how to detect VMM using (almost) one CPU instruction

最新推荐文章于 2022-06-28 17:26:36 发布
最新推荐文章于 2022-06-28 17:26:36 发布
阅读量1k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: vmware compiler descriptor conflict exception table
本文介绍了一种利用Intel处理器上的SIDT指令来检测虚拟机存在的方法。该方法通过观察SIDT指令在不同虚拟机环境中的行为差异,如VMWare和Virtual PC,来推断当前是否运行在虚拟机环境中。这种方法对于开发能够识别自身运行环境的安全软件非常有用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 
Red Pill... or

Joanna Rutkowska

http://invisiblethings.org/

November 2004

Swallowing the Red Pill is more or less equivalent to the following code (returns non zero when in Matrix):

     int swallow_redpill () {
       unsigned char m[2+4], rpill[] = "/x0f/x01/x0d/x00/x00/x00/x00/xc3";
       *((unsigned*)&rpill[3]) = (unsigned)m;
       ((void(*)())&rpill)();
       return (m[5]>0xd0) ? 1 : 0;
     }

The heart of this code is actually the SIDT instruction (encoded as 0F010D[addr]), which stores the contents of the interrupt descriptor table register (IDTR) in the destination operand, which is actually a memory location. What is special and interesting about SIDT instruction is that, it can be executed in non privileged mode (ring3) but it returns the contents of the sensitive register, used internally by operating system.

Because there is only one IDTR register, but there are at least two OS running concurrently (i.e. the host and the guest OS), VMM needs to relocate the guest's IDTR in a safe place, so that it will not conflict with a host's one. Unfortunately, VMM cannot know if (and when) the process running in guest OS executes SIDT instruction, since it is not privileged (and it doesn't generate exception). Thus the process gets the relocated address of IDT table. It was observed that on VMWare, the relocated address of IDT is at address 0xffXXXXXX, whereas on Virtual PC it is 0xe8XXXXXX. This was tested on VMWare Workstation 4 and Virtual PC 2004, both running on Windows XP host OS.

BTW, I would be more then happy if anyone test it on different VMMs, running on different host OSes and send me the results. I could then create a table of known addresses of IDTR, which could potentially be used to not only detect the VMM presence but also its version and the host OS...

I came across this strange behavior of SIDT instruction a few years ago, when I was testing Suckit rootkit on VMWare. I noticed that it failed to load on VMWare whereas it seemed to work fine on the same distribution ran outside VM. After spending many hours I figured out that the problematic instruction was actually SIDT, which was used by Suckit to get the address of the IDT table, and to hook its 0x80 entry through /dev/kmem device.

However, I was not the first one who discovered this trick. Shortly after my adventure with Suckit I found a very good USENIX paper about problems when implementing Virtual Machines on Intel processors, discussing of course SIDT problem, as well as many others. This paper is really worth reading!

So now, here is the simple code, written in C, which should compile on any all Intel based OS. Just in case you don't have the C compiler for Windows, there is also a binary version attached.

redpill.c
redpill.exe

NOTE: this program will fail on systems with PAX/X^W/grsecurity, protection (as it was pointed out by Brad Spengler) since the rpill variable is not marked as executable. To make it run in such systems, mprotect() should be used to mark rpill with PROT_EXEC attribute. Another solution would be to just use asm() keyword instead of shellcode-like buffer. However, this program should be rather considered as a skeleton to build into your own shellcode, rather then standalone production class tool;) My goal was to make it as simple and portable as possible. That's why I didn't use asm() nor mprotect() since they are system or compiler dependent.

I am also aware of another implementation of this technique, as well as some other tricks to fingerprint VMWare, which can be found at http://www.trapkit.de/.

Vmware 的后门 (原文由coolq发表,文章转载自他的博客)
FreeXploiT
12-29 3304
Vmware 的后门 (原文由coolq发表,文章转载自他的博客)后门简介       Vmware 后门是 vmwarevmware tools 通信的一个接口。例如,vmware-checkvm 程序就是利用这个后门检测自己是否运行在 vmware 里。       这个后门开在 IO 端口 0x5658。利用这个后门时,必需:l        EAX = 0x564D5868 ( “V
获取多处理器系统的IDT表地址
yeook的专栏
10-20 2941
获取多处理器系统的IDT表地址,是通过设置操作所依赖的处理器核心来实现的. 在系统中处理器是从0开始进行编号的,如果只有一个处理器那它的编号就是0; 有两个就是0和1,依此类推. 获取系统处理器的总数是直接使用内核的导出变量KeNumberProcessors来实现的, 当然还有其他的方法,在这里我就不说了. 下面这段代码就是获取多处理器系统所有IDT地址的代码. 主要函数的描述,我在
获取操作系统的内核基地址
weixin_33724046的博客
11-05 559
操作系统的内核模块根据处理器的个数和是否支持PAE(Physical Address Extension物理地址扩展)分为以下四种 ntoskrnl.exe ---Uniprocessor单处理器,不支持PAE ntkrnlpa.exe ---Uniprocessor单处理器,支持PAE ntkrnlmp.exe ---Multiprocess...
reference
longcanada的专栏
02-21 9136
A New Procedure to Help System/Network Administrators Identify Multiple Rootkit Infections desmondlobo@students.ballarat.edu.au, {p.watters, x.wu}@ballarat.edu.au [1] L. Wang and P.
CPT104-Operating Systems Concepts
大家好~我是SP_FA~
03-04 5123
西交利物浦大学 操作系统概念课程笔记
An Exploration of ARM TrustZone Technology
weixin_30780649的博客
12-24 1533
墙外通道:https://genode.org/documentation/articles/trustzone ARM TrustZone technology has been around for almost a decade. It was introduced at a time when the controversial discussion about trusted plat...
c++builder 6.0中OnCliked= fun实现的原理
自学C++,会写HelloWorld
06-28 1660
C++builer 6.0中使用委托类型,使用非常的方便 。 Member Function Pointers and the Fastest Possible C++ Delegates Don Clugston,5 Apr 2005 4.83 (709 votes) Rate this: vo...
虚拟机检测技术攻防
热门推荐
whatday的专栏
08-27 5万+
前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware,Virtual PC ,VirtualBox),你可以在一台物
x86架构下Linux中断IDT建立及中断处理过程之1
一点点
09-05 1372
// arch/x86/kernel/irqinit.c void __init init_IRQ(void) { int i; /* * On cpu 0, Assign ISA_IRQ_VECTOR(irq) to IRQ 0..15. * If these IRQ's are handled by legacy interrupt-controllers like PIC, ...
基于MATLAB的樽海鞘优化算法(SSA)实现及23个基准测试函数的效果展示
05-29
内容概要:本文介绍了樽海鞘优化算法(SSA),这是一种受樽海鞘觅食行为启发的新型优化算法。文章首先阐述了SSA的起源和原理,然后提供了详细的MATLAB代码实现步骤,包括参数设置、种群初始化、迭代更新、适应度评价等关键环节。文中还展示了SSA在23个常用基准测试函数上的运行效果,通过图表形式直观呈现了算法的搜索过程、收敛速度和最优解质量。最后,通过对具体案例的分析,进一步解释了SSA在函数优化中的优势和局限性。 适合人群:对优化算法感兴趣的科研人员、学生以及从事相关研究的技术人员。 使用场景及目标:适用于需要高效求解复杂优化问题的研究项目,特别是那些涉及多维空间、非线性约束等问题的场合。目标是帮助读者掌握SSA的工作机制,评估其性能并应用于实际问题。 其他说明:文章不仅提供理论讲解,还包括完整的MATLAB代码实现,便于读者动手实践。同时鼓励读者参与讨论,共同探索更多优化算法和技术。
基于乔列斯基分解的Matlab三维随机场生成及其在FLAC3D建模中的应用
最新发布
05-29
内容概要:本文详细介绍了利用Matlab进行三维随机场生成的方法,特别是在处理多参数互相关情况下的空间变异性问题。首先,通过构建协方差矩阵并进行乔列斯基分解来生成单个随机场,接着扩展到生成互相关随机场,如孔隙度场和渗透率场。文中还讨论了在FLAC3D中导入生成的随机场数据的具体步骤,以及在实际工程应用中随机场空间变异性对计算结果的影响。此外,作者分享了一些实用技巧,如避免协方差矩阵病态、提高计算效率的方法。 适合人群:从事地质工程、岩土力学等领域研究的技术人员,尤其是那些需要处理复杂地质参数空间变异性的研究人员。 使用场景及目标:适用于需要模拟地质参数空间变异性的工程项目,如边坡稳定性分析。目标是提高模拟精度,更好地理解和预测地质行为。 其他说明:文中提供了详细的Matlab代码片段和FLAC3D脚本,帮助读者快速上手实践。同时,强调了在处理强空间变异性时可能出现的问题及解决方案。
基于51单片机射击训练游戏 电路Proteus仿真.zip
05-29
精选设计的基于51单片机电路设计的Proteus仿真,可供MCU单片机学习及毕设课设参考。
ABAQUS三维多孔材料建模:自定义参数与多孔体网格映射及其跨平台应用
05-29
内容概要:本文详细介绍了如何使用 ABAQUS 创建和分析三维多孔材料模型。主要内容涵盖自定义参数(如基体长宽高、骨料半径范围、体积比)的设定,以及六面体网格映射模型的构建方法。通过这些步骤,可以精确模拟多孔材料的物理和机械特性。此外,文章还探讨了将模型导出至 COMSOL、ANSYS 和 CAD 等软件的可能性,以便进行更广泛的仿真和分析。最后,文章强调了多孔材料在生物医学、航空航天等多个领域的广泛应用前景。 适合人群:从事材料科学、工程学及相关领域的研究人员和技术人员。 使用场景及目标:适用于需要深入了解和掌握 ABAQUS 在多孔材料建模方面的应用,尤其是那些希望提高仿真精度并扩展分析工具链的专业人士。 其他说明:文章不仅展示了 ABAQUS 强大的建模能力,还突出了其与其他仿真软件的良好兼容性,为用户提供了一种综合性的解决方案。
基于分布式驱动的电动汽车路面附着系数估计:无迹卡尔曼滤波与容积卡尔曼滤波的对比研究
05-29
内容概要:本文详细介绍了基于无迹卡尔曼滤波(UKF)和容积卡尔曼滤波(CKF)的分布式驱动电动汽车路面附着系数估计模型。文中首先概述了UKF和CKF的基本原理及其在非线性系统中的应用优势,接着针对高速、低速、对开路面和对接路面四种工况进行了详细的估计方法介绍。两种算法均采用S-function编写,在仿真环境中进行了验证。最后展示了部分代码片段并对其进行了简要解释。研究表明,这两种算法在不同路况下均能有效估计路面附着系数,为提升电动汽车的安全性和动态性能提供了重要支持。 适合人群:从事自动驾驶、智能交通系统及相关领域的研究人员和技术人员。 使用场景及目标:①帮助研究人员理解和掌握UKF和CKF在电动汽车路面附着系数估计中的应用;②为开发更加精确的车辆控制系统提供理论依据和技术支持;③促进相关领域的进一步研究和发展。 其他说明:文章不仅关注算法的具体实现,还强调了其在实际应用场景中的意义和价值。
花生米好坏识别数据集,可识别好的和坏的花生米(去壳的),581张图,支持coco json格式标注,正确识别率最高可达96.2%
05-29
花生米好坏识别数据集,可识别好的和坏的花生米(去壳的),581张图,支持coco json格式标注,正确识别率最高可达96.2%
三相静止无功发生器SVG的Matlab仿真:基于电压定向双闭环控制策略与无功补偿分析 v2.1
05-29
内容概要:本文详细介绍了三相静止无功发生器(SVG)的Matlab仿真研究,重点探讨了电压定向的双闭环控制策略及其在无功补偿中的应用。文中首先阐述了SVG的工作原理,即通过调节SVG交流侧输出电压和电流来控制无功电流,进而实现动态无功补偿。接着,利用Matlab建立了SVG的仿真模型,设定了不同参数并进行了仿真测试。特别地,文章比较了正弦脉宽调制(SPWM)和空间矢量脉宽调制(SVPWM)两种调制方式对SVG交流侧输出电流谐波含量的影响。结果显示,SVPWM在减少谐波含量方面表现出色,提高了无功补偿的精度和效率。 适合人群:从事电力系统研究的技术人员、高校电气工程专业的师生以及对无功补偿技术感兴趣的科研工作者。 使用场景及目标:适用于需要深入了解SVG工作原理、控制策略及调制方式的研究人员和技术人员,旨在为其提供理论支持和实践指导,帮助优化无功补偿效果,提升电力系统的稳定性。 其他说明:文章不仅展示了具体的仿真方法和步骤,还对未来SVG的发展方向进行了展望,强调了其在未来电力系统中的重要性和潜力。
using python how to write a code for detecting cat in a picture
03-31
As an AI language model, I do not have the ability to write and execute code. However, I can provide you with a sample code in Python for detecting cats in an image using OpenCV library and a pre-trained Haar classifier. ``` import cv2 # Load the pre-trained Haar classifier for cat detection cat_cascade = cv2.CascadeClassifier('haarcascade_frontalcatface.xml') # Load the image to detect cats img = cv2.imread('cat.jpg') # Convert the image to grayscale gray = cv2.cvtColor(img, cv2.COLOR_BGR2GRAY) # Detect cats in the image cats = cat_cascade.detectMultiScale(gray, scaleFactor=1.1, minNeighbors=5) # Draw rectangles around the detected cats for (x,y,w,h) in cats: cv2.rectangle(img, (x,y), (x+w,y+h), (0,255,0), 2) # Display the image with detected cats cv2.imshow('Cat Detection', img) cv2.waitKey(0) cv2.destroyAllWindows() ``` In this code, we first load the pre-trained Haar classifier for cat detection using `CascadeClassifier` function from OpenCV library. We then load the image to detect cats and convert it to grayscale using `cvtColor` function. We use `detectMultiScale` function to detect cats in the grayscale image and draw rectangles around the detected cats using `rectangle` function. Finally, we display the image with detected cats using `imshow` function and wait for the user to press any key to exit the display window.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值