识别虚拟机

虚拟机软件在模仿真机时会保留一些工作,例如特定的文件、进程、注册表项、服务、网络设备适配器等,通过它们可以帮助我们分辨虚拟机与真机。

检查CPU指令

  • CPUID

该指令以EAX = 1作为输入执行,返回值描述处理器功能。在物理机器上的ECX位将等于0。访客VM将等于1。
虚拟机识别 - 图1

  • Hypervisor brand

通过设置EAX = 40000000,随后调用CPUID,将获得EAX,ECX,EDX中的虚拟化供应商字符串作为返回值。
例如:Microsoft: “Microsoft HV”,VMware : “VMwareVMware”。
虚拟机识别 - 图2

  • MMX

Intel指令集,旨在更快地处理图形应用程序。虚拟机通常不支持这些功能,因此如果不存在,可能表明程序正在VM中运行。
虚拟机识别 - 图3

  • IN – “VMWare Magic Number”

参考资料: 微机原理
《INTEL 80386 PROGRAMMER’S REFERENCE MANUAL 1986》
8086为了区分访问内存和外设,硬件上有一个专门的引脚M/IO,指令集中则为访问外设单独提供了in/out指令。
《x86汇编—-VGA显示》中为了关闭光标显示,有如下代码,这 两行代码读取外设 CRTC数据寄存器中的数据。
其中0x3D5为外设端口地址
虚拟机识别 - 图4
在VMWare中,通过特定的I/O端口与主机进行通信。如果在VM中运行,下面的代码将成功执行,否则失败。
虚拟机识别 - 图5

检查已知的Mac地址

MAC地址的前缀表示网络适配器的供应商。可以通过多种方式检索MAC地址,包括使用WMIC(wmic-> nic list)

  • 00:05:69 (Vmware)
  • 00:0C:29 (Vmware)
  • 00:1C:14 (Vmware)
  • 00:50:56 (Vmware)

  • 08:00:27 (VirtualBox)

    检查注册表

    存在以下注册表项时表明存在虚拟化软件

  • HKLM\SOFTWARE\Vmware Inc.\\Vmware Tools

  • HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 2\Scsi Bus 0\Target Id 0\Logical Unit Id 0\Identifier
  • SYSTEM\CurrentControlSet\Enum\SCSI\Disk&VenVMware&Prod_VMware_Virtual_S
  • SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev

  • SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers

    检查vm进程

    检查进程的方式很多:WMIC, Win API and CMD. WMIC (wmic -> process list), Win API (Process32First, Process32Next), and Tasklist.exe。

  • Vmware

    • Vmtoolsd.exe
    • Vmwaretrat.exe
    • Vmwareuser.exe
    • Vmacthlp.exe

  • VirtualBox

    • vboxservice.exe
    • vboxtray.exe

      检查文件

      如果发现系统中存在这些文件,则表明存在虚拟化软件。检索方式:WMIC,Win API和CMD。

  • VMware

C:\windows\System32\Drivers\Vmmouse.sys
C:\windows\System32\Drivers\vm3dgl.dll
C:\windows\System32\Drivers\vmdum.dll
C:\windows\System32\Drivers\vm3dver.dll
C:\windows\System32\Drivers\vmtray.dll
C:\windows\System32\Drivers\VMToolsHook.dll
C:\windows\System32\Drivers\vmmousever.dll
C:\windows\System32\Drivers\vmhgfs.dll
C:\windows\System32\Drivers\vmGuestLib.dll
C:\windows\System32\Drivers\VmGuestLibJava.dll
C:\windows\System32\Driversvmhgfs.dll

  • VirtualBox

C:\windows\System32\Drivers\VBoxMouse.sys
C:\windows\System32\Drivers\VBoxGuest.sys
C:\windows\System32\Drivers\VBoxSF.sys
C:\windows\System32\Drivers\VBoxVideo.sys
C:\windows\System32\vboxdisp.dll
C:\windows\System32\vboxhook.dll
C:\windows\System32\vboxmrxnp.dll
C:\windows\System32\vboxogl.dll
C:\windows\System32\vboxoglarrayspu.dll
C:\windows\System32\vboxoglcrutil.dll
C:\windows\System32\vboxoglerrorspu.dll
C:\windows\System32\vboxoglfeedbackspu.dll
C:\windows\System32\vboxoglpackspu.dll
C:\windows\System32\vboxoglpassthroughspu.dll
C:\windows\System32\vboxservice.exe
C:\windows\System32\vboxtray.exe
C:\windows\System32\VBoxControl.exe

检查运行的服务

是否正在运行以下进程,(WMIC->服务列表,sc.exe / query)

  • VMTools
  • Vmhgfs
  • VMMEMCTL
  • Vmmouse
  • Vmrawdsk
  • Vmusbmouse
  • Vmvss
  • Vmscsi
  • Vmxnet
  • vmx_svga
  • Vmware Tools
  • Vmware Physical Disk Helper Service