从应用程序检测虚拟化的操作系统?


68

我需要检测我的应用程序是否在虚拟OS实例中运行。

我找到了一篇文章,其中包含有关该主题的一些有用信息。同一篇文章出现在多个地方,我不确定原始来源。VMware实现了一个特殊的无效x86指令来返回有关其自身的信息,而VirtualPC使用了带有幻数和带有IN指令的I / O端口。

这是可行的,但在两种情况下似乎都是未记录的行为。我想将来的VMWare或VirtualPC版本可能会改变该机制。有没有更好的办法?两种产品都有受支持的机制吗?

同样,有没有办法检测XenVirtualBox

我不担心平台故意隐藏自己的情况。例如,蜜罐使用虚拟化,但有时会掩盖恶意软件用来检测它的机制。我不在乎我的应用程序会认为未在这些蜜罐中对其进行虚拟化,我只是在寻找“尽力而为”的解决方案。

该应用程序主要是Java,尽管我希望对此功能使用本机代码和JNI。Windows XP / Vista支持最为重要,尽管参考文章中描述的机制是x86的通用功能,并且不依赖于任何特定的OS工具。


5
没有可靠的方法来确定何时在虚拟环境中运行。我有详细信息,包括有关RedPill,NoPill,Scoopy Doo,Jerry,DMI,OUI的源代码,...所有流行的“技术”,以及为什么它们在这里不起作用:charette.no-ip.com
斯特凡2010年

@斯特凡除的技术屈指可数描述可能工作假设VM或VM操作员不是故意试图欺骗程序。可能会有假阴性,但是我想您必须定义“可靠”
Schilcote 2015年

Answers:


71

您听说过蓝色药丸,红色药丸吗?。这是一种用于查看您是否在虚拟机中运行的技术。该术语的起源源于矩阵电影,其中向Neo提供了蓝色或红色药丸(留在矩阵中=蓝色,或进入“真实”世界=红色)。

以下是一些代码,可以检测您是否正在“矩阵”中运行:(
从此站点借来的代码也包含有关当前主题的一些不错的信息):

 int swallow_redpill () {
   unsigned char m[2+4], rpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3";
   *((unsigned*)&rpill[3]) = (unsigned)m;
   ((void(*)())&rpill)();
   return (m[5]>0xd0) ? 1 : 0;
 } 

在虚拟机中运行时,该函数将返回1,否则返回0。


11
更正:当您在某些硬件上的当今可用的某些虚拟机中运行时,它将返回1。
Kirk Strauser

是的,它确实使用了以下事实:虚拟机不是真实PC的完全准确表示。如果是的话,那么没有(好的)方法可以检测到您正在虚拟运行
sven

7
@erik:它利用了一个事实:虚拟化的操作系统是机器上的“第二”操作系统。这意味着需要共享资源。在此代码中,将对IDTR(中断描述符表寄存器:check Wikipedia)进行检查,如果它不在通常的位置,那么我们知道我们是虚拟的
sven

1
只是要注意。该代码在OSX 10.5上的VMWare Fusion(2.0版(116369))中运行的Windows XP Pro中失败
epochwolf

22
请注意,RedPill和初始的scoopy_doo技术将在多核CPU上返回误报。例如:在本地运行的四核系统上,有75%的时间会告诉您它正在VM中运行。谷歌为“ NoPill”之类的东西获取更多详细信息。
斯特凡

24

在Linux下,我使用了以下命令:dmidecode(在CentOS和Ubuntu上都具有)

从男人那里:

dmidecode是用于以人类可读格式转储计算机DMI(有时称为SMBIOS)表内容的工具。

所以我搜索了输出,发现它可能是Microsoft Hyper-V

Handle 0x0001, DMI type 1, 25 bytes
System Information
    Manufacturer: Microsoft Corporation
    Product Name: Virtual Machine
    Version: 5.0
    Serial Number: some-strings
    UUID: some-strings
    Wake-up Type: Power Switch


Handle 0x0002, DMI type 2, 8 bytes
Base Board Information
    Manufacturer: Microsoft Corporation
    Product Name: Virtual Machine
    Version: 5.0
    Serial Number: some-strings

另一种方法是搜索eth0的MAC地址与哪个制造商有关: http //www.coffer.com/mac_find/

如果返回Microsoft,vmware等,则可能是虚拟服务器。


@BlackMamba这取决于您是否对拥有读取权限/dev/mem
Schwern 2014年

14

VMware具有一种机制来确定软件是否在VMware虚拟机中运行知识库文章,其中包含一些源代码。

Microsoft也有一个页面“确定是否安装了Hypervisor”。MS在其“服务器虚拟化验证测试”文档的 IsVM TEST”部分中阐明了对管理程序的这一要求。

VMware和MS文档都提到使用CPUID指令检查系统管理程序当前位(寄存器ECX的第31位)

RHEL bugtracker有一个用于“应为Xen内核下的寄存器ECX的位31设置CPUID叶0x00000001的ISVM位(ECX:31)”

因此,无需深入了解供应商细节,您似乎可以使用CPUID检查来了解您是否在虚拟运行。


1
每个人都逐渐意识到用相同的乐谱唱歌的想法。
JdeBP

12

不可以。这不可能完全准确地检测出来。一些虚拟化系统(例如QEMU)将整个机器模拟到硬件寄存器。让我们扭转这个局面:您要做什么?也许我们可以提供帮助。


这个有可能。尽管您可以模拟虚拟机执行的每条指令,但是应用程序仍然可以通过资源限制等发现真相。
ZelluX

如果我们在新的功能强大的硬件上模拟旧PC,则可以模拟延迟和资源。
尤金·马拉

嗯,那是仿真而不是虚拟化。最难掩藏的是定时信息,尤其是在访客可以访问网络并且可以使用外部时钟的情况下。
马修·夏普

12

我认为,依靠诸如SIDT损坏的虚拟化之类的技巧并不能真正起到帮助作用,因为硬件会填补怪异而混乱的x86架构留下的所有漏洞。最好的方法是游说Vm提供程序,以一种标准的方式告诉您您在VM上-至少在用户明确允许的情况下。但是,如果我们假设我们明确允许检测到VM,那么我们也可以在其中放置可见标记,对吗?我建议仅使用一个告诉您您在VM上的文件来更新VM上的磁盘,例如,文件系统根目录中的一个小文本文件。或者检查ETH0的MAC,并将其设置为给定的已知字符串。


2
如果您无法控制正在运行的VM,则您的解决方案(在本段末尾)将不起作用。= \
Erik Forbes

3
否,但是,如果您无法控制虚拟机,则所有选择都将关闭。然后,它可能会故意隐藏。因此,问题实际上是您为什么要在何时何地执行此操作。
jakobengblom2

8

在virtualbox上,假设您可以控制VM guest虚拟机并且拥有dmidecode,则可以使用以下命令:

dmidecode -s bios-version

它将返回

VirtualBox

7

我想推荐一篇发表在Usenix HotOS '07上的论文,兼容性不是透明度:VMM检测的神话和现实,该论文总结了几种技术来判断应用程序是否在虚拟环境中运行。

例如,使用sidt指令与redpill一样(但该指令也可以通过动态翻译使其透明),或者将cpuid的运行时与其他非虚拟化指令进行比较。


7

此C函数将检测VM Guest OS:

(在Windows上测试,使用Visual Studio编译)

#include <intrin.h>

    bool isGuestOSVM()
    {
        unsigned int cpuInfo[4];
        __cpuid((int*)cpuInfo,1);
        return ((cpuInfo[2] >> 31) & 1) == 1;
    }

添加一点信息,这是从cpu获取一些信息吗?
对不起Iwont告诉

5

在Linux下,您可以在/ proc / cpuinfo上报告。如果是在VMware中,则其出现通常与在裸机上时有所不同,但并非总是如此。Virtuozzo显示了到基础硬件的传递。





3

我使用此类C#来检测Guest OS是否在虚拟环境中运行(仅Windows))中运行:

sysInfo.cs

using System;
using System.Management;
using System.Text.RegularExpressions;

namespace ConsoleApplication1
{
    public class sysInfo
    {
            public static Boolean isVM()
            {
                bool foundMatch = false;
                ManagementObjectSearcher search1 = new ManagementObjectSearcher("select * from Win32_BIOS");
                var enu = search1.Get().GetEnumerator();
                if (!enu.MoveNext()) throw new Exception("Unexpected WMI query failure");
                string biosVersion = enu.Current["version"].ToString();
                string biosSerialNumber = enu.Current["SerialNumber"].ToString();

                try
                {
                    foundMatch = Regex.IsMatch(biosVersion + " " + biosSerialNumber, "VMware|VIRTUAL|A M I|Xen", RegexOptions.IgnoreCase);
                }
                catch (ArgumentException ex)
                {
                    // Syntax error in the regular expression
                }

                ManagementObjectSearcher search2 = new ManagementObjectSearcher("select * from Win32_ComputerSystem");
                var enu2 = search2.Get().GetEnumerator();
                if (!enu2.MoveNext()) throw new Exception("Unexpected WMI query failure");
                string manufacturer = enu2.Current["manufacturer"].ToString();
                string model = enu2.Current["model"].ToString();

                try
                {
                    foundMatch = Regex.IsMatch(manufacturer + " " + model, "Microsoft|VMWare|Virtual", RegexOptions.IgnoreCase);
                }
                catch (ArgumentException ex)
                {
                    // Syntax error in the regular expression
                }

                    return foundMatch;
            }
        }

}

用法:

        if (sysInfo.isVM()) { 
            Console.WriteLine("VM FOUND");
        }

谢谢,但是您检测到虚拟化软件而不是虚拟化。
抱歉Iwont告诉

3

在linux上,systemd提供了一个用于检测系统是否作为虚拟机运行的命令。

命令:
$ systemd-detect-virt

如果系统已虚拟化,则输出虚拟化软件/技术的名称。如果没有,则输出none

例如,如果系统正在运行KVM,则:

$ systemd-detect-virt
kvm

您无需将其作为sudo运行。


2

我尝试了一个由朋友建议的不同方法。在VMWARE上运行的虚拟机没有CPU TEMPERATURE属性。即他们不显示CPU的温度。我正在使用CPU温度计应用程序检查CPU温度。

(在VMWARE中运行的Windows) 在此处输入图片说明

(在真实CPU上运行的Windows) 在此处输入图片说明

所以我编写了一个小型C程序来检测温度传感器

#include "stdafx.h"

#define _WIN32_DCOM
#include <iostream>
using namespace std;
#include <comdef.h>
#include <Wbemidl.h>

#pragma comment(lib, "wbemuuid.lib")

int main(int argc, char **argv)
{
    HRESULT hres;

    // Step 1: --------------------------------------------------
    // Initialize COM. ------------------------------------------

    hres = CoInitializeEx(0, COINIT_MULTITHREADED);
    if (FAILED(hres))
    {
        cout << "Failed to initialize COM library. Error code = 0x"
            << hex << hres << endl;
        return 1;                  // Program has failed.
    }

    // Step 2: --------------------------------------------------
    // Set general COM security levels --------------------------

    hres = CoInitializeSecurity(
        NULL,
        -1,                          // COM authentication
        NULL,                        // Authentication services
        NULL,                        // Reserved
        RPC_C_AUTHN_LEVEL_DEFAULT,   // Default authentication 
        RPC_C_IMP_LEVEL_IMPERSONATE, // Default Impersonation  
        NULL,                        // Authentication info
        EOAC_NONE,                   // Additional capabilities 
        NULL                         // Reserved
        );


    if (FAILED(hres))
    {
        cout << "Failed to initialize security. Error code = 0x"
            << hex << hres << endl;
        CoUninitialize();
        return 1;                    // Program has failed.
    }

    // Step 3: ---------------------------------------------------
    // Obtain the initial locator to WMI -------------------------

    IWbemLocator *pLoc = NULL;

    hres = CoCreateInstance(
        CLSID_WbemLocator,
        0,
        CLSCTX_INPROC_SERVER,
        IID_IWbemLocator, (LPVOID *)&pLoc);

    if (FAILED(hres))
    {
        cout << "Failed to create IWbemLocator object."
            << " Err code = 0x"
            << hex << hres << endl;
        CoUninitialize();
        return 1;                 // Program has failed.
    }

    // Step 4: -----------------------------------------------------
    // Connect to WMI through the IWbemLocator::ConnectServer method

    IWbemServices *pSvc = NULL;

    // Connect to the root\cimv2 namespace with
    // the current user and obtain pointer pSvc
    // to make IWbemServices calls.
    hres = pLoc->ConnectServer(
        _bstr_t(L"ROOT\\CIMV2"), // Object path of WMI namespace
        NULL,                    // User name. NULL = current user
        NULL,                    // User password. NULL = current
        0,                       // Locale. NULL indicates current
        NULL,                    // Security flags.
        0,                       // Authority (for example, Kerberos)
        0,                       // Context object 
        &pSvc                    // pointer to IWbemServices proxy
        );

    if (FAILED(hres))
    {
        cout << "Could not connect. Error code = 0x"
            << hex << hres << endl;
        pLoc->Release();
        CoUninitialize();
        return 1;                // Program has failed.
    }

    cout << "Connected to ROOT\\CIMV2 WMI namespace" << endl;


    // Step 5: --------------------------------------------------
    // Set security levels on the proxy -------------------------

    hres = CoSetProxyBlanket(
        pSvc,                        // Indicates the proxy to set
        RPC_C_AUTHN_WINNT,           // RPC_C_AUTHN_xxx
        RPC_C_AUTHZ_NONE,            // RPC_C_AUTHZ_xxx
        NULL,                        // Server principal name 
        RPC_C_AUTHN_LEVEL_CALL,      // RPC_C_AUTHN_LEVEL_xxx 
        RPC_C_IMP_LEVEL_IMPERSONATE, // RPC_C_IMP_LEVEL_xxx
        NULL,                        // client identity
        EOAC_NONE                    // proxy capabilities 
        );

    if (FAILED(hres))
    {
        cout << "Could not set proxy blanket. Error code = 0x"
            << hex << hres << endl;
        pSvc->Release();
        pLoc->Release();
        CoUninitialize();
        return 1;               // Program has failed.
    }

    // Step 6: --------------------------------------------------
    // Use the IWbemServices pointer to make requests of WMI ----

    // For example, get the name of the operating system
    IEnumWbemClassObject* pEnumerator = NULL;
    hres = pSvc->ExecQuery(
        bstr_t("WQL"),
        bstr_t(L"SELECT * FROM Win32_TemperatureProbe"),
        WBEM_FLAG_FORWARD_ONLY | WBEM_FLAG_RETURN_IMMEDIATELY,
        NULL,
        &pEnumerator);

    if (FAILED(hres))
    {
        cout << "Query for operating system name failed."
            << " Error code = 0x"
            << hex << hres << endl;
        pSvc->Release();
        pLoc->Release();
        CoUninitialize();
        return 1;               // Program has failed.
    }

    // Step 7: -------------------------------------------------
    // Get the data from the query in step 6 -------------------

    IWbemClassObject *pclsObj = NULL;
    ULONG uReturn = 0;

    while (pEnumerator)
    {
        HRESULT hr = pEnumerator->Next(WBEM_INFINITE, 1,
            &pclsObj, &uReturn);

        if (0 == uReturn)
        {
            break;
        }

        VARIANT vtProp;

        // Get the value of the Name property
        hr = pclsObj->Get(L"SystemName", 0, &vtProp, 0, 0);
        wcout << " OS Name : " << vtProp.bstrVal << endl;
        VariantClear(&vtProp);
        VARIANT vtProp1;
        VariantInit(&vtProp1);
        pclsObj->Get(L"Caption", 0, &vtProp1, 0, 0);
        wcout << "Caption: " << vtProp1.bstrVal << endl;
        VariantClear(&vtProp1);

        pclsObj->Release();
    }

    // Cleanup
    // ========

    pSvc->Release();
    pLoc->Release();
    pEnumerator->Release();
    CoUninitialize();

    return 0;   // Program successfully completed.

}

在VMware机器上输出 在此处输入图片说明

在实际Cpu上输出 在此处输入图片说明

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.