检测是否在虚拟机中

   如何检测是否在虚拟机中，网上的代码一般都是检测虚拟机特性进行。原理就是通过汇编指令，引起异常。主要代码如下：

// IsInsideVPC's exception filter
DWORD __forceinline IsInsideVPC_exceptionFilter(LPEXCEPTION_POINTERS ep)
{
  PCONTEXT ctx = ep->ContextRecord;

  ctx->Ebx = -1; // Not running VPC
  ctx->Eip += 4; // skip past the "call VPC" opcodes
  return EXCEPTION_CONTINUE_EXECUTION; // we can safely resume execution since we skipped faulty instruction
}

// high level language friendly version of IsInsideVPC()
bool IsInsideVPC()
{
  bool rc = false;

  __try
  {
    _asm push ebx
    _asm mov  ebx, 0 // Flag
    _asm mov  eax, 1 // VPC function number

    // call VPC
    _asm __emit 0Fh
    _asm __emit 3Fh
    _asm __emit 07h
    _asm __emit 0Bh

    _asm test ebx, ebx
    _asm setz [rc]
    _asm pop ebx
  }
  // The except block shouldn't get triggered if VPC is running!!
  __except(IsInsideVPC_exceptionFilter(GetExceptionInformation()))
  {
  }

  return rc;
}

bool IsInsideVMWare()
{
  bool rc = true;

  __try
  {
    __asm
    {
      push   edx
      push   ecx
      push   ebx

      mov    eax, 'VMXh'
      mov    ebx, 0 // any value but not the MAGIC VALUE
      mov    ecx, 10 // get VMWare version
      mov    edx, 'VX' // port number

      in     eax, dx // read port
                     // on return EAX returns the VERSION
      cmp    ebx, 'VMXh' // is it a reply from VMWare?
      setz   [rc] // set return value

      pop    ebx
      pop    ecx
      pop    edx
    }
  }
  __except(EXCEPTION_EXECUTE_HANDLER)
  {
    rc = false;
  }

  return rc;
}

 

当然了用这种方法是可以躲避掉的。例如vmware吧，在虚拟机配置中添加isolation.tools.getVersion.disable = "TRUE"，这样就可以躲避虚拟机种的检测了。因而在某些场合是不奏效的。但是虚拟机毕竟是虚拟的，它们并没有完全的模拟硬件上的特性。因而可以从获取硬件特性来判断是否在虚拟机中。我这里就介绍一种方法，就是获取dmi信息中的system信息。这个信息中有包含虚拟机都设置了自己的东西，其中一点共同的特点就是porduct字段中都有virtual。因而通过字符串操作就可以判断是否在vm中。这种方法来没有检验过，因此准确性来说还是有待考验的。