特权指令检测虚拟机

最新推荐文章于 2024-01-23 13:20:01 发布
转载 最新推荐文章于 2024-01-23 13:20:01 发布 · 368 阅读 · 0
文章标签:

#运维 #php 

bool IsInsideVMWare()
{
  bool rc = true;

  __try
  {
    __asm
    {
      push   edx
      push   ecx
      push   ebx

      mov    eax, 'VMXh'
      mov    ebx, 0  // 将ebx设置为非幻数’VMXH’的其它值
      mov    ecx, 10 // 指定功能号,用于获取VMWare版本,当它为0x14时用于获取VMware内存大小
      mov    edx, 'VX' // 端口号
      in     eax, dx // 从端口dx读取VMware版本到eax
//若上面指定功能号为0x14时,可通过判断eax中的值是否大于0,若是则说明处于虚拟机中
      cmp    ebx, 'VMXh' // 判断ebx中是否包含VMware版本’VMXh’,若是则在虚拟机中
      setz   [rc] // 设置返回值

      pop    ebx
      pop    ecx
      pop    edx
    }
  }
  __except(EXCEPTION_EXECUTE_HANDLER)  //如果未处于VMware中,则触发此异常
  {
    rc = false;
  }

  return rc;
}

 下面是主函数

int main(void)
{
	if(IsInsideVMWare())
	{
		 printf("it is in vmm \r\n");
	}
	else
	{
		 printf("it is not in vmm \r\n");
	}
		return 0;
}

 感谢泉哥的分享。

原文:http://bbs.pediy.com/showthread.php?t=119969

1.5.2 特权指令与非特权指令
06-19 1万+
所谓特权指令是指有特权权限的指令,由于这类指令的权限最大,如果使用不当,将导致整个系统崩溃。比如:清内存、置时钟、分配系统资源、修改虚存的段表和页表,修改用户的访问权限等。如果所有的程序都能使用这些 指令,那么你的系统一天死机n回就不足为奇了。为了保证系统安全,这类指令只能用于操作系统或其他系统软件,不直接提供给用户使用。因此,特权执行必须在核心态执行。实际上,cpu在核心态下可以执行指令系统的全
vmware 反虚拟机检测
01-13
vmware 反虚拟机检测
特权指令与虚拟化
pty_2007的专栏
02-24 3157
CPU发展到x86的时代,其工作模式已经不是简单的只有实时模式(real mode)了。现在用的CPU都支持四种保护级别,分别对应这不同的CPU模式,即ring0,ring1,ring2,ring3。windows只使用了ring0和ring3.操作系统核心使用ring0,其他应用的应用程序基本都是在ring3级别上。     虚拟化技术中,操作系统将安装在虚拟机中。那么就有个问题需要关注:虚拟
王道考研:特权指令、用户态与核心态、内核程序与应用程序;中断和异常;系统调用;宏内核与微内核;电脑开机全过程;虚拟机原理
Tandy12356_的博客
08-25 2580
特权指令、用户态与核心态、内核程序与应用程序;中断和异常;系统调用;宏内核与微内核;电脑开机全过程;虚拟机原理
操作系统-虚拟机(传统计算机 虚拟机 两类VMM对比 指令等级 特权与敏感)
llovewuzhengzi的博客
01-23 1869
运行模式:第一类假设VMM在ring0,虚拟机操作系统在ring1,虚拟机用户空间在ring2,此时根据指令类型跳转到不同地方执行,此时可以认为将特权指令分为ring1和ring0,将不敏感指令防在ring1(对虚拟机操作系统做相关要求即可实现ring1指令会跳转到虚拟操作系统执行),敏感指令放在ring0,这样对于跳转到VMM的指令就比较少了,同时切换VMM次数自然也就少了。敏感指令:是指在虚拟化环境中,虚拟机监视器(VMM)需要捕获并模拟的指令,以便客户操作系统能够在没有直接访问硬件的情况下运行。
通过in指令虚拟机
u011636170的专栏
12-09 1879
在一些样本中有一些反虚拟机的行为,来对抗分析,其中通过in指令就是 专门来对抗vmware虚拟机的,代码如下,恶意样本可以将恶意代码放入 异常中,也可以通过设置返回值进行判断`#includeinclude
编程实现虚拟机检测
07-12
根据给定的信息,本文将详细解析“编程实现虚拟机检测”的相关知识点,包括代码解读、原理分析以及实际应用等。 ### 一、虚拟机检测原理概述 虚拟机检测技术主要涉及计算机安全领域,用于判断当前运行环境是否为...
特权指令
最新发布
07-18
嗯,用户现在想了解计算机体系结构中的特权指令相关概念。从用户的问题来看,ta明确要求了定义和使用场景,还特别标注了“系统级指令(用户不可见)”这个分类标签,说明需要专业层面的解释。 回顾之前的对话历史,...
基于指令相对吞吐率的虚拟机检测方法 (2011年)
05-22
对于常见的虚拟机检测方法仅适用于特定配置的虚拟机的不足,设计并实现一种基于特权指令与非特权指令的相对吞吐率变化的检测虚拟机的方法,检测过程采用查询-验证的方式。该方法可以成功地分辨出物理机环境与虚拟机...
虚拟机去虚拟化及检测技术攻防.docx
09-30
方法一:通过执行特权指令检测虚拟机 Vmware 为真主机与虚拟机之间供应了相互沟通的通讯机制,它使用“IN指令来读取特定端口的数据以进行两机通讯。但是由于 IN 指令属于特权指令,在处于保护模式下的真机上...
特权指令与非特权指令
weixin_54046648的博客
08-14 1848
所谓特权指令,是指有特殊权限的指令,由于这类指令的权限最大,使用不当将导致整个系统崩溃,如清内存、置时钟、分配系统资源、修改虚存的段表和页表权限等。形象的说,特权指令是那些少儿不宜的东西,而非特权指令是老少皆宜的东西。为了防止用户程序中使用特权指令,用户态下只能使用非特权指令,核心态下可以使用全部指令。在用户态下使用特权指令时,将产生中断以阻止用户使用特权指令。所以把用户程序 放在用户态下运行,而操作系统中必须使用特权指令的那部分程序在核心态下运行,保证了计算机系统的安全可靠。
【理解】对常见特权指令和非特权指令的总结及解释【结合计组基础知识】
weixin_45415929的博客
11-14 1万+
对绝大部分408考试涉及的特权和非特权指令进行解释。
特权指令和非特权指令
挪威的森林
11-15 6585
特权指令是拥有特殊权限的指令,用于调用系统函数或系统软件等,因为在执行程序时,为了方式用户随意调用特权指令,系统又分成了用户态和核心态。 核心态情况下,可以调用任意指令,用户状态下不能调用那些特殊指令。只有在需要调用内核函数(比如创建进程等)发生核心态和用户态的转变。 总结:特权指令在核心态调用,少儿不宜;非特权指令在程序执行时都可以调用,老少皆宜。 ...
RISC-V(2)——特权级及特权指令
口袋里的跳跳糖
08-30 3715
一个 RISC-V 硬件线程()是运行在某个特权级上的,这个特权级被编码到一个或者多个控制和状态寄存器)中的一种模式。当前定义了四种特权级,如下所示。特权级的作用现象机器级是最高级特权,也是 RISC-V 硬件平台唯一必须的特权级。所有硬件实现必须提供M-mode,因为这是唯一的模式,可以不受限制地访问整个机器。最简单的RISC-V实现可以仅提供M-mode,虽然这样做不能为防止不正确的、恶意应用代码提供保护。
操作系统的特权指令
热门推荐
FrozenShore
09-25 2万+
许多操作系统有至少两种独立的操作模式:用户模式(user mode)和监督程序模式(nomitor mode)(也称为管理模式(supervisor mode)、系统模式(system mode)或特权模式(privileged mode))。这是为了区分操作系统代码和用户定义代码的执行,从而确保操作系统的正常执行。       为了具体实现双重模式,因此将能引起损害的机器指令作为特权指令
操作系统--内存保护与特权指令
TGYAO的博客
10-28 1569
内存保护 当用户程序在运行时,不能改变包含监控程序(操作系统)的内存区域。若试图这样做,处理器硬件会发现错误,并将控制权交给监控程序,监控程序取消这个作业,输出错误的信息,并且加载下一个作业。 段机制 什么是段?简单来讲,段就是一段地址之间的内存空间。 操作系统为了防止应用程序越界操作,会在运行每个应用程序之前设置一个段首和段尾。段首规定了这个应用程序可操作的内存地址的起始位置,段尾规定了这个应用程序可操作内存的末尾位置。这样一来,应用程序被限制在了给定的范围,防止其干坏事(比如:修改操作系统的程序代码,访
判断程序是否运行在虚拟机中的代码
liujiayu2的专栏
12-08 5620
首先我们要了解一下什么是虚拟机, 对虚拟机的通用解释是通过软件模拟的具有完整硬件系统功能的, 运行在一个完全隔离环境中的完整计算机系统. 通过虚拟机软件, 你可以在一台物理计算机上模拟出一台或多台虚拟的计算机, 这些虚拟机就像真正的计算机那样进行工作, 例如你可以安装操作系统, 安装应用程序, 访问网络资源等等. 对于你而言, 它只是运行在你物理计算机上的一个应用程序, 但是对于在虚拟机中运行
判断程序的执行环境是VM
03-21 1560
来段老V的代码  很古老的抗VM分析  mov    ecx, 0Ah        ; CX=function# (0Ah=get_version)      mov    eax, VMXh  ; EAX=magic      mov    dx, VX          ; DX=magic      in      eax, dx              ; specially
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值