反虚拟机技术总结

总结一下反虚拟机检测技术

 

相关博客：http://bbs.pediy.com/thread-119969.htm

 

根据特定的文件夹或文件信息

通过查找磁盘中是否存在特定的文件夹或文件，判断当前是否在虚拟机中。VMware虚拟机中通常会有路径C:Program FilesVMwareVMware Tools；VirtualBox虚拟机中通常会有路径C:Program FilesOracleVirtualBox Guest Additions。

 

根据当前进程信息

通过进程快照读取当前进程信息，查找是否存在虚拟机中特有的进程，如VMware中的vmware.exe和VirtualBox中的VBoxService.exe。

 

根据特定服务名

通过获取主机当前具有VMware特性的服务信息，判断当前主机是否为虚拟机。在VMware中通常会存在VMware物理磁盘助手服务和VMware Tools服务等；在VirtualBox中通常会存在VirtualBox Guest Additions Service服务等。

 

根据特定注册表信息

通过读取主机具有虚拟机特性的注册表位置来判断是否处于虚拟机环境中。针对VMware可以判断注册表项HKEY_CLASSES_ROOT\Applications\VMwareHostOpen.exe；针对VirtualBox可以判断注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\VirtualBox Guest Additions。当然，注册表中能被检测出的位置很多，这里只是举个例子。

 

方法一：通过执行特权指令来检测虚拟机

Vmware为真主机与虚拟机之间提供了相互沟通的通讯机制，它使用“IN”指令来读取特定端口的数据以进行两机通讯，但由于IN指令属于特权指令，在处于保护模式下的真机上执行此指令时，除非权限允许，否则将会触发类型为“EXCEPTION_PRIV_INSTRUCTION”的异常，而在虚拟机中并不会发生异常，在指定功能号0A（获取VMware版本）的情况下，它会在EBX中返回其版本号“VMXH”；而当功能号为0x14时，可用于获取VMware内存大小，当大于0时则说明处于虚拟机中。VMDetect正是利用前一种方法来检测VMware的存在，其检测代码分析如下：

 

bool IsInsideVMWare()

{

bool rc = true;

 

__try

{

__asm

{

push edx

push ecx

push ebx

 

mov eax, 'VMXh'

mov ebx, 0 // 将ebx设置为非幻数’VMXH’的其它值

mov ecx, 10 // 指定功能号，用于获取VMWare版本，当它为0x14时用于获取VMware内存大小

mov edx, 'VX' // 端口号

in eax, dx // 从端口dx读取VMware版本到eax

//若上面指定功能号为0x14时，可通过判断eax中的值是否大于0，若是则说明处于虚拟机中

cmp ebx, 'VMXh' // 判断ebx中是否包含VMware版本’VMXh’，若是则在虚拟机中

setz [rc] // 设置返回值

 

pop ebx

pop ecx

pop edx

}

}

__except(EXCEPTION_EXECUTE_HANDLER) //如果未处于VMware中，则触发此异常

{

rc = false;

}

 

return rc;

}

 

 

 

 

方法二：利用IDT基址检测虚拟机

利用IDT基址检测虚拟机的方法是一种通用方式，对VMware和Virtual PC均适用。中断描述符表IDT（Interrupt Descriptor Table）用于查找处理中断时所用的软件函数，它是一个由256项组成的数据，其中每一中断对应一项函数。为了读取IDT基址，我们需要通过SIDT指令来读取IDTR（中断描述符表寄存器，用于IDT在内存中的基址），SIDT指令是以如下格式来存储IDTR的内容：

 

typedef struct

{

WORD IDTLimit; // IDT的大小

WORD LowIDTbase; // IDT的低位地址

WORD HiIDTbase; // IDT的高位地址

} IDTINFO;

 

 

 

由于只存在一个IDTR，但又存在两个操作系统，即虚拟机系统和真主机系统。为了防止发生冲突，VMM（虚拟机监控器）必须更改虚拟机中的IDT地址，利用真主机与虚拟机环境中执行sidt指令的差异即可用于检测虚拟机是否存在。著名的“红丸”（redpill）正是利用此原理来检测VMware的。Redpill作者在VMware上发现虚拟机系统上的IDT地址通常位于0xFFXXXXXX，而Virtual PC通常位于0xE8XXXXXX，而在真实主机上正如图2所示都位于0x80xxxxxx。Redpill仅仅是通过判断执行SIDT指令后返回的第一字节是否大于0xD0，若是则说明它处于虚拟机，否则处于真实主机中。

 

 

#include <stdio.h>
int main () {
 
unsigned char m[2+4], rpill[] = "x0fx01x0dx00x00x00x00xc3"; //相当于SIDT[adrr],其中addr用于保存IDT地址
*((unsigned*)&rpill[3]) = (unsigned)m; //将sidt[addr]中的addr设为m的地址
((void(*)())&rpill)(); //执行SIDT指令，并将读取后IDT地址保存在数组m中
 
printf ("idt base: %#x
", *((unsigned*)&m[2])); //由于前2字节为IDT大小，因此从m[2]开始即为IDT地址
if (m[5]>0xd0) printf ("Inside Matrix!
", m[5]); //当IDT基址大于0xd0xxxxxx时则说明程序处于VMware中
else printf ("Not in Matrix.
");
return 0;
}

 

 

 

利用此IDT检测的方法存在一个缺陷，由于IDT的值只针对处于正在运行的处理器而言，在单CPU中它是个常量，但当它处于多CPU时就可能会受到影响了，因为每个CPU都有其自己的IDT，这样问题就自然而然的产生了。针对此问题，Offensive Computing组织成员提出了两种应对方法，其中一种方法就是利用Redpill反复地在系统上循环执行任务，以此构造出一张当前系统的IDT值变化统计图，但这会增加CPU负担；另一种方法就是windows API函数SetThreadAffinityMask()将线程限制在单处理器上执行，当执行此测试时只能准确地将线程执行环境限制在本地处理器，而对于将线程限制在VM处理器上就可能行不通了，因为VM是计划在各处理器上运行的，VM线程在不同的处理器上执行时，IDT值将会发生变化，因此此方法也是很少被使用的。为此，有人提出了使用LDT的检测方法，它在具有多个CPU的环境下检测虚拟机明显优于IDT检测方法，该方法具体内容参见下节内容。

 

方法三：利用LDT和GDT的检测方法

在 《Intel® 64 and IA-32  Architecture Software Developer’s Manual Volume 3A: System Programming Guide》第二章的Vol.3 2-5 一页（我的Intel开发手册是2008版的）中对于LDT和GDT的描述如下（以下内容为个人翻译）：

在保护模式下，所有的内存访问都要通过全局描述符表（GDT）或者本地描述符表（LDT）才能进行。这些表包含有段描述符的调用入口。各个段描述符都包含有各段的基址，访问权限，类型和使用信息，而且每个段描述符都拥有一个与之相匹配的段选择子，各个段选择子都为软件程序提供一个GDT或LDT索引（与之相关联的段描述符偏移量），一个全局/本地标志（决定段选择子是指向GDT还是LDT），以及访问权限信息。

若想访问段中的某一字节，必须同时提供一个段选择子和一个偏移量。段选择子为段提供可访问的段描述符地址（在GDT 或者LDT 中）。通过段描述符，处理器从中获取段在线性地址空间里的基址，而偏移量用于确定字节地址相对基址的位置。假定处理器在当前权限级别（CPL）可访问这个段，那么通过这种机制就可以访问在GDT 或LDT 中的各种有效代码、数据或者堆栈段，这里的CPL是指当前可执行代码段的保护级别。

……

GDT的线性基址被保存在GDT寄存器（GDTR）中，而LDT的线性基址被保存在LDT寄存器（LDTR）中。 

 

由于虚拟机与真实主机中的GDT和LDT并不能相同，这与使用IDT的检测方法一样，因此虚拟机必须为它们提供一个“复制体”。关于GDT和LDT的基址可通过SGDT和SLDT指令获取。虚拟机检测工具Scoopy suite的作者Tobias Klein经测试发现，当LDT基址位于0x0000（只有两字节）时为真实主机，否则为虚拟机，而当GDT基址位于0xFFXXXXXX时说明处于虚拟机中，否则为真实主机。

 

#include <stdio.h>
 
void LDTDetect(void)
{
unsigned short ldt_addr = 0;
unsigned char ldtr[2];
 
_asm sldt ldtr
ldt_addr = *((unsigned short *)&ldtr);
printf("LDT BaseAddr: 0x%x
", ldt_addr);
 
if(ldt_addr == 0x0000)
{
printf("Native OS
");
}
else
printf("Inside VMware
");
}
 
void GDTDetect(void)
{
unsigned int gdt_addr = 0;
unsigned char gdtr[4];
 
_asm sgdt gdtr
gdt_addr = *((unsigned int *)&gdtr[2]);
printf("GDT BaseAddr:0x%x
", gdt_addr);
 
if((gdt_addr >> 24) == 0xff)
{
printf("Inside VMware
");
}
else
printf("Native OS
");
}
 
int main(void)
{
LDTDetect();
GDTDetect();
return 0;
}
 

 

 

方法四：基于STR的检测方法

在保护模式下运行的所有程序在切换任务时，对于当前任务中指向TSS的段选择器将会被存储在任务寄存器中，TSS中包含有当前任务的可执行环境状态，包括通用寄存器状态，段寄存器状态，标志寄存器状态，EIP寄存器状态等等，当此项任务再次被执行时，处理器就会其原先保存的任务状态。每项任务均有其自己的TSS，而我们可以通过STR指令来获取指向当前任务中TSS的段选择器。这里STR（Store task register）指令是用于将任务寄存器 (TR) 中的段选择器存储到目标操作数，目标操作数可以是通用寄存器或内存位置，使用此指令存储的段选择器指向当前正在运行的任务的任务状态段 (TSS)。在虚拟机和真实主机之中，通过STR读取的地址是不同的，当地址等于0x0040xxxx时，说明处于虚拟机中，否则为真实主机。实现代码如下：

 

方法五：基于注册表检测虚拟机

在windows虚拟机中常常安装有VMware Tools以及其它的虚拟硬件（如网络适配器、虚拟打印机，USB集线器……），它们都会创建任何程序都可以读取的windows注册表项，因此我们可以通过检测注册表中的一些关键字符来判断程序是否处于虚拟机之中。关于这些注册表的位置我们可以通过在注册表中搜索关键词“vmware”来获取，下面是我在VMware下的WinXP中找到的一些注册表项：

 

项名：HKEY_CLASSES_ROOTApplicationsVMwareHostOpen.exe

项名：HKEY_CLASSES_ROOTInstallerProductsC2A6F2EFE6910124C940B2B12CF170FEProductName

键值“VMware Tools”

项名：HKEY_CLASSES_ROOTInstallerProductsC2A6F2EFE6910124C940B2B12CF170FESourceListPackageName

键值：VMware Tools.msi

项名：HKEY_CURRENT_USERPrintersDeviceOld

键值：_#VMwareVirtualPrinter,winspool,TPVM:

项名：HKEY_LOCAL_MACHINEHARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Target Id 0Logical Unit Id 0Identifier

键值：VMware Virtual IDE Hard Drive

项名：HKEY_LOCAL_MACHINEHARDWAREDEVICEMAPScsiScsi Port 1Scsi Bus 0Target Id 0Logical Unit Id 0Identifier

键值：NECVMWar VMware IDE CDR10

项名：HKEY_LOCAL_MACHINESOFTWAREClassesInstallerProductsC2A6F2EFE6910124C940B2B12CF170FEProductName

键值：VMware Tools

项名：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ProductsC2A6F2EFE6910124C940B2B12CF170FEInstallPropertiesDisplayName

键值：VMware Tools

项名：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionReinstall002DeviceDesc

键值：VMware SVGA II

项名：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkCards2Description

键值：VMware Accelerated AMD PCNet Adapter

项名：HKEY_LOCAL_MACHINESOFTWAREVMware, Inc.VMware Tools

项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E968-E325-11CE-BFC1-08002BE10318}000DriverDesc

键值：VMware SVGA II

项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E968-E325-11CE-BFC1-

08002BE10318}000ProviderName

键值：VMware, Inc.

项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E972-E325-11CE-BFC1-08002bE10318}001DriverDesc

键值：VMware Accelerated AMD PCNet Adapter

项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E97B-E325-11CE-BFC1-08002BE10318}000DriverDesc

键值：VMware SCSI Controller

项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlPrintMonitorsThinPrint Print Port Monitor for VMWare

 

除以上这些表项之外，还有很多地方可以检测，特别是虚拟机提供的虚拟化软硬件、服务之类，比如文件共享服务，VMware 物理磁盘助手服务，VMware Ethernet Adapter Driver，VMware SCSI Controller等等的这些信息都可作为检测虚拟机的手段。这里我们就以其中某表项为例编程举例一下，其它表项检测方法同理

 

方法六：基于时间差的检测方式

本方法通过运行一段特定代码，然后比较这段代码在虚拟机和真实主机之中的相对运行时间，以此来判断是否处于虚拟机之中。这段代码我们可以通过RDTSC指令来实现，RDTSC指令是用于将计算机启动以来的CPU运行周期数存放到EDX：EAX里面，其中EDX是高位，而EAX是低位。下面我们以xchg    ecx,  eax 一句指令的运行时间为例，这段指令在我的真实主机windows 7系统上的运行时间为0000001E，

两者之间的运行时间明显差别很多，在虚拟机中的运行速度远不如真实主机的，一般情况下，当它的运行时间大于0xFF时，就可以确定它处于虚拟机之中了，因此不难写出检测程序，具体实现代码如下：

 

方法七：利用虚拟硬件指纹检测虚拟机

利用虚拟硬件指纹也可用于检测虚拟机的存在，比如VMware默认的网卡MAC地址前缀为“00-05-69，00-0C-29或者00-50-56”，这前3节是由VMware分配的唯一标识符OUI，以供它的虚拟化适配器使用。在我的VMWare WinXP下的MAC地址为00-0C-29-5B-D7-67，

 

 

 

总结

国外SANS安全组织的研究人员总结出当前各种虚拟机检测手段不外乎以下四类：

·        搜索虚拟环境中的进程，文件系统，注册表；

·        搜索虚拟环境中的内存

·        搜索虚拟环境中的特定虚拟硬件

·        搜索虚拟环境中的特定处理器指令和功能

因为现代计算系统大多是由文件系统，内存，处理器及各种硬件组件构成的，上面提到的四种检测手段均包含了这些因素。纵观前面各种检测方法，也均在此四类当中。除此之外，也有人提出通过网络来检测虚拟机，比如搜索ICMP和TCP数据通讯的时间差异，IP ID数据包差异以及数据包中的异常头信息等等。随着技术研究的深入，相信会有更多的检测手段出现，与此同时，虚拟机厂商也会不断进化它们的产品，以增加anti-vmware的难度，这不也正是一场永无休止的无烟战争！