• 虚拟机识别

    虚拟机识别


    虚拟机软件在模仿真机时会保留一些工作,例如特定的文件、进程、注册表项、服务、网络设备适配器等,通过它们可以帮助我们分辨虚拟机与真机。     检查CPU指令●CPUID 
    该指令以EAX = 1作为输入执行,返回值描述处理器功能。在物理机器上的ECX位将等于0。访客VM将等于1。
    ●"Hypervisor brand"
    通过设置EAX = 40000000,随后调用CPUID,将获得EAX,ECX,EDX中的虚拟化供应商字符串作为返回值。
    例如:Microsoft: “Microsoft HV”,VMware : “VMwareVMware”。
    ●MMX
    Intel指令集,旨在更快地处理图形应用程序。虚拟机通常不支持这些功能,因此如果不存在,可能表明程序正在VM中运行
    ●IN – "VMWare Magic Number"
    参考资料: 微机原理
    《INTEL 80386 PROGRAMMER'S REFERENCE MANUAL 1986》
    8086为了区分访问内存和外设,硬件上有一个专门的引脚M/IO,指令集中则为访问外设单独提供了in/out指令。
    《x86汇编---VGA显示》中为了关闭光标显示,有如下代码,这 两行代码读取外设 CRTC数据寄存器中的数据。
    其中0x3D5为外设端口地址

    在VMWare中,通过特定的I/O端口与主机进行通信。如果在VM中运行,下面的代码将成功执行,否则失败。
    检查已知的Mac地址
    MAC地址的前缀表示网络适配器的供应商。可以通过多种方式检索MAC地址,包括使用WMIC(wmic-> nic list)●00:05:69 (Vmware)●00:0C:29 (Vmware)●00:1C:14 (Vmware)●00:50:56 (Vmware)●08:00:27 (VirtualBox)     检查注册表
    存在以下注册表项时表明存在虚拟化软件●HKLM\SOFTWARE\Vmware Inc.\\\Vmware Tools●HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 2\Scsi Bus 0\Target Id 0\Logical Unit Id 0\Identifier●SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S●SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev●SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers     检查vm进程
    检查进程的方式很多:WMIC, Win API and CMD. WMIC (wmic -> process list), Win API (Process32First, Process32Next), and Tasklist.exe。●Vmware○Vmtoolsd.exe○Vmwaretrat.exe○Vmwareuser.exe○Vmacthlp.exe●VirtualBox○vboxservice.exe○vboxtray.exe     检查文件
    如果发现系统中存在这些文件,则表明存在虚拟化软件。检索方式:WMIC,Win API和CMD。●VMware
    C:\windows\System32\Drivers\Vmmouse.sys
    C:\windows\System32\Drivers\vm3dgl.dll
    C:\windows\System32\Drivers\vmdum.dll
    C:\windows\System32\Drivers\vm3dver.dll
    C:\windows\System32\Drivers\vmtray.dll
    C:\windows\System32\Drivers\VMToolsHook.dll
    C:\windows\System32\Drivers\vmmousever.dll
    C:\windows\System32\Drivers\vmhgfs.dll
    C:\windows\System32\Drivers\vmGuestLib.dll
    C:\windows\System32\Drivers\VmGuestLibJava.dll
    C:\windows\System32\Driversvmhgfs.dll●VirtualBox
    C:\windows\System32\Drivers\VBoxMouse.sys
    C:\windows\System32\Drivers\VBoxGuest.sys
    C:\windows\System32\Drivers\VBoxSF.sys
    C:\windows\System32\Drivers\VBoxVideo.sys
    C:\windows\System32\vboxdisp.dll
    C:\windows\System32\vboxhook.dll
    C:\windows\System32\vboxmrxnp.dll
    C:\windows\System32\vboxogl.dll
    C:\windows\System32\vboxoglarrayspu.dll
    C:\windows\System32\vboxoglcrutil.dll
    C:\windows\System32\vboxoglerrorspu.dll
    C:\windows\System32\vboxoglfeedbackspu.dll
    C:\windows\System32\vboxoglpackspu.dll
    C:\windows\System32\vboxoglpassthroughspu.dll
    C:\windows\System32\vboxservice.exe
    C:\windows\System32\vboxtray.exe
    C:\windows\System32\VBoxControl.exe     检查运行的服务
    是否正在运行以下进程,(WMIC->服务列表,sc.exe / query)●VMTools●Vmhgfs●VMMEMCTL●Vmmouse●Vmrawdsk●Vmusbmouse●Vmvss●Vmscsi●Vmxnet●vmx_svga●Vmware Tools●Vmware Physical Disk Helper Service
  • 相关阅读:
    ubuntu18.04 +CUDA11.1 + pytorch1.8.1 环境配置
    MyBatis
    html, css写一个loading
    Revit如何使用插件实现【参数同步】?
    KT148A语音芯片的下载板子导入F1A声音下载操作多次只成功一次都没有声音
    DVWA之SQL注入(盲注)
    Redis从入门到放弃(10):分布式锁
    8.spark自适应查询-AQE之自适应调整Shuffle分区数量
    字节跳动资深架构师整理2022年秋招最新面试题汇总:208页核心体系
    【Qt 6】读写剪贴板
  • 原文地址:https://blog.csdn.net/sinat_35360663/article/details/127719009