我需要检测我的应用程序是否在虚拟OS实例中运行。
我找到了一篇文章,其中包含有关该主题的一些有用信息。同一篇文章出现在多个地方,我不确定原始来源。VMware实现了一个特殊的无效x86指令来返回有关其自身的信息,而VirtualPC使用了带有幻数和带有IN指令的I / O端口。
这是可行的,但在两种情况下似乎都是未记录的行为。我想将来的VMWare或VirtualPC版本可能会改变该机制。有没有更好的办法?两种产品都有受支持的机制吗?
同样,有没有办法检测Xen或VirtualBox?
我不担心平台故意隐藏自己的情况。例如,蜜罐使用虚拟化,但有时会掩盖恶意软件用来检测它的机制。我不在乎我的应用程序会认为未在这些蜜罐中对其进行虚拟化,我只是在寻找“尽力而为”的解决方案。
该应用程序主要是Java,尽管我希望对此功能使用本机代码和JNI。Windows XP / Vista支持最为重要,尽管参考文章中描述的机制是x86的通用功能,并且不依赖于任何特定的OS工具。
Answers:
您听说过蓝色药丸,红色药丸吗?。这是一种用于查看您是否在虚拟机中运行的技术。该术语的起源源于矩阵电影,其中向Neo提供了蓝色或红色药丸(留在矩阵中=蓝色,或进入“真实”世界=红色)。
以下是一些代码,可以检测您是否正在“矩阵”中运行:(
从此站点借来的代码也包含有关当前主题的一些不错的信息):
int swallow_redpill () {
unsigned char m[2+4], rpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3";
*((unsigned*)&rpill[3]) = (unsigned)m;
((void(*)())&rpill)();
return (m[5]>0xd0) ? 1 : 0;
}
在虚拟机中运行时,该函数将返回1,否则返回0。
在Linux下,我使用了以下命令:dmidecode(在CentOS和Ubuntu上都具有)
从男人那里:
dmidecode是用于以人类可读格式转储计算机DMI(有时称为SMBIOS)表内容的工具。
所以我搜索了输出,发现它可能是Microsoft Hyper-V
Handle 0x0001, DMI type 1, 25 bytes
System Information
Manufacturer: Microsoft Corporation
Product Name: Virtual Machine
Version: 5.0
Serial Number: some-strings
UUID: some-strings
Wake-up Type: Power Switch
Handle 0x0002, DMI type 2, 8 bytes
Base Board Information
Manufacturer: Microsoft Corporation
Product Name: Virtual Machine
Version: 5.0
Serial Number: some-strings
另一种方法是搜索eth0的MAC地址与哪个制造商有关: http //www.coffer.com/mac_find/
如果返回Microsoft,vmware等,则可能是虚拟服务器。
/dev/mem。
VMware具有一种机制来确定软件是否在VMware虚拟机中运行知识库文章,其中包含一些源代码。
Microsoft也有一个页面“确定是否安装了Hypervisor”。MS在其“服务器虚拟化验证测试”文档的“ IsVM TEST”部分中阐明了对管理程序的这一要求。
VMware和MS文档都提到使用CPUID指令检查系统管理程序当前位(寄存器ECX的第31位)
RHEL bugtracker有一个用于“应为Xen内核下的寄存器ECX的位31设置CPUID叶0x00000001的ISVM位(ECX:31)”。
因此,无需深入了解供应商细节,您似乎可以使用CPUID检查来了解您是否在虚拟运行。
我认为,依靠诸如SIDT损坏的虚拟化之类的技巧并不能真正起到帮助作用,因为硬件会填补怪异而混乱的x86架构留下的所有漏洞。最好的方法是游说Vm提供程序,以一种标准的方式告诉您您在VM上-至少在用户明确允许的情况下。但是,如果我们假设我们明确允许检测到VM,那么我们也可以在其中放置可见标记,对吗?我建议仅使用一个告诉您您在VM上的文件来更新VM上的磁盘,例如,文件系统根目录中的一个小文本文件。或者检查ETH0的MAC,并将其设置为给定的已知字符串。
此C函数将检测VM Guest OS:
(在Windows上测试,使用Visual Studio编译)
#include <intrin.h>
bool isGuestOSVM()
{
unsigned int cpuInfo[4];
__cpuid((int*)cpuInfo,1);
return ((cpuInfo[2] >> 31) & 1) == 1;
}
在安装新版Ubuntu时,我发现了名为imvirt的软件包。在http://micky.ibh.net/~liske/imvirt.html上进行查看
我使用此类C#来检测Guest OS是否在虚拟环境中运行(仅Windows))中运行:
sysInfo.cs
using System;
using System.Management;
using System.Text.RegularExpressions;
namespace ConsoleApplication1
{
public class sysInfo
{
public static Boolean isVM()
{
bool foundMatch = false;
ManagementObjectSearcher search1 = new ManagementObjectSearcher("select * from Win32_BIOS");
var enu = search1.Get().GetEnumerator();
if (!enu.MoveNext()) throw new Exception("Unexpected WMI query failure");
string biosVersion = enu.Current["version"].ToString();
string biosSerialNumber = enu.Current["SerialNumber"].ToString();
try
{
foundMatch = Regex.IsMatch(biosVersion + " " + biosSerialNumber, "VMware|VIRTUAL|A M I|Xen", RegexOptions.IgnoreCase);
}
catch (ArgumentException ex)
{
// Syntax error in the regular expression
}
ManagementObjectSearcher search2 = new ManagementObjectSearcher("select * from Win32_ComputerSystem");
var enu2 = search2.Get().GetEnumerator();
if (!enu2.MoveNext()) throw new Exception("Unexpected WMI query failure");
string manufacturer = enu2.Current["manufacturer"].ToString();
string model = enu2.Current["model"].ToString();
try
{
foundMatch = Regex.IsMatch(manufacturer + " " + model, "Microsoft|VMWare|Virtual", RegexOptions.IgnoreCase);
}
catch (ArgumentException ex)
{
// Syntax error in the regular expression
}
return foundMatch;
}
}
}
用法:
if (sysInfo.isVM()) {
Console.WriteLine("VM FOUND");
}
我尝试了一个由朋友建议的不同方法。在VMWARE上运行的虚拟机没有CPU TEMPERATURE属性。即他们不显示CPU的温度。我正在使用CPU温度计应用程序检查CPU温度。
(在VMWARE中运行的Windows)
(在真实CPU上运行的Windows)
所以我编写了一个小型C程序来检测温度传感器
#include "stdafx.h"
#define _WIN32_DCOM
#include <iostream>
using namespace std;
#include <comdef.h>
#include <Wbemidl.h>
#pragma comment(lib, "wbemuuid.lib")
int main(int argc, char **argv)
{
HRESULT hres;
// Step 1: --------------------------------------------------
// Initialize COM. ------------------------------------------
hres = CoInitializeEx(0, COINIT_MULTITHREADED);
if (FAILED(hres))
{
cout << "Failed to initialize COM library. Error code = 0x"
<< hex << hres << endl;
return 1; // Program has failed.
}
// Step 2: --------------------------------------------------
// Set general COM security levels --------------------------
hres = CoInitializeSecurity(
NULL,
-1, // COM authentication
NULL, // Authentication services
NULL, // Reserved
RPC_C_AUTHN_LEVEL_DEFAULT, // Default authentication
RPC_C_IMP_LEVEL_IMPERSONATE, // Default Impersonation
NULL, // Authentication info
EOAC_NONE, // Additional capabilities
NULL // Reserved
);
if (FAILED(hres))
{
cout << "Failed to initialize security. Error code = 0x"
<< hex << hres << endl;
CoUninitialize();
return 1; // Program has failed.
}
// Step 3: ---------------------------------------------------
// Obtain the initial locator to WMI -------------------------
IWbemLocator *pLoc = NULL;
hres = CoCreateInstance(
CLSID_WbemLocator,
0,
CLSCTX_INPROC_SERVER,
IID_IWbemLocator, (LPVOID *)&pLoc);
if (FAILED(hres))
{
cout << "Failed to create IWbemLocator object."
<< " Err code = 0x"
<< hex << hres << endl;
CoUninitialize();
return 1; // Program has failed.
}
// Step 4: -----------------------------------------------------
// Connect to WMI through the IWbemLocator::ConnectServer method
IWbemServices *pSvc = NULL;
// Connect to the root\cimv2 namespace with
// the current user and obtain pointer pSvc
// to make IWbemServices calls.
hres = pLoc->ConnectServer(
_bstr_t(L"ROOT\\CIMV2"), // Object path of WMI namespace
NULL, // User name. NULL = current user
NULL, // User password. NULL = current
0, // Locale. NULL indicates current
NULL, // Security flags.
0, // Authority (for example, Kerberos)
0, // Context object
&pSvc // pointer to IWbemServices proxy
);
if (FAILED(hres))
{
cout << "Could not connect. Error code = 0x"
<< hex << hres << endl;
pLoc->Release();
CoUninitialize();
return 1; // Program has failed.
}
cout << "Connected to ROOT\\CIMV2 WMI namespace" << endl;
// Step 5: --------------------------------------------------
// Set security levels on the proxy -------------------------
hres = CoSetProxyBlanket(
pSvc, // Indicates the proxy to set
RPC_C_AUTHN_WINNT, // RPC_C_AUTHN_xxx
RPC_C_AUTHZ_NONE, // RPC_C_AUTHZ_xxx
NULL, // Server principal name
RPC_C_AUTHN_LEVEL_CALL, // RPC_C_AUTHN_LEVEL_xxx
RPC_C_IMP_LEVEL_IMPERSONATE, // RPC_C_IMP_LEVEL_xxx
NULL, // client identity
EOAC_NONE // proxy capabilities
);
if (FAILED(hres))
{
cout << "Could not set proxy blanket. Error code = 0x"
<< hex << hres << endl;
pSvc->Release();
pLoc->Release();
CoUninitialize();
return 1; // Program has failed.
}
// Step 6: --------------------------------------------------
// Use the IWbemServices pointer to make requests of WMI ----
// For example, get the name of the operating system
IEnumWbemClassObject* pEnumerator = NULL;
hres = pSvc->ExecQuery(
bstr_t("WQL"),
bstr_t(L"SELECT * FROM Win32_TemperatureProbe"),
WBEM_FLAG_FORWARD_ONLY | WBEM_FLAG_RETURN_IMMEDIATELY,
NULL,
&pEnumerator);
if (FAILED(hres))
{
cout << "Query for operating system name failed."
<< " Error code = 0x"
<< hex << hres << endl;
pSvc->Release();
pLoc->Release();
CoUninitialize();
return 1; // Program has failed.
}
// Step 7: -------------------------------------------------
// Get the data from the query in step 6 -------------------
IWbemClassObject *pclsObj = NULL;
ULONG uReturn = 0;
while (pEnumerator)
{
HRESULT hr = pEnumerator->Next(WBEM_INFINITE, 1,
&pclsObj, &uReturn);
if (0 == uReturn)
{
break;
}
VARIANT vtProp;
// Get the value of the Name property
hr = pclsObj->Get(L"SystemName", 0, &vtProp, 0, 0);
wcout << " OS Name : " << vtProp.bstrVal << endl;
VariantClear(&vtProp);
VARIANT vtProp1;
VariantInit(&vtProp1);
pclsObj->Get(L"Caption", 0, &vtProp1, 0, 0);
wcout << "Caption: " << vtProp1.bstrVal << endl;
VariantClear(&vtProp1);
pclsObj->Release();
}
// Cleanup
// ========
pSvc->Release();
pLoc->Release();
pEnumerator->Release();
CoUninitialize();
return 0; // Program successfully completed.
}
在VMware机器上输出
在实际Cpu上输出
