虚拟机去虚拟化及检测技术攻防

1、在当今信息安全领域，特别是恶意软件分析中，经常需要利用到虚拟机技术，以 提高病蠹分析过程的安全性以及硬件资源的节约性，因此它在恶意软件领域中是 应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine )是指通过软件 模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算 机系 统。通过虚拟机软件(比如 VMware Virtual PC ,VirtualBox ),你可以在一 台物理计算机上模拟出一台或多台虚拟的计算机，这些虚拟机完全就像真正的计算机那样进行工作，例如你可以安装操作系统、安装应用程序、访问网络资源 等等。攻击者为了提高恶意程序的隐蔽性以及破坏真实主机的

2、成功率，他们都在恶意程序中加入检测虚拟机的代码，以判断程序所处的运行环境。当发现程序处于虚拟机(特别是蜜罐系统)中时，它就会改变操作行为或者中断执行，以此提高反病蠹人员分析恶意软件行为的难度。本文主要针对基于Intel CPU的虚 拟环境VMware中的Windows XP SP3系统 进行检测分析，并歹U举出当前常见的 几种虚拟机检测方法。方法一：通过执行特权指令来检测虚拟机Vmware 为真主机与虚拟机之间提供了相互沟通的通讯机制，它使用“IN指令来读取特定端口的数据以进行两机通讯，但由于 IN指令届于特权指令，在 处于保护模式下的真机上执行此指令时，除非权限允许，否则将会触发类型为“ex

3、ception_priv_instrucTiON异常，而在虚拟机中 并不会发生异常，在 指定功能号0A (获取VMwar戒本)的情况下，它会在 EBX中返回其版本号“VMXH ;而当功能号为0x14时，可用于获取VMware内存大小，当大于0时 则说明处于虚拟机中。VMDetect正是利用前一种方法来检测 VMware的存在，其 检测代码分析如下：代码：bool IsInsideVMWare() bool rc = true; _try _asm push edx push ecx push ebx mov eax, 'VMXh' mov ebx, 0 /将ebx设置为非幻数V

4、MXH的其它值mov ecx, 10 / 指定功能号,用于获取VMWar阪本，当它为0x14时用于 获取VMware内存大小 mov edx, 'VX' /端口号 in eax, dx /从端口 dx 读取VMware版本到eax/若上面指定功能号为0x14时，可通过判断eax中的值是 否大于0,若是则说明处于虚拟机中 cmp ebx, 'VMXh' / 判断ebx 中是否包含VMwar戒本VMXh ,若是则在虚拟机 中setz rc /设置返回值pop ebxpop ecx pop edx _except(EXCEPTION_EXECUTE_HANDLER)如

5、侏未处于 VMware中，则触发此异 常 ( rc = false; return rc;测试结果：图1如图1所示，VMDetect成功检测出 VMWare勺存在。方法二：利用IDT基址检测虚拟机利用IDT基址检测虚拟机的方法是一种通用方式，对VMware和Virtual PC 均适用。中断描述符表 IDT （Interrupt Descriptor Table ）用丁 查找处理中断时所用的软件函数，它是一个由256项组成的数据，其中每一中断对应一 项函数。为了读取IDT基址，我们需要通过SIDT指令来读取IDTR （中 断描述符表寄存器，用丁 IDT在内存中的基址），SIDT指令是以如下格式

6、来存 储 IDTR的内容： 代码：typedef struct WORD IDTLimit; / IDT的大小 WORD LowIDTbase; / IDT的低位地址WORD HiIDTbase; / IDT的高位地址 IDTINFO;由丁只存在一个IDTR,但乂存在两个操作系统，即虚拟机系统和真主机 系统。为了防止发生冲突，VMM虚拟机监控器）必须更改虚拟机中的IDT地址， 利用真主机与虚拟机环境中执行sidt指令的差异即可用丁检测虚拟机是否存 在。著名的“红丸” （redpill ）正是利用此原理来检测 VMware勺。Redpill 作者在VMware±发现虚拟机系统上的IDT

7、地址通常位丁 0xFFXXXXXX而 Virtual PC 通常位丁 0xE8XXXXXX而在真实主机上正如图2所示都位丁 0x80xxxxxx。Redpill仅仅是通过判断执行SIDT指令后返回的第一字节是否大 丁 0xD0,若是则说明它 处丁虚拟机，否则处丁真实主机中。Redpill的源码甚是精简，源码分析如下:代码:#include <stdio.h>int main () ( unsigned char m2+4, rpill = "x0将 sidtaddr中 执行SIDT指令，并将读f x01x0dx00x00x00x00xc3" / 相当丁 SIDT

8、adrr,其中 addr 用丁保 存 IDT 地址 * (unsigned*)&rpill3) = (unsigned)m; / 的 addr 设为 m的地 址(void(*)()&rpill)(); / 取后IDT地址保存在数组m由丁前2字节中 printf ("idt base: %#xn", *(unsigned*)&m2); /为IDT大 小，因此从m2开始即为IDT地当IDT基址大址 if (m5>0xd0) printf ("Inside Matrix!n", m5); /丁 0xd0xxxxxx时则说明程序处丁

9、 VMware 中 else printf ("Not in Matrix.n"); return 0; 测试结果如图2所示：Windows XP SP3 - VMvrare WwkstaH四X Windows XP 5P3F由日 堀茴,E，直言-门 上JI明爪I" ”沮T， 冒口，希的: Documents and Sett Ings dm in ist rector 5 >red.pillidt beise= 0xfFcl8000. . -Inside Matrix*Lil1上 口 I"起炳页X-命令提示符图2利用此IDT检测的方法存在一个缺陷

10、，由丁 IDT的值只针对处丁正在运行 的处理器而言，在单CP5它是个常量，但当它处丁多CPLW就可能会受到影响 了，因为每个CPUP有其自己的IDT,这样问题就自然而然的产生了。针对此问 题，Offensive Computing 组织成员提出了两种应对方法，其中一种方法就是利用Redpill反复地在系统上循环执行任务，以此构造出一张当前系统的IDT值变化统计图，但这会增加 CPU负担；另一种方法就是 windows API函数 SetThreadAffinityMask() 将线程限制在单处理器上执行，当执行此测试时只能 准确地将线程执行环境限制在本地处理器，而对丁将线程限制在VM处理器上就

11、 可能行不通了，因为VM是计划在各处理器上运行的，VM线程在不同的处理器上 执行时，IDT值将会发生变 化，因此此方法也是很少被使用的。为此，有人提 出了使用LDT的检测方法，它在具有多个CPLU勺环境下检测虚拟机明显优丁 IDT 检测方法，该方法具体内容 参见下节内容。方法三：利用LDT和GDT勺检测方法在 Intel? 64 and IA-32 Architecture SoftwareDeveloper' s Manual Volume 3A: Syst em Programming Guide » 第二章的 Vol.3 2-5 一页（我的 Intel 开发 手册是20

12、08版的）中对于LDT和GDT勺描述如下（以下内容为个人翻 译）:在 保护模式下，所有的内存访问都要通过全局描述符表（GDT或者本地描述符表（LDT»才能进行。这些表包含有段描述符的调用入口。各 个段描述符都包含有 各段的基址，访问权限，类型和使用信息，而且 每个段描述符都拥有一个与之相匹配的段选择子，各个段选择子都为软件程序提供一个GD诚LDT索引（与之相关联的段描述符偏移景）， 一个全局/本地标志（决定段选择子是指向 GD您是LDT）,以及访问 权限信息。若想访问段中的某一字节，必须同时提供一个段选择子和一个偏 移H。段选择子为段提供可访问的段描述符地址 （在GDT或者LDT中）

13、。 通过段描述符，处理器从中获取段在线性地址空间里的基址，而偏移最用于确定字节地址相对基址的位置。假定处理器在当前权限级别（CPD可访问这个段，那么通过这种机制 就可以访问在GDT或LDT中的各种 有效代码、数据或者堆栈段，这里的CPL是指当前可执行代码段的保护 级别。GDT 的线性基址被保存在 GDTW存器（GDTR中，而LDT的线性 基址被保存在 LDT寄存器（LDTR中。由于虚拟机与真实主机中的 GD桥日LDT并不能相同，这与使用IDT的检测方法一样，因此虚拟机必须为它们提供一个“复制体”。关于GDTW LDT的基 址可通过SGD麻日SLDT指令获取。虚拟机检测工具Scoopy suit

14、e 的作者Tobias Klein 经测试发现，当LDT基址位于0x0000 （只有两字节）时为真实主机，否则为虚拟机，而当GDT1址位于0xFFXXXXXM说明处于虚拟机中，否则为真实主机。具体实现代码 如下：代码：#include <stdio.h>void LDTDetect(void) unsigned short ldt_addr = 0; unsigned char ldtr2; _asm sldt ldtr ldt_addr = *(unsig ned short *)&ldtr); printf("LDT BaseAddr: 0x%xn”, ldt

15、_addr); i f(ldt_addr = 0x0000) printf("Native OSn"); else printf("Inside VMwaren");void GDTDetect(void) unsigned int gdt_addr = 0; unsigned char gdtr4; _asm sgdt gdtr gdt_ addr = *(unsigned int *)&gdtr2); printf("GDT BaseAddr:0x%xn”, gdt_addr); if(gdt_addr >> 24) =

16、 0xff) printf("Inside VMwaren"); else printf("Native OSn");int main(void ) LDTDetect(); GDTDetect(); return 0;测试结果如图3所示:"ndo略 XP - VMware WorkstMig文件F 漏茴E，直凿E电I'.曲M矛目T，叩仔C :参国芯1 EH a d图3方法四：基于STR的检测方法在保护模式下运行的所有程序在切换任务时,对丁当前任务中指向TSS的段选择器将会被存储在任务寄存器中，TSS中包含有当前任务的可执行环境状 态，

17、包括 通用寄存器状态，段寄存器状态，标志寄存器状态，EIP寄存器状态等等，当此项任务再次被执行时，处理器就会其原先保存的任务状态。 每项任务 均有其自己的TSS,而我们可以通过STR指令来获取指向当前任务中TSS的段选 择器。这里STR(Store task register)指令是用丁将任务寄存 器(TR)中的段选择器存储到目标操作数，目标操作数可以是通用寄存器或内存位置，使用此指令存储的段选择器指向当前正在运行的任务的任务状态段(TSS)。在虚拟机和真实主机之中，通过 STR读取的地址是不同的，当地址等丁 0x0040xxxx时， 说明处丁虚拟机中，否则为真实主机。实现代码如下：代码:#i

18、nclude <stdio.h>int main(void)( unsigned char mem4 = 0; int i; _asm str mem; print f (" STR base: 0x"); for (i=0; i&lt;4; i+) printf("%02x”,memi); if ( (mem0=0 x00) & amp;& (mem1=0x40) printf("n INSIDE MATRIX!测试结n"); else printf("n Native OS!n");

19、return 0;果如图4所示：Windows XP SP3 - VP*/ YVcrkstation：!痴覆苴直者 N)分沮.T SD(VJ ftflh(H)i so o电j旦亶查迫史IWindows XP 5P3 X应於令程示符C： XDocutments and Setting£Adinini£t*atop-面为mde圮匚tSTH base： 0x00400600>1 NS IDE miRlKflG; xDocuments and 骅H州哗冲叫袒袂知洛藻两祐QtdfiY图4方法五：基于注册表检测虚拟机在windows虚拟机中常常安装有 VMware Tools以及

20、其它的虚拟硬件(如 网络适配器、虚拟打印机，USBft线器,，)，它们都会创建任何程序都可以读取的windows注册表项，因此我们可以通过检测注册表中的一些关键字符来判 断程序是否处于虚拟机之中。关于这些注册表的位置我们可以通过在注册表中搜索关键词“ vmward来获取，下面是我在 VMware的WinXP中找到的一些注 册表项：项名：HKEY_CLASSES_ROOTApplicationsVMwareHostOpen.exe项名：HKEY_CLASSES_ROOTInstallerProductsC2A6F2EFE6910124C940B2B12CF170FE ProductName键值

21、“VMwareTools ”项名：HKEY_CLASSES_ROOTInstallerProductsC2A6F2EFE6910124C940B2B12CF170FE SourceListPackageName键值：VMware Tools.msi项名：HKEY_CURRENT_USERPrintersDeviceOld键值：_#VMwareVirtualPrinter,winspool,TPVM:项名：HKEY_LOCAL_MACHINEHARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Tar get Id 0Logical Unit Id 0Identif

22、ier键值：VMware Virtual IDE Hard Drive项名：HKEY_LOCAL_MACHINEHARDWAREDEVICEMAPScsiScsi Port 1Scsi Bus 0Tar get Id 0Logical Unit Id 0Identifier键值：NECVMWar VMware IDE CDR10项名：HKEY_LOCAL_MACHINESOFTWAREClassesInstallerProductsC2A6F2EFE69101 24C940B2B12CF170FEProductName键值：VMware Tools项名：HKEY_LOCAL_MACHINESO

23、FTWAREMicrosoftWindowsCurrentVersionInstalle rUserDataS-1-5-18ProductsC2A6F2EFE6910124C940B2B12CF170FEInstallP ropertiesDisplayName键值：VMware Tools项名：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionReinstal l0002DeviceDesc键值：VMware SVGA II项名：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurren

24、tVersionNetwo rkCards2Description键值：VMware Accelerated AMD PCNet Adapter项名：HKEY_LOCAL_MACHINESOFTWAREVMware, Inc.VMware Tools项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass(4D36E968-E325- 11CE-BFC1-08002BE103180000DriverDesc键值：VMware SVGA II项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass(4

25、D36E968-E325-11CE-BFC1-08002BE103180000ProviderName键值：VMware, Inc.项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass4D36E972-E325-11CE-BFC1-08002bE103180001DriverDesc键值：VMware Accelerated AMD PCNet Adapter项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass4D36E97B-E325-11CE-BFC1-08002BE103180000D

26、riverDesc键值：VMware SCSI Controller项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlPrintMonitorsThinPrint Print Port Monitor for VMWare补充另外一处 具体代码如下：cpp view plaincopy1. BOOL DetectVM() 2.2. HKEY hKey;4.3. char szBuffer64;6.4. unsigned long hSize= sizeof(szBuffer) - 1;8.5. if( RegOpenKeyEx( HKEY_LOCAL

27、_MACHINE, "HARDWAREDESCRIPTIONSystemBIOS", 0, KEY_READ, &hKey )=ERROR_SUCCESS ) 10.6. RegQueryValueEx( hKey, "SystemManufacturer", NULL, NULL, (unsigned char *)szBuffer, &hSize );12.7. if( strstr( szBuffer, "VMWARE" ) 14.8. RegCloseKey( hKey );16.9. return TRUE;

28、1. RegCloseKey( hKey );22.22. 24.23. return FALSE;26.24. 除以上这些表项之外，还有很多地方可以检测，特别是虚拟机提供的虚 拟化软硬件、服务之类，比如文件共享服务，VMware物理磁盘助手服 务，VMware Ethernet Adapter Driver , VMware SCSI Controller 等等的这些信息 都可作为检测虚拟机的手段。这里我们就以其中某表项为例编程举例一下，其它表项检测方法同理，具体代码如下：代码：.386.model flat, stdcalloption casemap:none inc

29、lude windows.inc include user32.inc include kernel32.inc include advapi32.inc includelib user32.lib includelib kernel32.lib includelib adva pi32.lib.dataszC aptiondb "VMware Detector ",0szInside db"Inside VMware!”,0szOutside db "Native OS!”,0szSubKey db "softwareVMWare, Inc.

30、VMware tools",0hKey dd?.codestart: invoke RegOpenKeyEx, HKEY_LOCAL_MACHINE, addr szSubKey, 0,KEY_WRITE or KEY_READ, addr hKey .if eax = ERROR_SUCCESS invoke MessageBox, NULL,addr szInside, addr szC aption, MB _OK .else invoke MessageBox, NULL,addr szOutside, addr szCaption, M B_OK .endif invoke

31、 RegCloseKey,hKey invoke ExitProcess,NULLend sta rt测试结果如图5所示：方法六：基于时间差的检测方式本方法通过运行一段特定代码，然后比较这段代码在虚拟机和真 实主机之中的相对运行时间， 以此来判断是否处于虚拟机之中。这段代码我们可以通过RDTS0旨令来实现，RDTSC旨令是用于将计算机启动 以来的CPL行周期数存放到 EDX EAX里面，其中EDX是高位，而EAX 是低位。下面我们以xchg ecx, eax一句指令的运行时间为例，这段指令在我的真实主机 windows 7系统上的运行时间为0000001E, 如图6所示：查看有关计算机的基本信

32、息V/indcws .古Window 7旗既氐而该指令在虚拟机 WinXP下的运行时间为00000442,如图7所示:i却 WindQV'.s'Nor k图7两者之间的运行时间明显差别很多，在虚拟机中的运行速度远不如真实主机的， 一般情况下，当它的运行时间大丁 0xFF时，就可以确定它处丁虚拟机之中了, 因此不难写出检测程序，具体实现代码如下：代码:.586p.model flat, stdcalloption casemap:noneinclude windows.inci nclude kernel32.incinclude user32.incincludelib ker

33、nel3 2.libincludelib user32.lib .dataszTitle db "VMDetect With RDTSC", 0hszInsideVM db "Inside VMware!", 0hszOutsideVM db "Native OS!", 0h.codestart: RDTSC xchg ecx, eax RDTSC subeax, ecx cmp eax, 0FFh jg Detected invoke MessageBox, 0, offset szOutsideVM, offset szTitle

34、, 0 ret Detected: invoke Me ssageBox, 0, offset szInsideVM, offset szTitle, 0 retend start测试结果如图8所示:r W ndcs'A'i XP GP2 - VMware orkstati叫牛同 偏潭E 直言，Q rgf方法七：利用虚拟硬件指纹检测虚拟机利 用虚拟硬件指纹也可用丁检测虚拟机的存在，比如VMware默认的网卡MAC地址前缀为“ 00-05-69 , 00-0C-29或者00-50- 56”，这前3节是由VMware 配的唯一标识符OUI,以供它的虚拟化适配器使用。在我的 VMWa

35、reWinXPF的MAO址为 00-0C-29-5B- D7-67 ,如图9所示：廿悻F 蒂间曰虫看厨I地，M 寸.且T 宜口 E帮助H图9但由丁这些可经过修改配置文件来绕过检测。另外，还可通过检测特定的硬件控制器，BIOS, USBg制器，显卡，网卡等特征字符申进行检测，这些在前 面使用注册表检测方法中已有所涉及。另外之前在看雪论坛上也有朋友提到通过检测硬盘Model Number是否含有“vmward或“virtual ”等字样来实现检测虚拟机的功能，具体转载如下：cpp view plaincopy1. 小试 anti vmware2. 今天偶然看到一款绿色版的硬盘专业工具，突然发现可以

36、利用其中的一项功能来实现anti vmware 。3. 今日事今日毕，那就在今晚12 : 00之前把这个想法实现吧，let's go!4. 我的想法就是检测硬盘的 modelnumber,具体什么是modelnumber自己网上搜吧，反正不是硬盘序列号。难点就是在多种操作系统下都要能起到anti vmware的效果。程序在xp、2k、2003下都可以检测到 vmware的运行。5. 直接贴代码了，如果看不懂也没关系，我也是逆了人家的代码写出来的。Delphi也可以当汇编语言开发工具用，难道不是吗？6. unit Unit1;7. interface8. uses9. Windows,

37、Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,10. Dialogs, StdCtrls, Buttons;11. type12. TForm1 = class(TForm)13. BitBtnl: TBitBtn;14. procedure BitBtn1Click(Sender: TObject);15. procedure FormClose(Sender: TObject; var Action:TCloseAction);16. private17. Private declarations 18.

38、public19. Public declarations 20. end;21.21. var22. Form1: TForm1;23. hDeviceHandle:Thandle;25.24. implementation27.25. $R *.dfm29.26. procedure TForm1.BitBtn1Click(Sender: TObject);27. var28. InBuffer: array0.$8f ofbyte;29. cb:Cardinal;30. tmp:Pchar;31. begin32. hDeviceHandle:=CreateFile('.PHYS

39、ICALDRIVE0',$C0000000,$3,nil,OPEN_ EXISTING,$8000000,0);33. ZeroMemory(InBuffer,sizeof(InBuffer);34. asm35. pushad36. lea ebx,InBuffer37. xor ecx,ecx38. mov al,$2c39. MOVebx,al40. MOVEAX,$200c000041. MOVebx+4, eax42. mov al,$0143. MOVebx+8,al44. mov al,$4045. MOVebx+$c,al46. MOVEAX,$0001a5E047.

40、MOVebx+$10, eax48. mov al,$3049. MOVebx+$18,al50. mov al,$1251. MOV ebx+$1c,al52. mov al,$4053. MOV ebx+$20,al54. add ecx,ebx55. add ecx,$5056. MOV ebx+$14, ecx57. popad58. end;63.64.59. if DeviceIoControl(hDeviceHandle,$4D014,InBuffer,$50,InBuffer,$50,cb ,nil) then60. begin61. asm62. pushad63. lea

41、ebx,InBuffer64. add ebx,$5865. mov tmp,ebx66. popad67. end; /asm74.68. if (pos('vmware',LowerCase(tmp)>0) or (pos('virtual',LowerCase(tm p)>0) then69. showmessage('检测到 VMware Workstation!')70. else71. showmessage('请在 VMware 中测试！')；79.72. end;73. end;82.74. proce

42、dure TForm1.FormClose(Sender: TObject; var Action: TCloseAction);75. begin76. closehandle(hDeviceHandle);77. end;87.78. end.89.79. 代码很短，但是效果不错。截图几张，留作纪念 ！C+代码实现如下：cpp view plaincopy1. 通过 IOCTL_STORAGE_QUERY_PROPERTY#.3. typedef enum _STORAGE_QUERY_TYPE (PropertyStandardQuery = 0,PropertyExistsQu ery

43、,PropertyMaskQuery,PropertyQueryMaxDefined STORAGE_QUERY_TYPE, *PSTORAGE _QUERY_TYPE;4.4. typedef enum _STORAGE_PROPERTY_ID (StorageDeviceProperty = 0,StorageAdapterP roperty STORAGE_PROPERTY_ID, *PSTORAGE_PROPERTY_ID;6.5. typedef struct _STORAGE_PROPERTY_QUERY (8.6. STORAGE_PROPERTY_ID Propertyld;1

44、0.7. STORAGE_QUERY_TYPE QueryType;12.8. UCHAR AdditionalParameters1;. STORAGE_PROPERTY_QUERY, *PSTORAGE_PROPERTY_QUERY;18.10. typedef struct _STORAGE_DEVICE_DESCRIPTOR (20.11. ULONG Version;22.12. ULONG Size;24.13. UCHAR DeviceType;26.14. UCHAR DeviceTypeModifier;28.15. BOOLEAN RemovableMe

45、dia;30.16. BOOLEAN CommandQueueing;32.17. ULONG VendorIdOffset;34.18. ULONG ProductIdOffset;36.19. STORAGE_DEVICE_DESCRIPTOR, *PSTORAGE_DEVICE_DESCRIPTOR;0. #define IOCTL_STORAGE_QUERY_PROPERTY CTL_CODE(IOCTL_STORAGE_BASE, 0x0500, ME THOD_BUFFERED, FILE_ANY_ACCESS)3.54.5

46、3.44.45. bool IsSandboxed()46.47. (HANDLE hPhysicalDriveIOCTL = 0;int j = 0,k = 0;char szModel128,szBuffer128;char *szDrives = ("qemu”,"virtual","vmware",NULL;hPhysicalDriveIOCTL = CreateFile (".PhysicalDrive0”, 0,FILE_SHARE.

47、READ | FILE_SHARE_WRITE, NULL,OPEN_EXISTING, 0, NULL);70.71. if (hPhysicalDriveIOCTL != INVALID_HANDLE_VALUE)72.72. (74.73. STORAGE_PROPERTY_QUERY query;76.74. DWORD cbBytesReturned = 0;78.75. memset (void *) & query, 0, sizeof (query);80.76. query.PropertyId = StorageDeviceProperty;82.77. memse

48、t (szBuffer, 0, sizeof (szBuffer);84.78. memset (szModel, 0, sizeof (szModel);123. 86.79. if (DeviceIoControl(hPhysicalDriveIOCTL, IOCTL_STORAGE_QUERY_PROPERTY,& query,sizeof (query),& szBuffer,sizeof (szBuffer),& cbBytesReturned, NULL)88.80. STORAGE_DEVICE_DESCRIPTOR *descrip = (STORAGE

49、_DEVICE_DESCRIPTOR* )&szBuffer;90.81. int pos = descrip->ProductIdOffset;92.82. int m = 0;94.83. for(int g = pos;szBufferg != '0'g+)96.84. szModelm+ = szBufferg;98.85. 100.86. CharLowerBuff(szModel,strlen(szModel);102.87. for (int i = 0; i < (sizeof(szDrives)/sizeof(LPSTR) - 1; i+

50、)104.88. if (szDrivesi0 != 0) 106.89. if(strstr(szModel,szDrivesi)108.90. return TRUE;110.91. 112.92. 114.93. 116.94. CloseHandle (hPhysicalDriveIOCTL);118.95. 120.96. return FALSE;122.总结国外SAN以全组织的研究人员总结出当前各种虚拟机检测手段不外乎以下四类： 搜索虚拟环境中的进程，文件系统，注册表；搜索虚拟环境中的内存搜索虚拟环境中的特定虚拟硬件搜索虚拟环境中的特定处理器指令和功能因为现代计算系统大多是由文件

51、系统，内存，处理器及各种硬件组件构成的， 上面提到的四种检测手段均包含了这些因素。纵观前面各种检测方法，也均在此四类当 中。除此之外，也有人提出通过网络来检测虚拟机，比如搜索ICMP和TCP数据通讯的时间差异，IP ID数据包差异以及数据包中的异常头信息等等。 随着 技术研究的深入，相信会有更多的检测手段出现，与此同时，虚拟机厂商 也会不断进化它们的产品，以增加anti-vmware的难度，这不也正是一场永无休 止的无烟战争！anti VM的解决方法对于上边 方法一二三四六的解决方案是 ：1. 在本机BIOS的CP股置中开启VT（虚拟化）选项。注意要先做这一步以后 才 能安装VM顺序错了只能把

52、VMBI全卸载重新安装。2. 新建虚拟机 在CPUS置如下图设置:主要目的是为了关闭二进制优化开启虚拟机的VT虚拟化。3. 关闭一些虚拟机的设置 用记事本打开VMX文件这个文件是VM的配置文件 如类似地址"C:VM MachinesWindows 7 （32 位）Windows 7 （32 位）.vmx",在 文本末尾加入cppview plaincopy1. isolation.tools.getPtrLocation.disable = "TRUE"2. isolation.tools.setPtrLocation.disable = "T

53、RUE"3. isolation.tools.setVersion.disable = "TRUE"4. isolation.tools.getVersion.disable = "TRUE"5. monitor_control.disable_directexec = "TRUE"6. monitor_control.disable_chksimd = "TRUE"7. monitor_control.disable_ntreloc = "TRUE"8. monitor_contro

54、l.disable_selfmod = "TRUE"9. monitor_control.disable_reloc = "TRUE"10. monitor_control.disable_btinout = "TRUE"11. monitor_control.disable_btmemspace = "TRUE"12. monitor_control.disable_btpriv = "TRUE"13. monitor_control.disable_btseg = "TRUE&qu

55、ot;14. monitor_control.restrict_backdoor = "TRUE"这样一来就实现了开启VT虚拟化关闭二进制优化关闭各种后门然 后安装VM中的系统如WIN7安装好后在VM WIN升运行方法一二三四六的检 测全部通过了。方法七的解决方案就是修改硬件信息，这里的 VM特征硬件信息有很多，这里只 说网卡的，直接下载一个 mac地址修改器，修改mac这样一来mac地址就不是 VM特有的了，从而达到过方法七的效果。方法五，很多商业软件都是用这个方法来验证，原因很简单不管是在驱动还是在应用层都可以很方便的读取注册表，只要保护开发人员自己安装一个VM就能提取

56、里边特征注册码，这个解决方案就是搜索注册表的“VMware "virtual" 等字段，把能修改的都修改了，然后导出注册表，以便 重启系统后导入，因为重启 VM后有些注册表信息会还原。实例如下：环境：VM虚拟机 WIN7 32 位，光盘镜像名称 XBL_GHOST_WIN7_SP1_07ZJB.iso原理：修改注册表中的“VMware修改为了 “test123 ”注册表：cpp view plaincopy1. Windows Registry Editor Version 5.002.2. HKEY_LOCAL_MACHINESYSTEMControlSet001Cont

57、rolSystemInformation3. "BIOSVersion"="6.00"4. "BIOSReleaseDate"="07/02/2012"5. "SystemManufacturer"="test123, Inc."6. "SystemProductName"="test123 test123 Platform"7. “InformationSource"=dword:000000019.10. HKEY_LOC

58、AL_MACHINEHARDWAREDESCRIPTIONSystemBIOS11. ”BiosMajorRelease"=dword:0000000412. ”BiosMinorRelease"=dword:0000000613. ”ECFirmwareMajorRelease"=dword:0000000014. ”ECFirmwareMinorRelease"=dword:0000000015. ”BaseBoardManufacturer"="Intel Corporation"16. ”BaseBoardProduct"="440BX Desktop Reference Platform"17. ”BaseBoardVersion"="None”18. ”BIOSReleaseDate"="07/02/2012”19. ”BIOSVendo