虚拟机检测手段

最新推荐文章于 2024-06-24 03:03:29 发布
最新推荐文章于 2024-06-24 03:03:29 发布
阅读量943 收藏 1
点赞数
文章标签: 运维 操作系统
原文链接:http://www.cnblogs.com/zUotTe0/p/11184385.html
版权

  学习一下虚拟机检测的手段,在网上找了一些,练习一下,顺便学习一下涉及的其他知识。
  但是由于现在虚拟机技术愈发大的发展,虚拟机检测技术作用也愈发的小了,然而学以致用,或许在其他方面有所帮助。

代码编辑时的配置:
  UNICODE字符集;
  VS2015 WinXP平台;
  静态编译。

  或许由于调用过多CRT函数,编译出来的程序体积约几百Kb。

  部分虚拟机的检测方法对现在的虚拟机系统不起作用,但还是记录一下,使用方式涉及的知识可以了解一下。

/*
各种虚拟机探测方法练习
*/

//#include "windows.h"
#include "stdio.h"
#include "Winsock2.h"
#include "IPHlpapi.h"
#include "tlhelp32.h"
#pragma comment(lib, "iphlpapi.lib")  // GetAdaptersAddresses

/* 
通过执行特权指令探测Vmware 
因为在虚拟机中指定功能号0xa则会从指定端口获取虚拟机版本信息到指定的目的操作数地址
另外0x14则是获取虚拟机内存大小,当获取的值大于0说明在虚拟机中*/
BOOL detectVmwareByPrivilegeAsmInstruction() {

    BOOL rv = FALSE;
    //DWORD val = 0, val_1 = 0;
    __try {
        __asm {
            pushad
            mov eax, 'VMXh' // magic value
            mov ebx, 1      // 设置未非'VMXh'值,接收in指令的返回值(VMware 版本)
            // 如果程序运行在虚拟机中,magic值将被移至ebx中
            // https://www.aldeid.com/wiki/VMXh-Magic-Value
            mov ecx, 0ah    //功能号
            mov edx, 'VX'   //端口号
            in eax, dx
            /*mov val, eax
            mov val_1, ebx*/
            cmp ebx, 'VMXh'
            setz [rv]
            popad
        }
    }
    __except (EXCEPTION_EXECUTE_HANDLER) {  // 不在虚拟机中则触发异常
        rv = FALSE;
    }
    //printf_s("%#x   %#x\n", val, val_1);
    return rv;
}

/*
通过IDT基址来判断虚拟机,
RedPill作者发现在Vmware虚拟机上的IDT地址高字节通常为0xff;VirtualPC则是0ze8;
在真是主机上通常为0x80。因此redpill利用判断执行SIDT指令后返回的第一个字节是否大于0xd0来确定是否程序是否运行于虚拟机中
typedef struct
{
    WORD IDTLimit;      // IDT的大小
    WORD LowIDTbase;    // IDT的低位地址
    WORD HiIDTbase;     // IDT的高位地址
} IDTINFO;
但是需满足机器上只有一个处理器,多核
而且经过测试似乎对于最近版本VMware(测试环境是VM 12.0,Winxp sp3)无效*/
BOOL detectVmByIDTBaseAddr() {
    /*\x0f\x01\x0d为sidt指令,\xc3 为 ret;相当于
    sidt[pos]
    retn*/
    unsigned char m[2+4], rpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3";
    *((unsigned*)&rpill[3]) = (unsigned)m;  // 设置读取的 sidt 地址保存位置地址
    DWORD oldProtec = NULL;
    VirtualProtect(rpill, sizeof(rpill), PAGE_EXECUTE_READWRITE, &oldProtec);
    ((void(*)())&rpill)();  //执行 rpill 指令
    VirtualProtect(rpill, sizeof(rpill), oldProtec, &oldProtec);

    printf_s("\tidt base address: %#x\n", *(DWORD*)&m[2]);  // idt前两个字节为idt大小
    if (m[5] > 0xd0)
        return TRUE;
    return FALSE;
}

/*虚拟机中的GDT(全局描述表)和LDT(本地描述表)与这真实主机中的基址并不相同
可以通过SGDT和SLDT指令获取;
LDT基址位于0x0000(两个字节)时为真实主机,否则为虚拟机;GDT位于0xffxxxxxx(四个字节)说明位于虚拟机中,反之真实主机*/
BOOL detectVmByGDTAndLDTBaseAddr() {
    INT cnt = 0;

    /*LDT
    经过测试,目前的方法得到的值 LDT base 同样为0x0000,所以无效*/
    WORD ldtBase = 0;
    __asm sldt ldtBase
    printf("\tLDT base address: %#x\n", ldtBase);
    if (ldtBase)
        cnt++;

    /*GDT
    同样无效*/
    CHAR gdt[6];
    __asm sgdt gdt
    DWORD gdtBase = *(unsigned int*)&gdt[2];
    printf("\tGDT base address: %#x\n", gdtBase);
    if (gdt[2] == 0xff)
        cnt++;

    if (cnt > 0)
        return TRUE;
    
    return FALSE;
}

/*
通过STR指令获取TSS(task state segment)的段选择器;虚拟机中,读取的地址往往为0x0040xxxx,
否则为真实主机*/
BOOL detectVmBySTRGetTSSbase() {
    
    char tssSeg[4] = { 0 };

    /*测试无效*/
    __asm str tssSeg
    printf("\tGet base address base address: 0x");
    for (int i = 0; i < 4; i++)
        printf("%02x", tssSeg[i]);
    printf("\n");

    if(tssSeg[0] == 0x00 && tssSeg[1] == 0x40)
        return TRUE;
    return FALSE;
}

/*
通过在注册表中查找和VMware的虚拟硬件或VMwareTools等相关表项进行判别,
可以通过在注册表中搜索VMware或VMware Tool等关键词查找路径*/
BOOL detectVmByReg() {

    /*测试HKEY_CLASSES_ROOT\Applications\VMwareHostOpen.exe项*/
    HKEY phKey;
    if (ERROR_SUCCESS == RegOpenKey(HKEY_CLASSES_ROOT, L"Applications\\VMwareHostOpen.exe", &phKey))
        return TRUE;

    return FALSE;
}

/*
由于指令在虚拟机中执行速度远远不如宿主机中的,可以根据指令执行的时间差来识别;
通过 'rdtsc' 指令可以将计算机启动以来的CPU运行周期( time-stamp counter)读至edx:eax;
 time-stamp counter存在一个64-bit MSR中。
 获取之后,高32 bits放入edx,低32 bits则是在eax中。
 比如xchg指令,在宿主机中测试运行之后明显远远小于在虚拟机中的时间*/
BOOL detectVmByTimeInterval() {

    BOOL retu = FALSE;
    CHAR prin[] = "\ttime interval: %#x\n";
    __asm {
        pushad
        rdtsc
        xchg eax, ecx
        rdtsc
        sub eax, ecx
        push eax
        push eax
        lea edx, prin
        push edx
        call ds:printf
        add esp, 0x8
        pop eax
        cmp eax, 0xff
        popad
        jb BACK
        mov retu, 1
    }
BACK:
    return retu;
}

/*
mac地址的前3个字节标识网络硬件制造商;
相同虚拟机软件中虚拟机的mac地址往往是相同的或者不变的,可以根据这个来识别虚拟机*/
BOOL detectVmByMacAddress() {
    BOOL flag = FALSE;
    CHAR buff[20] = { 0 };
    CONST ULONG MAX_TIMES = 3;

    ULONG family = AF_UNSPEC;   // both ipv4 and ipv6
    ULONG flags = GAA_FLAG_INCLUDE_PREFIX;
    ULONG size = (ULONG)sizeof(IP_ADAPTER_ADDRESSES);
    PIP_ADAPTER_ADDRESSES pAdapterAddress = NULL;

    ULONG val = 0, ite = 0;
    do {
        pAdapterAddress = (PIP_ADAPTER_ADDRESSES)malloc(size);
        if (pAdapterAddress == NULL) {
            printf("Alloc Memory Failed!\n");
            return FALSE;
        }
        val = GetAdaptersAddresses(family, flags, 0, pAdapterAddress, &size);

        if (val == ERROR_BUFFER_OVERFLOW) {
            free(pAdapterAddress);
            pAdapterAddress = NULL;
        }
    } while ((val == ERROR_BUFFER_OVERFLOW) && (ite++<MAX_TIMES));
    /*尝试一定次数,因为可能会出现分配空间不足,见https://docs.microsoft.com/zh-cn/windows/win32/api/iphlpapi/nf-iphlpapi-getadaptersaddresses#parameters*/

    if (val == ERROR_SUCCESS) {
        ite = 0;
        while(pAdapterAddress){
            printf_s("\tAdapter #%d MAC addr:", ite);
            if (pAdapterAddress->PhysicalAddressLength != 0) {
                sprintf_s(buff, "%02x-%02x-%02x-%02x-%02x-%02x", pAdapterAddress->PhysicalAddress[0],
                    pAdapterAddress->PhysicalAddress[1], pAdapterAddress->PhysicalAddress[2], 
                    pAdapterAddress->PhysicalAddress[3], pAdapterAddress->PhysicalAddress[4], 
                    pAdapterAddress->PhysicalAddress[5]);
                if (!wcsstr(pAdapterAddress->Description, L"VMnet")) {  // 排除可能是宿主机中虚拟网卡的情况
                    printf_s("%s", buff);
                    buff[8] = 0;
                    if (!strcmp(buff, "00-05-69") || !strcmp(buff, "00-0c-29") || !strcmp(buff, "00-50-56") || /*VMware*/
                        !strcmp(buff, "00-03-ff") ||  /*VirtualPC*/
                        !strcmp(buff, "08-00-27")  /*VirtualBox*/
                        ) { 
                        flag = TRUE;
                    }
                }
                else printf("VmNet");
                printf_s("\n");
            }
            else printf_s("\n");
            pAdapterAddress = pAdapterAddress->Next;
            ite++;
        }
    }
    else {
        free(pAdapterAddress);
        pAdapterAddress = NULL;
    }
    return flag;
}

/*
通过判断Vm相关的进程进行判断,比如Vmware中的vmtoolsd.exe,
但是有时候进程并未在执行可能无法获取*/
BOOL detectVmByVMProcess() {

    BOOL flag = FALSE;
    WCHAR detecProc[] = L"vmtoolsd.exe";
    PROCESSENTRY32 pe32;
    HANDLE hSnapshot = NULL;
    hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hSnapshot == INVALID_HANDLE_VALUE) {
        printf_s("\tCreateToolhelp32Snapshot Failed!!");
        return FALSE;
    }
    pe32.dwSize = sizeof(PROCESSENTRY32); //调用前必须设置结构体中的dwSize为PROCESSENTRY32结构体的大小
    if (Process32First(hSnapshot, &pe32)) {
        do {
            if (!wcscmp(pe32.szExeFile, detecProc)) {
                printf_s("\trunning process:%ws\n", pe32.szExeFile);
                flag = TRUE;
                break;
            }
            //printf_s("\t%ws\n", pe32.szExeFile);
        } while (Process32Next(hSnapshot, &pe32));
    }
    CloseHandle(hSnapshot);
    return flag;
}

int main(int argc, char* argv[]) {

    BOOL flag = FALSE;

    /*通过执行特权指令实现探测 vmware*/
    printf("== detect by run `in` I/O instruction:\n");
    if (flag = detectVmwareByPrivilegeAsmInstruction())
        printf("\t\t[yes] detect vmware !\n\n");
    else 
        printf("\t\t[no] nothing found !\n\n");

    flag = false;
    /*使用idt基址检测虚拟机*/
    printf("=[x][invalid method now]= detect by retrieve idt base:\n");
    if (flag = detectVmByIDTBaseAddr()) 
        printf("\t\t[yes] detected vm !\n\n");
    else 
        printf("\t\t[no] nothing found !\n\n");

    flag = false;
    /*根据GDT和LDT基址检测虚拟机*/
    printf("=[x][invalid method now]= detect by retrieve idt base:\n");
    if (flag = detectVmByGDTAndLDTBaseAddr())
        printf("\t\t[yes] detected vm !\n\n");
    else
        printf("\t\t[no] nothing found !\n\n");

    flag = false;
    /*运行STR(非特权)指令,获取TR(任务寄存器)中的端选择器,虚拟机和真实主机之间是不同的。
    当地址等于0x0040xxxx时,说明处于虚拟机中;否则为真实主机*/
    printf("=[x][invalid method now]= detect by retrieve TSS base:\n");
    if (flag = detectVmBySTRGetTSSbase())
        printf("\t\t[yes] detected vm !\n\n");
    else
        printf("\t\t[no] nothing found !\n\n");

    flag = false;
    /*通过检测虚拟机注册表和Vmware相关的表项判别*/
    printf("== detect by register:\n");
    if (flag = detectVmByReg())
        printf("\t\t[yes] detected vm !\n\n");
    else
        printf("\t\t[no] nothing found !\n\n");

    flag = false;
    /*由于指令在虚拟机中执行速度远远不如宿主机中的,可以根据此来识别*/
    printf("== detect by instruction execute interval:\n");
    if (flag = detectVmByTimeInterval())
        printf("\t\t[yes] detected vm !\n\n");
    else
        printf("\t\t[no] nothing found !\n\n");

    flag = false;
    /*通过虚拟机mac地址的前3字节(网络硬件制造商编号)进行判别*/
    printf("== detect by MAC address:\n");
    if (flag = detectVmByMacAddress())
        printf("\t\t[yes] detected vm !\n\n");
    else
        printf("\t\t[no] nothing found !\n\n");

    flag = false;
    /*通过进程中是否有VM相关进程在执行,进行判别*/
    printf("== detect by Vm process:\n");
    if (flag = detectVmByVMProcess())
        printf("\t\t[yes] detected vm !\n\n");
    else
        printf("\t\t[no] nothing found !\n\n");

    return 0;
}

参考文章:
  [1].详解反虚拟机技术
  [2].虚拟机检测技术剖析

转载于:https://www.cnblogs.com/zUotTe0/p/11184385.html

weixin_30500289
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
虚拟机检测
07-05 2158
hypervisor.cpuid.v0 = "FALSE" board-id.reflectHost = "TRUE" hw.model.reflectHost = "TRUE" serialNumber.reflectHost = "TRUE" smbios.reflectHost = "TRUE" SMBIOS.noOEMStrings = "TRUE" isolatio...
VM虚拟机检测全套工具
08-01
工具包含Se VMP TMD等等..
虚拟机检测技术
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
05-05 3051
第一次尝试恶意代码分析就遇到了虚拟机检测,于是就想着先学习一下检测的技术然后再尝试绕过。学习后最终发现,似乎最好的方法不应该是去patch所有检测方法,而是直接调试并定位检测函数再绕过。但既然已经研究了两天,索性将收集到的资料整理一下,方便后人查找。
mir2传奇ESP插件过检测VMware虚拟机电脑windows系统成品
最新发布
软件技术教程
06-24 513
如果想运行某个软件可以帮测试后再下载,自己项目游戏安装包太大就没法都去测试,自己看好了合适就下载!传奇ESP插件检测虚拟机会蓝屏或者死机,最新虚拟机可以运行mir2传奇esb,不蓝屏。虚拟机检测 过强壳 VMP SE TP GK 去虚拟化,虚拟机去虚拟化成品系统,可以帮助用户去除虚拟机系统中的虚拟标识。很多的用户会在虚拟机中安装测试使用一些软件游戏,但是很多的软件游戏也会针对这种情况,做出安装环境的检测,一旦检测虚拟机环境就无法正常运行。pci,主板,显卡,硬盘。cpu,usb等都不带虚拟标识!
检测虚拟机环境(一)
溡漪幽博客
10-24 1130
虚拟机环境的检测有多种方法,这里以注册表痕迹检测法为例,谈谈如何快速检测虚拟环境。
VMware虚拟机检测详细教程,巨全面,小白专享教程
热门推荐
qq_54001206的博客
08-28 4万+
虚拟机检测,修改硬件,解除机器码,流畅稳定多开游戏
虚拟机基础篇-过鲁大师检测
qq_54001206的博客
10-02 2811
可以看到很多个vmware的标志,这就是最基础的虚拟机检测了,这里也就是比较浅的过鲁大师,过鲁大师应该是选中那个生成报表,文本中没有vm标志才算过鲁大师基础第一步,还不算细节的硬件仿真(硬件仿真的意思不是vm改了就是仿真了,是参照真实的硬件进行修改,和物理主机有一样的参数,才算是硬件仿真)打开虚拟机安装目录的x64目录的vmware-vmx.exe文件,这就是业内说的虚拟机底层,虚拟机的硬件信息就在这文件中,修改其中的硬件信息以达到欺骗软件的目的,话不多说,开干。可以看到,显示器是没有的,现在打开虚拟机
编程实现虚拟机检测
07-12
根据给定的信息,本文将详细解析“编程实现虚拟机检测”的相关知识点,包括代码解读、原理分析以及实际应用等。 ### 一、虚拟机检测原理概述 虚拟机检测技术主要涉及计算机安全领域,用于判断当前运行环境是否为...
虚拟机检测技术剖析
04-12
虚拟机检测技术对于恶意软件开发者来说,是一种提高其代码隐蔽性和生存能力的手段。同时,对于安全分析师而言,了解这些检测方法有助于开发更有效的反检测策略,提高恶意软件分析的效率和准确性。随着虚拟化技术的...
易语言汇编检测虚拟机
07-15
3. 虚拟机检测:通过特定的技术手段判断程序是否在虚拟机环境下运行。 4. CPU运行时间:通过读取CPU寄存器或系统调用获取当前时间,用于计算程序执行时间或检测环境。 5. 时间间隔计算:比较两次获取的CPU时间,用于...
一个 Android 虚拟机检测
04-06
Android虚拟机检测库,如标题所述,是一种技术手段,用于识别和防止应用程序在未经许可的Android虚拟机环境中运行。这个库由开发者bunnyblue创建,名为AntiVM,旨在保护App的安全性和知识产权,防止它们被非法模拟或...
检测虚拟机
06-24
虚拟机检测通常基于以下几个方面: 1. **硬件标识**:物理机器上的硬件信息,如BIOS版本、CPUID、硬盘序列号等,在虚拟机中可能会有特殊的模式或者不一致。例如,虚拟机的CPUID可能包含特定的虚拟化扩展标识,如...
恶意样本分析手册-虚拟机检测篇(下)
zzkk_的博客
08-14 4664
在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。 虚拟机检测 一、VMWare 1.1查找注册表 通过检测注册表“HARDWARE\DEVICE
检测当前环境是否是虚拟机
sunjiaoya的博客
07-30 5487
虚拟机检测技术--检测当前环境是否是虚拟机
虚拟机检测技术***
weixin_34380781的博客
08-27 128
前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(VirtualMachine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware,VirtualPC,VirtualB...
检测虚拟机环境的常见技术
溡漪幽博客
03-10 511
本文介绍常见的检测虚拟机环境的技术
虚拟机环境检测
2302_76827504的博客
04-28 649
想要触发这里(没成功,虽然成功完成了SCSI_COMMAND,但是在所有与scsi相关的函数下断,没能断下,很奇怪,望了解的师傅指点下)。dmidecode指令可以获取系统硬件相关的一些信息,原理是将DMI数据库信息解码,输出的信息包括BIOS、系统、主板、处理器、内存、缓存等。而相应的,病毒如何判断自己在虚拟环境还是真实设备也显得重要(可以调整自己的行为,规避查杀)。虚拟技术是云计算的基础,而针对当前的虚拟化环境的安全检测。虚拟的一些设备和真实物理主机设备信息有些差异,可以通过一些特殊指令获得相关信息。
VMware虚拟化平台巡检:详细规范与实操技巧
ewii12567的博客
04-15 998
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…多个主机之间是否有不同的网卡数量,虚拟交换机数量,不同类型的端口组,网卡速度/全双工,网卡的制造商是否相同,虚拟交换机和端口组命名是否一致,物理网卡在主机上的摆放顺序是否相同。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
虚拟机检测防御策略:Liston & Skoudis指南
文档深入解析了各种常见的虚拟机检测手段,例如: 1. **行为分析**:通过监测应用程序(Apps)执行的特定操作和异常行为,判断是否在虚拟环境中运行。这可能涉及到文件系统访问模式、进程间通信、网络流量等。 2. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值