反虛擬機技術合集2
4.根據特定的文件夾或文件信息
通過查找磁盤中是否存在特定的文件夾或文件,判斷當前是否在虛擬機中。VMware虛擬機中通常會有路徑C:\\Program Files\\VMware\\VMware Tools\\;VirtualBox 虛擬機中通常會有路徑 C:\\Program Files\\Oracle\\VirtualBox Guest Additions\\。
BOOL CheckVMware()
{
if (PathIsDirectory("C:\\\\Program Files\\\\VMware\\\\VMware Tools\\\\") == 0)
{
return FALSE;
}
else
{
return TRUE;
}
}
BOOL CheckVirtualBox()
{
if (PathIsDirectory("C:\\\\Program Files\\\\Oracle\\\\VirtualBox Guest Additions\\\\") == 0)
{
return FALSE;
}
else
{
return TRUE;
}
}
5.根據特定注冊表信息
通過讀取主機具有虛擬機特性的注冊表位置來判斷是否處于虛擬機環境中。針對VMware可以判斷注冊表項HKEY_CLASSES_ROOT\\Applications\\VMwareHostOpen.exe;針對VirtualBox可以判斷注冊表項HKEY_LOCAL_MACHINE\\SOFTWARE\\Oracle\\VirtualBox Guest Additions。當然,注冊表中能被檢測出的位置很多,這里只是舉個例子。
BOOL CheckVMWare()
{
HKEY hkey;
if (RegOpenKey(HKEY_CLASSES_ROOT, "\\\\Applications\\\\VMwareHostOpen.exe", &hkey) == ERROR_SUCCESS)
{
return TRUE;
}
else
{
return FALSE;
}
}
BOOL CheckVirtualBox()
{
HKEY hkey;
if (RegOpenKey(HKEY_LOCAL_MACHINE, "SOFTWARE\\\\Oracle\\\\VirtualBox Guest Additions", &hkey) == ERROR_SUCCESS)
{
return TRUE;
}
else
{
return FALSE;
}
}
6.根據特定服務名
通過獲取主機當前具有VMware特性的服務信息,判斷當前主機是否為虛擬機。在VMware中通常會存在VMware物理磁盤助手服務和VMware Tools服務等;在VirtualBox中通常會存在VirtualBox Guest Additions Service服務等。
BOOL CheckVMWare()
{
int menu = 0;
//打開系統服務控制器
SC_HANDLE SCMan = OpenSCManager(NULL, NULL, SC_MANAGER_ENUMERATE_SERVICE);
if(SCMan == NULL)
{
cout << GetLastError() << endl;
printf("OpenSCManager Eorror/n");
return -1;
}
//保存系統服務的結構
LPENUM_SERVICE_STATUSA service_status;
DWORD cbBytesNeeded = NULL;
DWORD ServicesReturned = NULL;
DWORD ResumeHandle = NULL;
service_status = (LPENUM_SERVICE_STATUSA)LocalAlloc(LPTR, 1024 * 64);
//獲取系統服務的簡單信息
bool ESS = EnumServicesStatusA(SCMan, //系統服務句柄
SERVICE_WIN32, //服務的類型
SERVICE_STATE_ALL, //服務的狀態
(LPENUM_SERVICE_STATUSA)service_status, //輸出參數,系統服務的結構
1024 * 64, //結構的大小
&cbBytesNeeded, //輸出參數,接收返回所需的服務
&ServicesReturned, //輸出參數,接收返回服務的數量
&ResumeHandle); //輸入輸出參數,第一次調用必須為0,返回為0代表成功
if(ESS == NULL)
{
printf("EnumServicesStatus Eorror/n");
return -1;
}
for(int i = 0; i < ServicesReturned; i++)
{
if (strstr(service_status[i].lpDisplayName, "VMware Tools")!=NULL || strstr(service_status[i].lpDisplayName, "VMware 物理磁盤助手服務")!=NULL)
{
return TRUE;
}
}
//關閉服務管理器的句柄
CloseServiceHandle(SCMan);
return FALSE;
}
BOOL CheckVirtualPC()
{
int menu = 0;
//打開系統服務控制器
SC_HANDLE SCMan = OpenSCManager(NULL, NULL, SC_MANAGER_ENUMERATE_SERVICE);
if(SCMan == NULL)
{
cout << GetLastError() << endl;
printf("OpenSCManager Eorror/n");
return -1;
}
//保存系統服務的結構
LPENUM_SERVICE_STATUSA service_status;
DWORD cbBytesNeeded = NULL;
DWORD ServicesReturned = NULL;
DWORD ResumeHandle = NULL;
service_status = (LPENUM_SERVICE_STATUSA)LocalAlloc(LPTR, 1024 * 64);
//獲取系統服務的簡單信息
bool ESS = EnumServicesStatusA(SCMan, //系統服務句柄
SERVICE_WIN32, //服務的類型
SERVICE_STATE_ALL, //服務的狀態
(LPENUM_SERVICE_STATUSA)service_status, //輸出參數,系統服務的結構
1024 * 64, //結構的大小
&cbBytesNeeded, //輸出參數,接收返回所需的服務
&ServicesReturned, //輸出參數,接收返回服務的數量
&ResumeHandle); //輸入輸出參數,第一次調用必須為0,返回為0代表成功
if(ESS == NULL)
{
printf("EnumServicesStatus Eorror/n");
return -1;
}
for(int i = 0; i < ServicesReturned; i++)
{
if (strstr(service_status[i].lpDisplayName, "Virtual Machine")!=NULL)
{
return TRUE;
}
}
//關閉服務管理器的句柄
CloseServiceHandle(SCMan);
return FALSE;
}
BOOL CheckVirtualBox()
{
int menu = 0;
//打開系統服務控制器
SC_HANDLE SCMan = OpenSCManager(NULL, NULL, SC_MANAGER_ENUMERATE_SERVICE);
if(SCMan == NULL)
{
cout << GetLastError() << endl;
printf("OpenSCManager Eorror/n");
return -1;
}
//保存系統服務的結構
LPENUM_SERVICE_STATUSA service_status;
DWORD cbBytesNeeded = NULL;
DWORD ServicesReturned = NULL;
DWORD ResumeHandle = NULL;
service_status = (LPENUM_SERVICE_STATUSA)LocalAlloc(LPTR, 1024 * 64);
//獲取系統服務的簡單信息
bool ESS = EnumServicesStatusA(SCMan, //系統服務句柄
SERVICE_WIN32, //服務的類型
SERVICE_STATE_ALL, //服務的狀態
(LPENUM_SERVICE_STATUSA)service_status, //輸出參數,系統服務的結構
1024 * 64, //結構的大小
&cbBytesNeeded, //輸出參數,接收返回所需的服務
&ServicesReturned, //輸出參數,接收返回服務的數量
&ResumeHandle); //輸入輸出參數,第一次調用必須為0,返回為0代表成功
if(ESS == NULL)
{
printf("EnumServicesStatus Eorror/n");
return -1;
}
for(int i = 0; i < ServicesReturned; i++)
{
if (strstr(service_status[i].lpDisplayName, "VirtualBox Guest")!=NULL)
{
return TRUE;
}
}
//關閉服務管理器的句柄
CloseServiceHandle(SCMan);
return FALSE;
}
7.根據時間差
由于在虛擬機中,代碼的運行速度通常不如真實主機。所以惡意代碼通過運行一段特定的代碼來比較這段代碼在虛擬機和真實主機之中的相對運行時間,以此來判斷是否處于虛擬機之中。
BOOL CheckVMWare()
{
__asm
{
rdtsc
xchg ebx,eax
rdtsc
sub eax,ebx
cmp eax,0xFF
jg detected
}
return FALSE;
detected:
return TRUE;
}
BOOL CheckVirtualPC()
{
__asm
{
rdtsc
xchg ebx,eax
rdtsc
sub eax,ebx
cmp eax,0xFF
jg detected
}
return FALSE;
detected:
return TRUE;
}
BOOL CheckVirtualBox()
{
__asm
{
rdtsc
xchg ebx,eax
rdtsc
sub eax,ebx
cmp eax,0xFF
jg detected
}
return FALSE;
detected:
return TRUE;
}
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
Mac
+關注
關注
0文章
1117瀏覽量
52659 -
惡意代碼
+關注
關注
0文章
12瀏覽量
7724 -
虛擬機
+關注
關注
1文章
962瀏覽量
29068
發布評論請先 登錄
相關推薦
熱點推薦
什么是虛擬機?虛擬機真的那么好用嗎?
在日新月異的科技世界中,虛擬化技術如同一座橋梁,連接著現實與數字的鴻溝,為我們打開了全新的計算維度。虛擬機,這一概念,自其誕生以來,就以其獨特的魅力和強大的功能,深深地影響了軟件開發、系統測試和云
KVM虛擬機管理和基本使用
KVM — 全稱是基于內核的虛擬機(Kernel-based Virtual Machine)是一個開源軟件,基于內核的虛擬化技術,實際是嵌入系統的一個虛擬化模塊,通過優化內核來使用
linux虛擬機使用教程
引言:Linux虛擬機是一種方便且常用的技術,它允許用戶在現有操作系統的基礎上創建和運行另一個獨立的操作系統。在本篇文章中,我們將提供一份詳盡的教程,幫助你了解如何安裝、配置和使用Linux虛擬機
Docker與虛擬機的區別
Docker和虛擬機是兩種不同的虛擬化技術,它們在實現方式、資源消耗、運行性能等方面存在許多差異。本文將會詳細介紹它們的區別。 一、實現方式 1.1 虛擬機
怎么安裝linux虛擬機
在計算機領域,虛擬機是一種軟件程序,它允許在主操作系統上運行多個虛擬操作系統。Linux虛擬機在開發、測試和學習等環境中得到廣泛應用。本文將詳細介紹如何安裝Linux虛擬機,并提供一個
虛擬機ubuntu怎么聯網
虛擬機ubuntu怎么聯網? 虛擬機(Virtual Machine)是運行在物理機(Host Machine)上的虛擬操作系統環境。在虛擬機
虛擬機數據恢復—KVM虛擬機被誤刪除的數據恢復案例
虛擬機數據恢復環境:
Linux操作系統服務器,EXT4文件系統。服務器中有數臺KVM虛擬機。
虛擬機1:主數據庫服務器
虛擬磁盤:系統盤(qcow
工商網監
評論