Есть ли способ определить из виртуальной машины, что ваш код выполняется внутри виртуальной машины?
Я предполагаю, что есть более или менее простые способы идентифицировать определенные системы виртуальных машин, особенно если на виртуальной машине установлены расширения поставщика (например, для VirtualBox или VMWare). Но есть ли общий способ определить, что вы не работаете непосредственно на ЦП?
Многие исследования посвящены обнаружению так называемых атак «синей пилюли», то есть вредоносного гипервизора, который активно пытается уклониться от обнаружения.
Классический трюк для обнаружения виртуальной машины состоит в том, чтобы заполнить ITLB, запустить инструкцию, которая должна быть виртуализирована (которая обязательно очищает такое состояние процессора, когда он передает управление гипервизору), а затем запустить еще немного кода для определить, заполнен ли еще ITLB. Первый документ по этому вопросу находится здесь, а также довольно красочное объяснение из блог исследователя и альтернатива Wayback Machine ссылка на статью в блоге (изображения битые).
Итог дискуссий по этому поводу состоит в том, что всегда есть способ обнаружить вредоносный гипервизор, и гораздо проще обнаружить тот, который не пытается скрыть.
Red Hat имеет программу, которая определяет, под каким продуктом виртуализации (если есть) он запущен: virt-what < / а>.
Использование стороннего инструмента, например, в долгосрочной перспективе - лучшая стратегия, чем попытка использовать собственную логику обнаружения: больше глаз (тестирование с большим количеством продуктов виртуализации) и т. Д.
Более эмпирический подход - проверить известные драйверы устройств виртуальных машин. Вы можете написать запросы WMI, чтобы найти, например, видеоадаптер VMware, диск, сетевой адаптер и т. Д. Это было бы удобно, если бы вы знали, что вам нужно беспокоиться только об известных типах хостов виртуальных машин в вашей среде. Вот пример выполнения этого в Perl, который может быть перенесен на язык по вашему выбору.
Это зависит от того, что вам нужно:
Если виртуальная машина не скрывается от вас намеренно, вы можете воспользоваться какой-нибудь известной ловушкой. ПОЖАЛУЙСТА, ищу драйверы VmWare, наличие определенных строк в памяти или другие контрольные признаки.
Если виртуальная машина действительно хочет, чтобы вы выполняли для нее особые действия, у нее будет очевидный крючок, например, изменение идентификатора процессора или добавление некоторых специальных регистров, к которым вы можете получить доступ для его обнаружения. Или специальное устройство в известном месте в памяти (при условии, что вы можете получить прямой доступ к пространству физической памяти вашего мира). Обратите внимание на то, что современные машины, такие как IBM Power6 и Sun UltraSparc T1 / T2, предназначены ВСЕГДА для работы с гипервизором, а не напрямую на необработанном оборудовании. Интерфейс к «оборудованию», который использует ОС, на самом деле является интерфейсом уровня программного обеспечения гипервизора, без возможности его обойти. В этом случае обнаружение тривиально, поскольку это постоянное «да». Это вероятное направление будущего для всех компьютерных систем, которые могут позволить себе накладные расходы, посмотрите, например, на поддержку в последних разработках, таких как микросхема Freescale QorIQ P4080 (www.freescale.com/qoriq).
Если виртуальная машина намеренно пытается спрятаться, а вы преследуете ее присутствие, это игра в кошки-мышки, где временные помехи и другой профиль производительности виртуальной машины почти всегда выдадут это. Очевидно, это зависит от того, как реализована виртуальная машина и сколько аппаратной поддержки присутствует в архитектуре (я думаю, что мэйнфрейм zSeries намного лучше скрывает присутствие виртуальной машины или стека виртуальных машин под вашей конкретной ОС, чем обычный x86 машина есть, например). См. http://jakob.engbloms.se/archives/97 для обсуждения этой темы. Можно попытаться спрятаться как виртуальная машина, но обнаружение, скорее всего, всегда выиграет, если она будет достаточно стараться.
Однажды я наткнулся на фрагмент кода сборки, в котором говорилось, что вы находитесь в виртуальной машине ... Я погуглил, но не смог найти исходную статью.
Я нашел вот что: Определить, работает ли ваша программа внутри виртуальной машины .
Надеюсь, это поможет.
В большинстве случаев не стоит пытаться. Вам все равно, если кто-то запускает ваш код на виртуальной машине, за исключением нескольких особых случаев.
Если вам нужно, в Linux наиболее распространенным способом является просмотр /sys/devices/virtual/dmi/id/product_name, в котором будет указано имя ноутбука / материнской платы в большинстве реальных систем и гипервизора в большинстве виртуальных систем. dmidecode | grep Product - еще один распространенный метод, но я думаю, что для него требуется root-доступ.
Вот решение (java + windows) для определения того, является ли базовая машина физической или виртуальной.
Примеры виртуальных машин:
Производитель
Модель
Виртуальная платформа VMware
import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.util.ArrayList;
import java.util.List;
public abstract class OSUtil {
public static final List<String> readCmdOutput(String command) {
List<String> result = new ArrayList<>();
try {
Process p=Runtime.getRuntime().exec("cmd /c " + command);
p.waitFor();
BufferedReader reader=new BufferedReader(
new InputStreamReader(p.getInputStream())
);
String line;
while((line = reader.readLine()) != null) {
if(line != null && !line.trim().isEmpty()) {
result.add(line);
}
}
} catch (Exception e) {
e.printStackTrace();
}
return result;
}
public static final String readCmdOutput(String command, int lineNumber) {
List<String> result = readCmdOutput(command);
if(result.size() < lineNumber) {
return null;
}
return result.get(lineNumber - 1);
}
public static final String getBiosSerial() {
return readCmdOutput("WMIC BIOS GET SERIALNUMBER", 2);
}
public static final String getHardwareModel() {
return readCmdOutput("WMIC COMPUTERSYSTEM GET MODEL", 2);
}
public static final String getHardwareManufacturer() {
return readCmdOutput("WMIC COMPUTERSYSTEM GET MANUFACTURER", 2);
}
public static void main(String[] args) {
System.out.println("BIOS Serial: " + getBiosSerial());
System.out.println("Hardware Model: " + getHardwareModel());
System.out.println("Hardware Manufacturer: " + getHardwareManufacturer());
}
}
Вы можете использовать выходные данные, чтобы решить, является ли это виртуальной машиной или физической машиной:
Вывод на физическую машину:
Серийный номер BIOS: 2HC3J12
Модель оборудования: Inspiron 7570
Производитель оборудования: Dell Inc.
Вывод виртуальной машины:
Серийный номер BIOS: 0
Модель оборудования: Innotec GmBH
Производитель оборудования: Virtual Box
Если эта виртуальная машина выполняет свою работу хорошо, клиенту должно быть незаметно, что она виртуализируется. Однако можно посмотреть и на другие улики.
Я полагаю, что поиск известных драйверов или программного обеспечения, специфичных для среды виртуальных машин, будет наилучшим возможным способом.
Например, на клиенте VMWare под управлением Windows vmxnet.sys будет сетевым драйвером, отображаемым как ускоренный VMware адаптер AMD PCNet.
Хорошим примером является то, что, по-видимому, выполняется запрос WMI для производителя материнской платы, и если он возвращает «Microsoft», вы находитесь на виртуальной машине. Думал, я считаю, что это только для VMWare. Вероятно, существуют разные способы определения программного обеспечения для каждой виртуальной машины.
Эта статья находится здесь http://blogs.technet.com/jhoward/archive/2005/07/26/407958.aspx есть несколько хороших предложений и ссылок на несколько способов определить, находитесь ли вы в виртуальной машине (по крайней мере, VMWare и VirtualPC).
Возможно, вы сможете определить, находитесь ли вы на виртуальной машине, посмотрев на MAC-адрес вашего сетевого подключения. Xen, например, обычно рекомендует использовать определенный диапазон адресов 00: 16: 3e: xx: xx: xx.
Это не гарантируется, поскольку администратор системы должен указать, какой MAC-адрес им нравится.
В системах Linux вы можете попытаться найти общие файлы в / proc.
Например, файл / proc / vz / скажет вам, что это OpenVZ.
Вот полное руководство по обнаружению среды виртуальной машины под Linux без необходимости " пилюльки »:)
TrapKIT предоставляет ScoopyNG, инструмент для идентификации VMware - он пытается обходят методы обхода, но не обязательно нацелены на какое-либо программное обеспечение виртуализации, кроме VMware. Доступны как исходный код, так и двоичные файлы.
