虚拟机被广泛应用于malware分析应用当中,因此越来越多的病毒会尝试检测其是否在虚拟机当中。
检测的原理基本上基于差异检测,也就是虚拟机和真实机的差异。
资源差异。虚拟机需要自己虚拟化硬件系统。所以如cpuid, 网卡 mac, 硬盘信息等是固定的。
指令执行差异,由于虚拟机的bug或是特殊的实现方式,造成同一指令在虚拟机和真实机当中结果会有不同。
虚拟机被广泛应用于malware分析应用当中,因此越来越多的病毒会尝试检测其是否在虚拟机当中。
检测的原理基本上基于差异检测,也就是虚拟机和真实机的差异。
资源差异。虚拟机需要自己虚拟化硬件系统。所以如cpuid, 网卡 mac, 硬盘信息等是固定的。
指令执行差异,由于虚拟机的bug或是特殊的实现方式,造成同一指令在虚拟机和真实机当中结果会有不同。