检测当前环境是否是虚拟机

已于 2023-08-16 10:40:38 修改
阅读量5.4k 收藏 8
点赞数 5
文章标签: c++ 数据结构 linux windows
于 2022-07-30 20:58:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunjiaoya/article/details/126077635
版权

1、执行特权指令检测
在x86体系中,一些指令在获取硬件相关信息时不产生异常,如sidt、sgdt、sldt、cpuid等,而VMware因为性能原因并没有虚拟这些指令,所以意味着这些指令在vm虚拟机中和物理机中运行时会返回不同的结果。

Redpill
  简单说,就是通过运行sidt指令获取IDT寄存器的值(IDT: 中断描述符表,可以简单理解为查找处理中断时所用的函数,共256项,如第3项就是我们常用的int3断点)。Redpill的作者测试说明虚拟机中的IDT地址通常位于0xFFXXXXXX,而在真实主机上位于0x80xxxxxx。所以可通过判断执行SIDT指令后返回的第一字节是否大于0xD0,判断是否在虚拟机中。同时这项技术必须满足运行在单核处理器上,因为每个核心只有一个IDT表如果是多核切换就很难确定具体值了

可能会因为虚拟机的升级,导致结果不一样。
2、使用cpuid指令来检测是否设置了代码正在虚拟机程序上运行的特征位,有的虚拟机可能不会设置该特征位!

bool IsVMWare()int main(int argc,char* argv[])
{
    bool bRet;

	bRet = IsVMWare();
	if (bRet) {
		printf("运行在虚拟机环境");
	}
	else
	{
		printf("运行在真实物理机环境");
	}

	getchar();

	return 0;
}
bool IsVMWare()
{
	unsigned int cpuInfo[4];
	__cpuid((int*)cpuInfo, 1);
	return ((cpuInfo[2] >> 31) & 1) == 1;
}

3、LDT(局部描述符表)
sgdt与sldt指令探测技术,依赖于LDT(局部描述符表)由处理器分配而非操作系统分配的事实。因为Windows正常情况下不使用LDT,但VM提供了LDT的虚拟化支持,结果就是:真机中LDT位置为0,而在虚拟机,不为0。同时对于GTR,虚拟机中应为0xFFXXXXXX , 否则为真机。

inline bool IsVirtualPC_LDTCheck()
{
	unsigned short ldt_addr = 0;
	unsigned char ldtr[2];

	_asm sldt ldtr
	ldt_addr = *((unsigned short *)&ldtr);
	return ldt_addr != 0x00000000;
}

4、注册表检测

inline bool DetectVM()
{
	HKEY hKey;

	char szBuffer[64];

	unsigned long hSize = sizeof(szBuffer)-1;

	if (RegOpenKeyEx(HKEY_LOCAL_MACHINE, "HARDWARE\\DESCRIPTION\\System\\BIOS\\", 0, KEY_READ, &hKey) == ERROR_SUCCESS)
	{

		RegQueryValueEx(hKey, "SystemManufacturer", NULL, NULL, (unsigned char *)szBuffer, &hSize);

		if (strstr(szBuffer, "VMWARE"))
		{
			RegCloseKey(hKey);
			return true;
		}

		RegCloseKey(hKey);
	}

	return false;
}

5、GDT检测

inline bool IsVirtualPC_GDTCheck()
{
	unsigned int gdt_addr = 0;
	unsigned char gdtr[6];

	_asm sgdt gdtr
	gdt_addr = *((unsigned int *)&gdtr[2]);
	return (gdt_addr >> 24) == 0xff;
}

6、TSS检测

inline bool IsVirtualPC_TSSCheck()
{
	unsigned char mem[4] = { 0 };

	__asm str mem;
	return (mem[0] == 0x00) && (mem[1] == 0x40);
}

7、I/O通信端口检测
原理:使用IN指令来读取特定端口的数据进行两机通讯,但由于IN指令属于特权指令,在处于保护模式下的真机上执行此指令时,除非权限允许,否则将会触发类型为"EXCEPTION_PRIV_INSTRUCTION"的异常,而在虚拟机中并不会发生异常,在指定功能号为0xA/10(获取VMware版本)时,会在EBX中返回其版本号“VMXH”;而当功能号为0x14时,可用于获取VMware内存大小,当大于0时则说明处于虚拟机中。代码分析如下:

//查询I/O通信端口
BOOL CheckVMWare1()
{
        BOOL bResult = TRUE;
        __try
        {
                __asm
                {
                        push   edx
                        push   ecx
                        push   ebx                //保存环境
                        mov    eax, 'VMXh'
                        mov    ebx, 0             //将ebx清零
                        mov    ecx, 10            //指定功能号,用于获取VMWare版本,为0x14时获取VM内存大小
                        mov    edx, 'VX'          //端口号
                        in     eax, dx            //从端口edx 读取VMware到eax
                        cmp    ebx, 'VMXh'        //判断ebx中是否包含VMware版本’VMXh’,若是则在虚拟机中
                        setz[bResult]             //为零 (ZF=1) 时设置字节
                        pop    ebx                //恢复环境
                        pop    ecx
                        pop    edx
                }
        }
        __except (EXCEPTION_EXECUTE_HANDLER)       //如果未处于VMware中,则触发此异常
        {
                bResult = FALSE;
        }
        return bResult;
}

8、枚举系统服务并匹配特定的虚拟机相关服务名称来判断
通过枚举系统服务的状态,循环遍历枚举到的服务状态,检查是否有与虚拟机相关的服务。

BOOL CheckVM()
{
	//打开系统服务控制器    
	SC_HANDLE SCMan = OpenSCManager(NULL, NULL, SC_MANAGER_ENUMERATE_SERVICE);
	if (SCMan == NULL) {
		//cout << GetLastError() << endl;
		//printf("OpenSCManager Eorror/n");
		return FALSE;
	}

	//保存系统服务的结构  
	LPENUM_SERVICE_STATUSA service_status;
	DWORD cbBytesNeeded = NULL;
	DWORD ServicesReturned = NULL;
	DWORD ResumeHandle = NULL;
	service_status = (LPENUM_SERVICE_STATUSA)LocalAlloc(LPTR, 1024 * 64);
	if (service_status == nullptr)
		return FALSE;

	//获取系统服务的简单信息    
	bool ESS = EnumServicesStatusA(SCMan, //系统服务句柄    
		SERVICE_WIN32, //服务的类型    
		SERVICE_STATE_ALL,  //服务的状态    
		(LPENUM_SERVICE_STATUSA)service_status,  //输出参数,系统服务的结构    
		1024 * 64,  //结构的大小    
		&cbBytesNeeded, //输出参数,接收返回所需的服务    
		&ServicesReturned, //输出参数,接收返回服务的数量    
		&ResumeHandle); //输入输出参数,第一次调用必须为0,返回为0代表成功    
	if (ESS == NULL) {
		//printf("EnumServicesStatus Eorror/n");
		return FALSE;
	}

	const char* vms[] = { 
		"VMware Tools", 
		"VMware 物理磁盘助手服务",
		"VirtualBox Guest",
		"Virtual Machine",
	};

	for (uint32_t i = 0; i < ServicesReturned; i++) {

		for (int n = 0; n < ARRAYSIZE(vms); n++) {

			if (strstr(service_status[i].lpDisplayName, vms[n]) != NULL)
				return TRUE;
		}
	}

	if (service_status != nullptr)
		LocalFree(service_status);
  
	CloseServiceHandle(SCMan);

	return FALSE;
}
远方的白桦树
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
检测程序是否在虚拟机运行的两种方法
hnlwt的专栏
04-05 1万+
最近在项目中遇到一个虚拟机检测的问题,需要检测当前程序是否在虚拟机运行。 关于虚拟机检测方法有很多,网上也能搜索到很多相关的 相信很多程序狗很可能也会遇到相同的问题
VM虚拟机检测全套工具
08-01
工具包含Se VMP TMD等等..
虚拟机检测技术
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
05-05 2958
第一次尝试恶意代码分析就遇到了虚拟机检测,于是就想着先学习一下检测的技术然后再尝试绕过。学习后最终发现,似乎最好的方法不应该是去patch所有检测方法,而是直接调试并定位检测函数再绕过。但既然已经研究了两天,索性将收集到的资料整理一下,方便后人查找。
VMware虚拟化平台巡检:详细规范与实操技巧
最新发布
ewii12567的博客
04-15 895
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…多个主机之间是否有不同的网卡数量,虚拟交换机数量,不同类型的端口组,网卡速度/全双工,网卡的制造商是否相同,虚拟交换机和端口组命名是否一致,物理网卡在主机上的摆放顺序是否相同。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
虚拟机基础篇-过鲁大师检测
qq_54001206的博客
10-02 2566
可以看到很多个vmware的标志,这就是最基础的虚拟机检测了,这里也就是比较浅的过鲁大师,过鲁大师应该是选中那个生成报表,文本中没有vm标志才算过鲁大师基础第一步,还不算细节的硬件仿真(硬件仿真的意思不是vm改了就是仿真了,是参照真实的硬件进行修改,和物理主机有一样的参数,才算是硬件仿真)打开虚拟机安装目录的x64目录的vmware-vmx.exe文件,这就是业内说的虚拟机底层,虚拟机的硬件信息就在这文件中,修改其中的硬件信息以达到欺骗软件的目的,话不多说,开干。可以看到,显示器是没有的,现在打开虚拟机
VMware虚拟机检测详细教程,巨全面,小白专享教程
热门推荐
qq_54001206的博客
08-28 4万+
虚拟机检测,修改硬件,解除机器码,流畅稳定多开游戏
检测虚拟机环境(一)
溡漪幽博客
10-24 985
虚拟机环境检测有多种方法,这里以注册表痕迹检测法为例,谈谈如何快速检测虚拟环境
如何判断一台机器是物理机还是虚拟机?
哈维敖尔的博客
05-12 6853
使用powershell命令:get-wmiobject win32_computersystem | fl model。在CMD里输入:Systeminfo | findstr /i "System Model"如果System Model:后面含有Virutal就是虚拟机,其他都是物理机。如果输出为none,则说明是物理机,输入其它则是虚拟机。看Product Name字段。
检测是否在虚拟机运行
06-04
本文将详细介绍如何使用C语言编写程序来检测当前系统是否在VMware或Virtual PC这样的虚拟机运行。 首先,我们要了解虚拟机通常会留下一些特有的硬件或软件痕迹,这些痕迹可以被用来识别其存在。例如,虚拟机可能...
易语言汇编检测虚拟机
07-15
在易语言的上下文中,汇编检测虚拟机可能被用来确保程序只在真实的物理设备上运行,或者是为了检测是否存在异常的运行环境,以提高程序的稳定性和安全性。 "取CPU运行时间"是检测系统状态的一个常见方法,它可以...
虚拟机检测软件
10-24
虚拟机检测软件是一种专门用于检查计算机系统是否支持安装和运行虚拟机的工具。在IT行业中,虚拟化技术已经成为一种常见的解决方案,它允许在一个物理主机上同时运行多个独立的虚拟环境,每个环境都像一个独立的操作...
检测虚拟机模块源码-易语言
06-11
在学习和分析“检测虚拟机.e”这个源码文件时,我们主要关注虚拟机检测的实现,这可能涉及到识别当前环境是否运行虚拟机中,这通常通过检查硬件特征、操作系统行为或其他可识别的线索来完成。例如,检查CPUID指令...
识别是否在虚拟机运行的源码
05-11
1. **虚拟机识别**:虚拟机识别是指通过各种方法判断当前操作系统或进程是否运行虚拟机上。这是因为虚拟机通常会在硬件层面上留下特定的痕迹,如CPU ID、硬件配置、驱动签名等。代码可以通过检查这些特征来确定...
.net 判断程序是否运行虚拟机上(方法1)
fhl812432059的专栏
04-13 2462
判断程序是否运行虚拟机上,使用VmDetectLibrary.dll
.net 判断程序是否运行虚拟机上 (方法2)
fhl812432059的专栏
04-20 2471
虚拟机的硬盘ID以WMware开头,根据这个进行判断!
虚拟机内部,服务状态应该如何检查?
m0_48845290的博客
09-15 860
systemctl status:该命令用于显示虚拟机内部的服务状态,包括已启动的服务、正在运行的服务等。journalctl -u 服务名:该命令用于查看虚拟机内部的日志信息,包括服务的运行情况、错误信息等。netstat -s:该命令用于显示虚拟机内部的网络统计信息,包括TCP/IP连接状态、接口状态等。netstat -an:该命令用于显示虚拟机内部的网络连接状态,包括已建立的连接、监听的端口等。ss -s:该命令用于显示虚拟机内部的套接字连接状态,包括已建立的连接、监听的端口等。
虚拟机环境检测
2302_76827504的博客
04-28 627
想要触发这里(没成功,虽然成功完成了SCSI_COMMAND,但是在所有与scsi相关的函数下断,没能断下,很奇怪,望了解的师傅指点下)。dmidecode指令可以获取系统硬件相关的一些信息,原理是将DMI数据库信息解码,输出的信息包括BIOS、系统、主板、处理器、内存、缓存等。而相应的,病毒如何判断自己在虚拟环境还是真实设备也显得重要(可以调整自己的行为,规避查杀)。虚拟技术是云计算的基础,而针对当前的虚拟化环境的安全检测。虚拟的一些设备和真实物理主机设备信息有些差异,可以通过一些特殊指令获得相关信息。
js检测是否是虚拟机或者是自动化工具
weixin_45791806的博客
12-04 550
【代码】js检测是否是虚拟机或者是自动化工具。
window系统中如何判断是物理机还是虚拟机及VMPROTECT无法检测云主机
chengg0769 平淡无奇见真知
08-27 1476
1. 用systeminfo的系统型号。(注,有资料是看处理器和bios。看系统型号准确一些)在任务管理器》性能中查看“逻辑处理器”还是“虚拟处理器”。虚拟机,看“是“、”否”。
C/C++实现通过监控系统调用判断是否是虚拟机环境
05-25
可以通过监控系统调用来判断当前运行环境是否为虚拟机。在C/C++语言中,可以使用ptrace函数来监控系统调用,具体步骤如下: 1. 使用ptrace函数attach到当前进程。 2. 使用waitpid函数等待被监控的系统调用。 3. 使用peekuser函数获取寄存器值,判断是否为系统调用号。 4. 如果是系统调用,使用ptrace函数获取系统调用参数。 5. 判断系统调用参数中是否存在虚拟机相关的字符串或特征。 6. 如果检测到了虚拟机相关的字符串或特征,说明当前运行环境虚拟机。 以下是一个简单的C/C++代码示例: ```c++ #include <sys/ptrace.h> #include <sys/wait.h> #include <sys/user.h> #include <unistd.h> #include <stdio.h> #include <stdlib.h> #include <string.h> int main() { pid_t pid = getpid(); int status; struct user_regs_struct regs; long syscall_no, syscall_arg1, syscall_arg2, syscall_arg3; if (ptrace(PTRACE_ATTACH, pid, NULL, NULL) == -1) { perror("ptrace attach"); exit(1); } waitpid(pid, &status, 0); while (WIFSTOPPED(status)) { if (ptrace(PTRACE_GETREGS, pid, NULL, &regs) == -1) { perror("ptrace getregs"); exit(1); } syscall_no = regs.orig_rax; syscall_arg1 = regs.rdi; syscall_arg2 = regs.rsi; syscall_arg3 = regs.rdx; if (syscall_no == SYS_write) { char buf[1024]; ptrace(PTRACE_PEEKDATA, pid, syscall_arg2, &buf); if (strstr(buf, "VirtualBox") != NULL || strstr(buf, "VMware") != NULL) { printf("Detected virtual machine environment.\n"); break; } } if (ptrace(PTRACE_SYSCALL, pid, NULL, NULL) == -1) { perror("ptrace syscall"); exit(1); } waitpid(pid, &status, 0); } ptrace(PTRACE_DETACH, pid, NULL, NULL); return 0; } ``` 该代码会监控系统调用write,并检查write的第二个参数中是否包含"VirtualBox"或"VMware"字符串,如果包含则说明当前环境虚拟机

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值