测详细教程,巨全面,小白专享教程
qq_54001206的博客
08-28 4万+
虚拟机检测,修改硬件,解除机器码,流畅稳定多开游戏
检测当前环境是否是虚拟机
sunjiaoya的博客
07-30 5285
虚拟机检测技术--检测当前环境是否是虚拟机
虚拟机环境检测
2302_76827504的博客
04-28 590
想要触发这里(没成功,虽然成功完成了SCSI_COMMAND,但是在所有与scsi相关的函数下断,没能断下,很奇怪,望了解的师傅指点下)。dmidecode指令可以获取系统硬件相关的一些信息,原理是将DMI数据库信息解码,输出的信息包括BIOS、系统、主板、处理器、内存、缓存等。而相应的,病毒如何判断自己在虚拟环境还是真实设备也显得重要(可以调整自己的行为,规避查杀)。虚拟技术是云计算的基础,而针对当前的虚拟化环境的安全检测。虚拟的一些设备和真实物理主机设备信息有些差异,可以通过一些特殊指令获得相关信息。
检测虚拟机
09-29
=已经过了检测,目前我只设置了win7的系统=已经过了检测,目前我只设置了win7的系统
anti-vm:检测虚拟机环境
04-04
通用VM检测器仅需一行代码即可检测每个Windows虚拟机为什么我们需要通用方式? 恶意软件现在比以前更聪明。 在运行之前,他们会检查环境是虚拟的还是真实的。 但是他们面临的大问题是,如何获得一种通用的方法来检测...
vmware 反虚拟机检测
01-13
vmware 反虚拟机检测
虚拟机检测技术剖析
04-12
基于Intel CPU的虚拟环境VMware中的Windows XP SP3系统进行检测分析,并列举出当前常见的几种虚拟机检测方法。
虚拟机检测技术简单实践
djt1999的博客
07-06 842
虚拟机检测技术简单实践 概述 恶意软件 恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,通过破坏软件进程来实施控制。恶意软件其本身可能是一种病毒,蠕虫,后门或漏洞攻击脚本,它通过动态地改变攻击代码可以逃避入侵检测系统的特征检测(Signature-based detection ,也可称为模式匹配)。攻击者常常利用这种多变代码进入互联网上的一些带有入侵侦测的系统或...
检测你的程序是否运行在虚拟机(VMware)
laoli的专栏
07-01 3266
//------------------------------------------------------------------构建一个函数,使用了汇编语言啊,嘿嘿!// -------------------开始-----------------------------------------function IsVMwarePresent(): LongBool; stdcall; b
[源码和文档分享]两种方法实现虚拟机检测
qq_38474647的博客
12-29 344
背景 虚拟机因为它的便捷易用性,使得它被越来越多人喜爱。相信大家也都会在自己的计算机上面安装有虚拟机,平时也会使用虚拟机来测试程序或者做一些文件分析工作。所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware、Virtual PC、VirtualBo...
详解反虚拟机技术
houjingyi的博客
10-21 1万+
恶意代码编写者经常使用反虚拟机技术逃避分析,恶意代码可以使用这种技术检测自己是否运行在虚拟机中。如果恶意代码探测到自己在虚拟机中运行,它会执行与其本身行为不同的行为,其中最简单的行为是停止自身运行。近年来,随着虚拟化技术的使用不断增加,采用反虚拟机技术的恶意代码数量逐渐下降。恶意代码编写者已经开始意识到,目标主机是虚拟机,也并不意味着它就没有攻击价值。随着虚拟化技术的不断发展和普通应用,反虚拟机
vmware 虚拟机检测
08-18
VMware虚拟机检测主要是指识别和判断计算机系统中是否安装有VMware虚拟化软件。 在进行VMware虚拟机检测时,可以通过以下几种方法进行: 1. 查看计算机硬件信息:VMware虚拟机通常会使用虚拟硬件设备来模拟真实的计算机环境。因此,在检测中可以查看计算机的硬件信息,如处理器、内存、显示适配器等,如果发现这些信息与实际计算机环境不符或者存在异常,则可能表明系统中存在VMware虚拟机。 2. 检查系统文件和注册表:VMware虚拟机在安装和运行时会在系统文件夹和注册表中留下一些痕迹。通过检查系统文件夹和注册表中是否存在VMware相关的文件或者注册表项,可以判断系统中是否安装了VMware虚拟机软件。 3. 检测网络连接:VMware虚拟机通常会创建虚拟网络适配器来实现与主机系统和其他虚拟机之间的网络通信。因此,在检测中可以检查计算机的网络连接情况,查看是否存在虚拟网络适配器或者跟VMware相关的网络配置。 4. 利用专门的工具:目前有一些第三方的工具或软件可以辅助进行VMware虚拟机检测。这些工具可以通过扫描计算机系统,识别出系统中存在的虚拟机软件,包括VMware等。 需要注意的是,VMware虚拟机检测一般用于安全审计、软件授权验证等场景,对于正常的虚拟机使用并无影响,并不是对VMware虚拟机的歧视或者禁止。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

涟幽516

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值