[原创]虚拟机检测技术剖析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

401

[原创]虚拟机检测技术剖析

发表于: 2010-9-6 23:36 200193

[原创]虚拟机检测技术剖析

riusksk

2010-9-6 23:36

200193

标题：【原创】虚拟机检测技术剖析
作者：riusksk (泉哥)
主页：http://riusksk.blogbus.com

前言
在当今信息安全领域，特别是恶意软件分析中，经常需要利用到虚拟机技术，以提高病毒分析过程的安全性以及硬件资源的节约性，因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机（Virtual Machine）是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件（比如VMware，Virtual PC ,VirtualBox），你可以在一台物理计算机上模拟出一台或多台虚拟的计算机，这些虚拟机完全就像真正的计算机那样进行工作，例如你可以安装操作系统、安装应用程序、访问网络资源等等。攻击者为了提高恶意程序的隐蔽性以及破坏真实主机的成功率，他们都在恶意程序中加入检测虚拟机的代码，以判断程序所处的运行环境。当发现程序处于虚拟机（特别是蜜罐系统）中时，它就会改变操作行为或者中断执行，以此提高反病毒人员分析恶意软件行为的难度。本文主要针对基于Intel CPU的虚拟环境VMware中的Windows XP SP3系统进行检测分析，并列举出当前常见的几种虚拟机检测方法。

方法一：通过执行特权指令来检测虚拟机
Vmware为真主机与虚拟机之间提供了相互沟通的通讯机制，它使用“IN”指令来读取特定端口的数据以进行两机通讯，但由于IN指令属于特权指令，在处于保护模式下的真机上执行此指令时，除非权限允许，否则将会触发类型为“EXCEPTION_PRIV_INSTRUCTION”的异常，而在虚拟机中并不会发生异常，在指定功能号0A（获取VMware版本）的情况下，它会在EBX中返回其版本号“VMXH”；而当功能号为0x14时，可用于获取VMware内存大小，当大于0时则说明处于虚拟机中。VMDetect正是利用前一种方法来检测VMware的存在，其检测代码分析如下：

bool IsInsideVMWare()
{
  bool rc = true;
 
  __try
  {
    __asm
    {
      push   edx
      push   ecx
      push   ebx
 
      mov    eax, 'VMXh'
      mov    ebx, 0  // 将ebx设置为非幻数’VMXH’的其它值
      mov    ecx, 10 // 指定功能号，用于获取VMWare版本，当它为0x14时用于获取VMware内存大小
      mov    edx, 'VX' // 端口号
      in     eax, dx // 从端口dx读取VMware版本到eax
//若上面指定功能号为0x14时，可通过判断eax中的值是否大于0，若是则说明处于虚拟机中
      cmp    ebx, 'VMXh' // 判断ebx中是否包含VMware版本’VMXh’，若是则在虚拟机中
      setz   [rc] // 设置返回值
 
      pop    ebx
      pop    ecx
      pop    edx
    }
  }
  __except(EXCEPTION_EXECUTE_HANDLER)  //如果未处于VMware中，则触发此异常
  {
    rc = false;
  }
 
  return rc;
}

typedef struct
{
    WORD IDTLimit;      // IDT的大小
    WORD LowIDTbase;    // IDT的低位地址
    WORD HiIDTbase; // IDT的高位地址
} IDTINFO;

#include <stdio.h>
int main () {
 
  unsigned char m[2+4], rpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3";   //相当于SIDT[adrr],其中addr用于保存IDT地址
  *((unsigned*)&rpill[3]) = (unsigned)m;    //将sidt[addr]中的addr设为m的地址
  ((void(*)())&rpill)();    //执行SIDT指令，并将读取后IDT地址保存在数组m中
 
  printf ("idt base: %#x\n", *((unsigned*)&m[2]));  //由于前2字节为IDT大小，因此从m[2]开始即为IDT地址
  if (m[5]>0xd0) printf ("Inside Matrix!\n", m[5]); //当IDT基址大于0xd0xxxxxx时则说明程序处于VMware中
  else printf ("Not in Matrix.\n");
  return 0;
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.jpg （57.36kb，3992次下载）
2.jpg （54.62kb，3980次下载）
3.jpg （41.19kb，3974次下载）
4.jpg （51.64kb，3972次下载）
5.jpg （33.50kb，3945次下载）
6.jpg （23.98kb，3938次下载）
7.jpg （29.04kb，3962次下载）
8.jpg （29.47kb，3950次下载）
9.jpg （51.33kb，3976次下载）
虚拟机检测技术剖析.doc （382.00kb，2421次下载）

收藏・401

免费・12

支持

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-5-31 03:33

伟叔叔

为你点赞~

2024-2-16 00:04

QinBeast

为你点赞~

2024-1-17 00:21

shinratensei

为你点赞~

2024-1-10 02:19

心游尘世外

为你点赞~

2023-12-30 00:24

飘零丶

为你点赞~

2023-12-18 00:13

067LYC

为你点赞~

2023-7-18 11:37

PLEBFE

为你点赞~

2023-3-18 00:56

Valdoivre

为你点赞~

2021-3-8 15:17

AcheronHana

为你点赞~

2020-9-12 20:49

mingsijie

为你点赞~

2019-10-10 23:35

余生挚爱传奇

为你点赞~

2019-4-14 09:25

最新回复 (139) 1 2 3 4 5 6 ▶
linhanshi 雪币： 104191 活跃值： (202054) 能力值： (RANK：10 ) 在线值：发帖 9298 回帖 28018 粉丝 480 关注私信	linhanshi 2 楼 Thanks for share. 2010-9-6 23:39 0
madsys 雪币： 328 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 158 粉丝 0 关注私信	madsys 3 楼图文并茂啊,挺全的. 把一些人压箱底的技术抖出来了...哈哈! 感谢楼主的无私分享! 2010-9-6 23:44 0
ytfsse 雪币： 247 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	ytfsse 4 楼谢谢分享，这些技术不错，有些以前都没有看见过，而且有些检查也很特别啊 2010-9-7 00:11 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 5 楼 good. 2010-9-7 00:22 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 679 粉丝 1 关注私信	pencil 5 6 楼好文章 2010-9-7 00:29 0
kkmylove 雪币： 338 活跃值： (103) 能力值： ( LV7，RANK：110 ) 在线值：发帖 24 回帖 290 粉丝 2 关注私信	kkmylove 2 7 楼谢谢泉哥分享学习了 2010-9-7 00:49 0
scapegoat 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	scapegoat 8 楼感谢分享！！ 2010-9-7 09:43 0
onbadday 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 169 粉丝 0 关注私信	onbadday 9 楼精品文章~~~ 2010-9-7 10:30 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 6 关注私信	foxabu 13 10 楼可以考虑开启VT,然后disable_backdoor. 当然工具也是可以不安装的。 2010-9-7 10:51 0
riusksk 雪币： 433 活跃值： (1890) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 272 关注私信	riusksk 41 11 楼 Intel自2005年末开始便在其处理器产品线中推广应用Intel Virtualization Technology(Intel VT)虚拟化技术。目前，Intel已经发布了具有Intel VT虚拟化技术的一系列处理器产品，包括桌面平台的Pentium 4 6X2系列、Pentium D 9X0系列和Pentium EE 9XX系列以及celeron E3XXX,core2 Duo E8XXX,core2 E6X50,部分core2 E6X00,core2 Extreme全系列，此外最新的pentium dual-core E5X00,E6X00,core2 E7X00也支持。最后还有 core i7,core i5也支持VT . 开启VT就需要你的CPU必须支持VT特性（Intel-VT, AMD-V），不过我的CPU不支持VT，这个可以用类似cpu-z或者securable的工具检测，以下是我的CPU检测结果（提示：CPU不支持，BIOS支持）：上传的附件：捕获.JPG （62.24kb，3831次下载） 2010-9-7 11:40 0
lyvain 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	lyvain 12 楼求对抗方法。 2010-9-7 17:10 0
wujimaa 雪币： 364 活跃值： (2011) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 175 粉丝 1 关注私信	wujimaa 1 13 楼好东西，收藏　学习 2010-9-7 17:19 0
snrsnr 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 40 粉丝 0 关注私信	snrsnr 14 楼好文章就得顶 2010-9-7 17:33 0
skybright 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	skybright 15 楼好文章，顶顶更上一层楼 2010-9-7 17:37 0
imbadyc 雪币： 181 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 86 粉丝 0 关注私信	imbadyc 16 楼谢谢分享~~ 2010-9-7 20:24 0
wuchuanlu 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 110 粉丝 0 关注私信	wuchuanlu 17 楼不太懂慢慢学习谢谢 2010-9-7 21:18 0
海风月影雪币： 7327 活跃值： (3813) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2310 粉丝 123 关注私信	海风月影 22 18 楼随着虚拟化技术的发展，以后应用程序放到虚拟机里面运行是大势所趋检测虚拟机的意义会越来越小 2010-9-7 21:52 1
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 19 楼好贴，收获颇丰！ 2010-9-7 22:25 0
大头和尚雪币： 421 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 483 粉丝 1 关注私信	大头和尚 20 楼高屋建瓴的帖子，多谢分享。 2010-9-7 23:02 0
kagayaki 雪币： 3284 活跃值： (6042) 能力值： ( LV3，RANK：20 ) 在线值：发帖 175 回帖 1277 粉丝 26 关注私信	kagayaki 21 楼感谢楼主的无私分享! 2010-9-8 01:02 0
joker陈雪币： 11491 活跃值： (3430) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 343 粉丝 4 关注私信	joker陈 22 楼感谢泉哥分享 2010-9-8 08:56 0
iwaxy 雪币： 250 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 83 粉丝 0 关注私信	iwaxy 1 23 楼好东西，支持一下。感谢lz 2010-9-8 08:58 0
yasm 雪币： 72 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 165 粉丝 0 关注私信	yasm 24 楼只剩赞的份了，泉哥啊，你有空给我指点指点呗。 2010-9-8 18:06 0
hmilywen 雪币： 1570 活跃值： (1004) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 25 楼学习下! 2010-9-8 18:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

riusksk

169

发帖

2648

回帖

1820

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (139) 1 2 3 4 5 6 ▶
linhanshi 雪币： 104191 活跃值： (202054) 能力值： (RANK：10 ) 在线值：发帖 9298 回帖 28018 粉丝 480 关注私信	linhanshi 2 楼 Thanks for share. 2010-9-6 23:39 0
madsys 雪币： 328 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 158 粉丝 0 关注私信	madsys 3 楼图文并茂啊,挺全的. 把一些人压箱底的技术抖出来了...哈哈! 感谢楼主的无私分享! 2010-9-6 23:44 0
ytfsse 雪币： 247 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	ytfsse 4 楼谢谢分享，这些技术不错，有些以前都没有看见过，而且有些检查也很特别啊 2010-9-7 00:11 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 5 楼 good. 2010-9-7 00:22 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 679 粉丝 1 关注私信	pencil 5 6 楼好文章 2010-9-7 00:29 0
kkmylove 雪币： 338 活跃值： (103) 能力值： ( LV7，RANK：110 ) 在线值：发帖 24 回帖 290 粉丝 2 关注私信	kkmylove 2 7 楼谢谢泉哥分享学习了 2010-9-7 00:49 0
scapegoat 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	scapegoat 8 楼感谢分享！！ 2010-9-7 09:43 0
onbadday 雪币： 293 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 169 粉丝 0 关注私信	onbadday 9 楼精品文章~~~ 2010-9-7 10:30 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 6 关注私信	foxabu 13 10 楼可以考虑开启VT,然后disable_backdoor. 当然工具也是可以不安装的。 2010-9-7 10:51 0
riusksk 雪币： 433 活跃值： (1890) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 272 关注私信	riusksk 41 11 楼 Intel自2005年末开始便在其处理器产品线中推广应用Intel Virtualization Technology(Intel VT)虚拟化技术。目前，Intel已经发布了具有Intel VT虚拟化技术的一系列处理器产品，包括桌面平台的Pentium 4 6X2系列、Pentium D 9X0系列和Pentium EE 9XX系列以及celeron E3XXX,core2 Duo E8XXX,core2 E6X50,部分core2 E6X00,core2 Extreme全系列，此外最新的pentium dual-core E5X00,E6X00,core2 E7X00也支持。最后还有 core i7,core i5也支持VT . 开启VT就需要你的CPU必须支持VT特性（Intel-VT, AMD-V），不过我的CPU不支持VT，这个可以用类似cpu-z或者securable的工具检测，以下是我的CPU检测结果（提示：CPU不支持，BIOS支持）：上传的附件：捕获.JPG （62.24kb，3831次下载） 2010-9-7 11:40 0
lyvain 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	lyvain 12 楼求对抗方法。 2010-9-7 17:10 0
wujimaa 雪币： 364 活跃值： (2011) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 175 粉丝 1 关注私信	wujimaa 1 13 楼好东西，收藏　学习 2010-9-7 17:19 0
snrsnr 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 40 粉丝 0 关注私信	snrsnr 14 楼好文章就得顶 2010-9-7 17:33 0
skybright 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	skybright 15 楼好文章，顶顶更上一层楼 2010-9-7 17:37 0
imbadyc 雪币： 181 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 86 粉丝 0 关注私信	imbadyc 16 楼谢谢分享~~ 2010-9-7 20:24 0
wuchuanlu 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 110 粉丝 0 关注私信	wuchuanlu 17 楼不太懂慢慢学习谢谢 2010-9-7 21:18 0
海风月影雪币： 7327 活跃值： (3813) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2310 粉丝 123 关注私信	海风月影 22 18 楼随着虚拟化技术的发展，以后应用程序放到虚拟机里面运行是大势所趋检测虚拟机的意义会越来越小 2010-9-7 21:52 1
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 19 楼好贴，收获颇丰！ 2010-9-7 22:25 0
大头和尚雪币： 421 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 483 粉丝 1 关注私信	大头和尚 20 楼高屋建瓴的帖子，多谢分享。 2010-9-7 23:02 0
kagayaki 雪币： 3284 活跃值： (6042) 能力值： ( LV3，RANK：20 ) 在线值：发帖 175 回帖 1277 粉丝 26 关注私信	kagayaki 21 楼感谢楼主的无私分享! 2010-9-8 01:02 0
joker陈雪币： 11491 活跃值： (3430) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 343 粉丝 4 关注私信	joker陈 22 楼感谢泉哥分享 2010-9-8 08:56 0
iwaxy 雪币： 250 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 83 粉丝 0 关注私信	iwaxy 1 23 楼好东西，支持一下。感谢lz 2010-9-8 08:58 0
yasm 雪币： 72 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 165 粉丝 0 关注私信	yasm 24 楼只剩赞的份了，泉哥啊，你有空给我指点指点呗。 2010-9-8 18:06 0
hmilywen 雪币： 1570 活跃值： (1004) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 6 关注私信	hmilywen 25 楼学习下! 2010-9-8 18:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]虚拟机检测技术剖析

账号登录 验证码登录

账号登录

验证码登录