Określ, kiedy działa na maszynie wirtualnej

Projekt kodu pokazuje sposób na wykrycie, czy twój program działa wewnątrz maszyny Wirtualnej, który szczegółowo opisuje, jak go wykonać, aby dobrze zrozumieć

Myślę, że najlepszym podejściem do tego jest sprawdzenie profili sprzętowych. Zwirtualizowany sprzęt zwykle używa części nazwy firmy. Jeśli zaznaczysz Opis płyty głównej w wirtualnym komputerze, zauważysz, że jest ona wykonana przez "Microsoft Corporation". Podobnie w VMWare Karta ethernet będzie poprzedzona znakiem vmnet.

Ten wątek na forach SysInternals zawiera kilka odpowiedzi (oczywiście w Delphi), w tym jedną funkcję IsVM. Przetestowałem NA XP i Win2003 hostowane na XP i Vista w VMWare z dobrymi wynikami.

Tu jest sposób WMI: http://blogs.msdn.com/virtual_pc_guy/archive/2005/10/27/484479.aspx

Dwukrotnie sprawdzałem obraz XP uruchomiony na wirtualnym komputerze, a wartość, dla której testują, jest nadal taka sama. Nie gwarantuję jednak, jakie inne maszyny wirtualne tu wrócą...

Właściwie mam program Delphi, który napisałem kilka lat temu, aby uzyskać listę I zmienić domyślną drukarkę za pomocą WMI, bez konieczności stosowania komponentów innych firm lub czegoś podobnego. W jeśli nie jesteś przyzwyczajony do pracy z WMI z Delphi, mogę wysłać Ci kopię, więc masz coś do pracy off (niekoniecznie jest to zgodne z Unicode, choć, ale nie powinno być zbyt trudne dla mnie, aby uaktualnić go w razie potrzeby).

Użyłem metody RedPill (przetłumaczonej na Delphi, ale kod nie jest taki trudny do zrozumienia), która działała dość dobrze. Włączyłem również kilka dodatkowych kontroli za pomocą połączeń WMI, aby uzyskać takie rzeczy, jak nazwa dostawcy karty sieciowej i prawa autorskie, ale to było do wykrywania konkretnych wersji wirtualnego komputera.

Moje zrozumienie metody RedPill jest takie, że powinna ona działać i wykrywać wszystkie maszyny wirtualne w oparciu o naturę działania. Istnieje możliwość, że fałszywe pozytywy mogą być generowane również jako nowa funkcja Windows w systemie Windows 7 może być skonfigurowany do uruchamiania wybranych programów w kopii systemu Windows XP bezproblemowo wewnątrz systemu Windows 7.

Miałem szczęście tylko patrząc na adres MAC, ponieważ wszyscy producenci otrzymują blok, a pierwsze 3 części są dla nich unikalne.

//look at the MAC address and determine if it's a Virtual Machine
$temp = preg_split("/\s+/",exec("/sbin/ifconfig -a eth0 2>&1 | /bin/grep HWaddr"), -1, PREG_SPLIT_NO_EMPTY);
//Virtual Box MACs all start with '08:00:27:xx:xx:xx'
if (strpos($temp[4], '08:00:27') !== false) $_SESSION['DEVELOPMENT'] = true;  

Aby określić, że maszyna jest fizyczna lub VM

dmidecode | egrep -i 'manufacturer|product'

Jeśli nie znaleziono polecenia dmidecode zainstaluj odpowiednie rpm.

Jest to testowane na maszynach EXSI, VMWARE i hyperv.

Jeśli chcesz ogólnie wykryć obecność dowolnego rodzaju wirtualizacji, najlepiej analizować charakterystykę wydajności. Weź coś, co jest znacznie wolniejsze w wirtualizacji(np. MMU ciężkie obciążenie pracą, jak Fork-bomb) i zmierz go z normalną aplikacją przestrzeni użytkownika związaną z procesorem. Z proporcji można łatwo stwierdzić.

Najprostszym pod względem wysiłku, jeśli zależy Ci tylko na niektórych VMMs, jest szukanie ich sprzętu - tj. urządzeń VMware PCI:

00:07.3 Mostek: Intel Corporation 82371AB/EB / MB PIIX4 ACPI (rev 08) Podsystem: VMware Inc Virtual Machine Chipset

15ad:1976

Wartość sprzedawcy to '15AD'

Istnieją również specyficzne porty backdoor, które działają na różnych VMMs w różnych wersjach. SIDT trick też jest dobry, ale co jeśli VMM nie jest na liście, że jego kod sprawdza?

dmidecode -s system-product-name

Testowane na VirtualBox, wynik:

Virtualbox