虚拟机识别

最新推荐文章于 2023-12-05 15:25:42 发布
最新推荐文章于 2023-12-05 15:25:42 发布
阅读量853 收藏
点赞数
文章标签: microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_35360663/article/details/127719009
版权

虚拟机识别


虚拟机软件在模仿真机时会保留一些工作,例如特定的文件、进程、注册表项、服务、网络设备适配器等,通过它们可以帮助我们分辨虚拟机与真机。 检查CPU指令●CPUID 
该指令以EAX = 1作为输入执行,返回值描述处理器功能。在物理机器上的ECX位将等于0。访客VM将等于1。
●"Hypervisor brand"
通过设置EAX = 40000000,随后调用CPUID,将获得EAX,ECX,EDX中的虚拟化供应商字符串作为返回值。
例如:Microsoft: “Microsoft HV”,VMware : “VMwareVMware”。
●MMX
Intel指令集,旨在更快地处理图形应用程序。虚拟机通常不支持这些功能,因此如果不存在,可能表明程序正在VM中运行
●IN – "VMWare Magic Number"
参考资料: 微机原理
《INTEL 80386 PROGRAMMER'S REFERENCE MANUAL 1986》
8086为了区分访问内存和外设,硬件上有一个专门的引脚M/IO,指令集中则为访问外设单独提供了in/out指令。
《x86汇编---VGA显示》中为了关闭光标显示,有如下代码,这 两行代码读取外设 CRTC数据寄存器中的数据。
其中0x3D5为外设端口地址

在VMWare中,通过特定的I/O端口与主机进行通信。如果在VM中运行,下面的代码将成功执行,否则失败。
检查已知的Mac地址
MAC地址的前缀表示网络适配器的供应商。可以通过多种方式检索MAC地址,包括使用WMIC(wmic-> nic list)●00:05:69 (Vmware)●00:0C:29 (Vmware)●00:1C:14 (Vmware)●00:50:56 (Vmware)●08:00:27 (VirtualBox) 检查注册表
存在以下注册表项时表明存在虚拟化软件●HKLM\SOFTWARE\Vmware Inc.\\\Vmware Tools●HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 2\Scsi Bus 0\Target Id 0\Logical Unit Id 0\Identifier●SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S●SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev●SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers 检查vm进程
检查进程的方式很多:WMIC, Win API and CMD. WMIC (wmic -> process list), Win API (Process32First, Process32Next), and Tasklist.exe。●Vmware○Vmtoolsd.exe○Vmwaretrat.exe○Vmwareuser.exe○Vmacthlp.exe●VirtualBox○vboxservice.exe○vboxtray.exe 检查文件
如果发现系统中存在这些文件,则表明存在虚拟化软件。检索方式:WMIC,Win API和CMD。●VMware
C:\windows\System32\Drivers\Vmmouse.sys
C:\windows\System32\Drivers\vm3dgl.dll
C:\windows\System32\Drivers\vmdum.dll
C:\windows\System32\Drivers\vm3dver.dll
C:\windows\System32\Drivers\vmtray.dll
C:\windows\System32\Drivers\VMToolsHook.dll
C:\windows\System32\Drivers\vmmousever.dll
C:\windows\System32\Drivers\vmhgfs.dll
C:\windows\System32\Drivers\vmGuestLib.dll
C:\windows\System32\Drivers\VmGuestLibJava.dll
C:\windows\System32\Driversvmhgfs.dll●VirtualBox
C:\windows\System32\Drivers\VBoxMouse.sys
C:\windows\System32\Drivers\VBoxGuest.sys
C:\windows\System32\Drivers\VBoxSF.sys
C:\windows\System32\Drivers\VBoxVideo.sys
C:\windows\System32\vboxdisp.dll
C:\windows\System32\vboxhook.dll
C:\windows\System32\vboxmrxnp.dll
C:\windows\System32\vboxogl.dll
C:\windows\System32\vboxoglarrayspu.dll
C:\windows\System32\vboxoglcrutil.dll
C:\windows\System32\vboxoglerrorspu.dll
C:\windows\System32\vboxoglfeedbackspu.dll
C:\windows\System32\vboxoglpackspu.dll
C:\windows\System32\vboxoglpassthroughspu.dll
C:\windows\System32\vboxservice.exe
C:\windows\System32\vboxtray.exe
C:\windows\System32\VBoxControl.exe 检查运行的服务
是否正在运行以下进程,(WMIC->服务列表,sc.exe / query)●VMTools●Vmhgfs●VMMEMCTL●Vmmouse●Vmrawdsk●Vmusbmouse●Vmvss●Vmscsi●Vmxnet●vmx_svga●Vmware Tools●Vmware Physical Disk Helper Service
C-haidragon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
虚拟机知识整理
c4793的博客
03-24 749
渗透测试武器之一:虚拟机 现在习惯上将渗透测试所用的系统安装在虚拟机中,目前被运用最多,也是最好用的系统就是Kali Linux,下面介绍如何安装虚拟机虚拟机这里采用VMware,安装Vmware,并以安装Kali为例然后选择创建虚拟机,我习惯上选择典型安装,选择稍后安装操作系统。并下一步,选择Linux,在下面的下拉框里选择Debian(后缀有x64是64位系统,根据自己的镜像文件的系统位数选...
虚拟机栈知识概括
weixin_41005188的博客
10-06 576
虚拟机栈知识概括虚拟机栈概述栈的存储单位局部变量表操作数栈栈顶缓存技术动态链接解析和分派方法返回地址一些附加信息 虚拟机栈概述 虚拟机栈出现的背景: 由于跨平台性的设计,Java的指令都是根据栈来设计的。不同平台CPU架构不同,所以不能设计为基于寄存器的。 优点是跨平台,指令集小,编译器容易实现,缺点是性能下降,实现同样的功能需要更多的指令。 内存中的栈与堆: 首先栈是运行时的单位,而堆是存储的单位 栈解决程序的运行问题,即程序如何执行,或者说如何处理数据。 堆解决的是数据存储的问题,即数据怎么放,放
虚拟机环境检测
2302_76827504的博客
04-28 634
想要触发这里(没成功,虽然成功完成了SCSI_COMMAND,但是在所有与scsi相关的函数下断,没能断下,很奇怪,望了解的师傅指点下)。dmidecode指令可以获取系统硬件相关的一些信息,原理是将DMI数据库信息解码,输出的信息包括BIOS、系统、主板、处理器、内存、缓存等。而相应的,病毒如何判断自己在虚拟环境还是真实设备也显得重要(可以调整自己的行为,规避查杀)。虚拟技术是云计算的基础,而针对当前的虚拟化环境的安全检测。虚拟的一些设备和真实物理主机设备信息有些差异,可以通过一些特殊指令获得相关信息。
如何判断一台机器是物理机还是虚拟机?
哈维敖尔的博客
05-12 6896
使用powershell命令:get-wmiobject win32_computersystem | fl model。在CMD里输入:Systeminfo | findstr /i "System Model"如果System Model:后面含有Virutal就是虚拟机,其他都是物理机。如果输出为none,则说明是物理机,输入其它则是虚拟机。看Product Name字段。
解决虚拟机无法识别USB设备的问题
qq_51861517的博客
06-16 1万+
本文旨在通过笔者的经验解决虚拟机无法识别USB设备的问题,包括虚拟机设置、虚拟机配置文件、物理主机的服务、移动端的设置。按照本教程可以解决大部分的问题。
window系统中如何判断是物理机还是虚拟机及VMPROTECT无法检测云主机
chengg0769 平淡无奇见真知
08-27 1551
1. 用systeminfo的系统型号。(注,有资料是看处理器和bios。看系统型号准确一些)在任务管理器》性能中查看“逻辑处理器”还是“虚拟处理器”。虚拟机,看“是“、”否”。
详解反虚拟机技术
热门推荐
houjingyi的博客
10-21 1万+
恶意代码编写者经常使用反虚拟机技术逃避分析,恶意代码可以使用这种技术检测自己是否运行在虚拟机中。如果恶意代码探测到自己在虚拟机中运行,它会执行与其本身行为不同的行为,其中最简单的行为是停止自身运行。近年来,随着虚拟化技术的使用不断增加,采用反虚拟机技术的恶意代码数量逐渐下降。恶意代码编写者已经开始意识到,目标主机是虚拟机,也并不意味着它就没有攻击价值。随着虚拟化技术的不断发展和普通应用,反虚拟机
windows、linux系统如何判断当前计算机是物理机还是虚拟机
qq_41116260的博客
12-05 3694
判断当前计算机是物理机还是虚拟机(windows、linux)
解决U盘不被虚拟机识别问题有绝招.docx
09-27
解决U盘不被虚拟机识别问题有绝招 本文档主要解决了U盘在虚拟机中无法识别的问题,并提供了详细的解决步骤和相关知识点。 一、虚拟机硬件设置 在解决U盘不被虚拟机识别问题时,首先需要检查虚拟机的硬件设置。...
U盘不被虚拟机识别问题怎么办?.docx
09-27
解决 U 盘不被虚拟机识别问题的步骤和原因分析 U 盘不被虚拟机识别虚拟机用户经常遇到的问题,这个问题的出现可能是由于虚拟机的设置问题、硬件问题或者软件问题引起的。在这篇文章中,我们将详细介绍解决 U 盘不...
检测是否是虚拟机
06-20
检测是否是安卓虚拟机 一键集成防护措施反XP反调试反多开反虚拟机
根据本人遇到的实际情况,进行整理解决方案,解决虚拟机VMware下的UbuntuUSB设备识别问题的解决方法,希望可以帮到大家。
03-06
虚拟机 VMware 下的 UbuntuUSB 设备识别问题解决方法 本文将解决虚拟机 VMware 下的 UbuntuUSB 设备识别问题,提供了三种解决方法,分别是手动挂载 U 盘、启动 VMware USB Arbitration Service 服务和卸载 ehci_hcd...
vmware esxi 虚拟机解决USB识别问题
04-15
vmware esxi 虚拟机解决USB识别问题
虚拟机下Linux 识别U盘
11-30
第一种方法是,在主系统中弹出 U 盘,然后点击虚拟系统界面,将活动光标置于虚拟系统中,等待虚拟机识别 U 盘。第二种方法是,在虚拟机界面的 VM 菜单选项中设置。 一旦虚拟机识别 U 盘,我们就可以挂载 U 盘了。...
检测当前环境是否是虚拟机
sunjiaoya的博客
07-30 5437
虚拟机检测技术--检测当前环境是否是虚拟机
虚拟机检测技术
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
05-05 2983
第一次尝试恶意代码分析就遇到了虚拟机检测,于是就想着先学习一下检测的技术然后再尝试绕过。学习后最终发现,似乎最好的方法不应该是去patch所有检测方法,而是直接调试并定位检测函数再绕过。但既然已经研究了两天,索性将收集到的资料整理一下,方便后人查找。
虚拟机检测技术剖析
xumaojun的专栏
09-29 1371
作者:riusksk (泉哥) 主页:http://riusksk.blogbus.com 前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用 越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统
一个菜鸡的免杀之路(一)
m0_59598029的博客
09-09 92
作为一个web狗,对免杀这块是一直没办法深入学习,在恶补了些二进制基础后,开启了我的免杀之路(doge)
检测虚拟机环境(一)
溡漪幽博客
10-24 1038
虚拟机环境的检测有多种方法,这里以注册表痕迹检测法为例,谈谈如何快速检测虚拟环境。
ubuntu虚拟机识别usb
最新发布
01-16
在Ubuntu虚拟机识别USB设备通常需要安装并配置虚拟机的USB驱动程序。首先,确保你的Ubuntu虚拟机已经安装了最新的VirtualBox或VMware虚拟机软件,并且你的USB设备已经插入到计算机上。 对于VirtualBox虚拟机,首先需要在主机操作系统上安装Oracle VM VirtualBox Extension Pack。然后,在VirtualBox虚拟机中选择你要连接的USB设备,并在虚拟机设置中启用USB控制器。 对于VMware虚拟机,你需要在虚拟机设置中启用USB控制器,并选择要连接的USB设备。 在启用了USB控制器之后,你可以重新启动Ubuntu虚拟机并尝试连接USB设备。在虚拟机中,你可以通过查看系统设备或使用命令行工具来确认USB设备是否被正确识别和连接。 如果USB设备没有被正确识别,你可能需要安装虚拟机的USB驱动程序或更新虚拟机软件至最新版本。此外,有时候USB设备也需要在虚拟机设置中进行额外的配置才能正确连接。 总之,要使Ubuntu虚拟机识别USB设备,你需要在主机操作系统和虚拟机软件中进行一些配置和安装工作,以确保USB控制器能够正确连接和识别外部USB设备。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C-haidragon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值