设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 检测自己是否在虚拟机中运行
123下一页
返回列表 发新帖
查看: 53766|回复: 88

检测自己是否在虚拟机中运行

 火... [复制链接]
Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2011-1-8 22:23:47 | 显示全部楼层 |阅读模式
集成了三种方法(通过IDT检测/通过PEB检测/通过注册表检测),核心代码是某网友从QQ上给我的。
核心代码:
游客,如果您要查看本帖隐藏内容请回复

src.rar

9.25 KB, 阅读权限: 10, 下载次数: 85

售价: 2 水晶币  [记录]

我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

nbboy

5

主题

39

回帖

1

精华

铂金会员

积分
1567
发表于 2011-1-8 23:15:46 | 显示全部楼层
要怎样躲过杀毒软件的虚拟机?这个感觉有点价值。不然一个东西做出来。被云上去后。。都被杀了。。。
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2011-1-9 13:12:36 | 显示全部楼层
通过IDT检测虚拟机应该是可以检测到杀软的虚拟机的。
不过如果杀软的云中心不用虚拟机,用真机来测试呢???
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2011-1-9 15:37:45 | 显示全部楼层
在沙盘中运行也肯定是有特征的,比如使用PROCESS_ALL_ACCESS权限打不开Explorer.exe,十有八九是在沙盘中了。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2011-1-10 22:58:44 | 显示全部楼层
可以通过ZwQueryInformationProcess查询一下句柄信息。。。
如果发现被耍了,就。。。
你不会想连ZwQueryInformationProcess也挂钩吧。。。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

huzhao

0

主题

4

回帖

0

精华

初来乍到

积分
6
发表于 2011-1-11 23:09:04 | 显示全部楼层
这个不错,下载下来学习下
回复

举报

Xor

40

主题

324

回帖

0

精华

铂金会员

Eax=0

积分
1575
发表于 2011-3-20 18:59:58 | 显示全部楼层
记得前几天在asm区看见过一个,测试成功了!
Do my best.
回复

举报

heihu

0

主题

26

回帖

0

精华

铜牌会员

积分
215
发表于 2011-6-30 23:05:23 | 显示全部楼层
这个还可以哦
回复

举报

rshell

0

主题

62

回帖

0

精华

银牌会员

积分
341
发表于 2011-7-3 07:46:22 | 显示全部楼层
还有一个方法是枚举进程看看有没有虚拟机相关的进程
回复

举报

ty0625

3

主题

22

回帖

0

精华

初来乍到

积分
12
发表于 2011-7-5 16:16:18 | 显示全部楼层
作用是什么?防止被人用虚拟机调试?
回复

举报

x64jxc25

0

主题

3

回帖

0

精华

初来乍到

积分
23
发表于 2011-7-6 12:25:38 | 显示全部楼层
适用于什么虚拟机?VM还是VPC?
回复

举报

pinkboy

0

主题

8

回帖

0

精华

初来乍到

积分
25
发表于 2011-11-16 13:44:00 | 显示全部楼层
要怎样躲过杀毒软件的虚拟机?
回复

举报

billypon

5

主题

75

回帖

0

精华

管理员

积分
1353
发表于 2011-11-17 15:13:52 | 显示全部楼层
以为是检测是否在vm或vbox等虚拟机里运行的,结果是检测是否在杀软的虚拟机中运行
回复

举报

watchsky

4

主题

183

回帖

3

精华

钻石会员

积分
4965
发表于 2011-12-16 22:20:03 | 显示全部楼层
阅读权限太高,看不了,话说乔丹二世大哥怎么还没给我贴加精啊,核心会员都申请不了!
回复

举报

xmlpull

9

主题

117

回帖

0

精华

银牌会员

积分
422
发表于 2011-12-16 22:27:53 | 显示全部楼层
是不是TMD也是怎么检查的。!
回复

举报

cainiaocai

2

主题

17

回帖

0

精华

初来乍到

积分
29
发表于 2011-12-21 01:35:09 | 显示全部楼层
B4斑竹搜刮民脂民膏
回复

举报

cainiaocai

2

主题

17

回帖

0

精华

初来乍到

积分
29
发表于 2011-12-21 01:43:36 | 显示全部楼层
VB看不懂,原理是什么,怎么检测虚拟机{:soso_e132:}
回复

举报

supertankhzt

4

主题

37

回帖

0

精华

铜牌会员

积分
296
QQ
发表于 2011-12-21 02:52:09 | 显示全部楼层
那反过来,VM虚拟机怎样才能尽量防止被软件检测到自己是在虚拟机中运行?
有些游戏为了防止多开,检测到自己在虚拟机中运行就强制退出。
VM虚拟机里有好几个进程都是VM开头的,还有显卡网卡之类的名称也是VM开头的这很容易被检测出来呀。
回复

举报

dico

2

主题

72

回帖

0

精华

银牌会员

积分
597
发表于 2012-1-24 19:25:35 | 显示全部楼层
这个是检测卡巴这样的虚拟机的吧?
回复

举报

sijin

0

主题

63

回帖

0

精华

铜牌会员

积分
169
发表于 2012-1-26 02:10:54 | 显示全部楼层
改成C去玩玩,谢谢分享
回复

举报

LittlePig

8

主题

149

回帖

2

精华

钻石会员

积分
3407
发表于 2012-1-26 21:48:36 | 显示全部楼层
瞅一眼……
导航屋编程论坛
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2012-1-27 00:40:40 | 显示全部楼层
supertankhzt 发表于 2011-12-21 02:52
那反过来,VM虚拟机怎样才能尽量防止被软件检测到自己是在虚拟机中运行?
有些游戏为了防止多开,检测到自 ...

这个貌似比较难,被检测出来是正常的,检测不出来,才是不正常的。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

sdice

0

主题

1

回帖

0

精华

初来乍到

积分
6
发表于 2012-2-3 22:10:07 | 显示全部楼层
看看效果
回复

举报

diyman

0

主题

3

回帖

0

精华

初来乍到

积分
16
发表于 2012-2-20 17:58:36 | 显示全部楼层
原理是什么
回复

举报

qwert502

0

主题

92

回帖

0

精华

铜牌会员

积分
166
发表于 2012-3-16 16:34:02 | 显示全部楼层
这个有点用,收藏
回复

举报

2295253

0

主题

4

回帖

0

精华

初来乍到

积分
37
发表于 2012-3-20 11:54:54 | 显示全部楼层
好东西!我收下了啊
回复

举报

qwerasdf

0

主题

40

回帖

0

精华

铜牌会员

积分
192
发表于 2012-3-29 14:55:02 | 显示全部楼层
(通过IDT检测/通过PEB检测/通过注册表检测
回复

举报

pushad

0

主题

6

回帖

0

精华

初来乍到

积分
24
发表于 2012-4-6 22:38:02 | 显示全部楼层
学习一下,谢谢。
回复

举报

zypA13510

1

主题

12

回帖

0

精华

铜牌会员

积分
131
发表于 2012-4-20 18:27:00 | 显示全部楼层
好像这种应用现在很多了,像防止多开的游戏。
其实虚拟机想不被检测出来也就尽可能的完善与真机的差别啊,比如挂上上面提到那些API什么的。
其实如果直接把原机的物理信息共享到虚拟机应该也行吧?
回复

举报

Wesaidok

0

主题

11

回帖

0

精华

初来乍到

积分
21
发表于 2012-5-19 10:36:33 来自手机 | 显示全部楼层
看看如何检测
回复

举报

liubin121051

0

主题

25

回帖

0

精华

铜牌会员

积分
34
发表于 2012-6-1 19:25:54 | 显示全部楼层
看看看看看看
回复

举报

wjshome

1

主题

49

回帖

1

精华

金牌会员

积分
1225
发表于 2012-6-12 10:35:12 | 显示全部楼层
学习。
回复

举报

123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表