Определить запущена ли программа в виртуальной среде

@skilllab · Регистрация: 03.02.2011

Author24 — интернет-сервис помощи студентам

Как определить, что код выполняется на виртуальной машине?

@NickoTin · 23.01.2015, 00:56

Для каждой виртуалки свой подход.
Вот есть примеры: https://github.com/a0rtega/pafish
А вообще стоит искать исходники малвари и их изучать. Еще стоит заглянуть на форум kernelmode.

Вот документ оттуда (авторы: N.Rin & EP_X0FF)

@maxillion · 23.01.2015, 01:57

Да очень просто через asm . Например команда wbinvd может запросто свалить виртуалку, проверял на VirtualBox. Или можно засекать время выполнения команд rdtsc, некоторые привилегированные инструкции выполняются ну просто очень долго, на реальной машине такого не будет.
Да и как правило эмуляция периферии, железа там очень слабая (чипсеты из каменного века, видео которое может не поддерживать 3D), что сразу себя выдаст.
А дыры как правило быстро штопают, так что смысла разбирать чью то малварь не вижу, уж тем более просто ради детекта.

@skilllab 294 / 234 / 58 Регистрация: 03.02.2011 Сообщений: 2,002 Записей в блоге: 1
		1
	.NET 4.x Определить запущена ли программа в виртуальной среде 22.01.2015, 19:23. Показов 1772. Ответов 2 Метки нет (Все метки) Как определить, что код выполняется на виртуальной машине? 0

@maxillion 286 / 192 / 56 Регистрация: 25.12.2012 Сообщений: 640
	23.01.2015, 01:57	3
	Да очень просто через asm . Например команда wbinvd может запросто свалить виртуалку, проверял на VirtualBox. Или можно засекать время выполнения команд rdtsc, некоторые привилегированные инструкции выполняются ну просто очень долго, на реальной машине такого не будет. Да и как правило эмуляция периферии, железа там очень слабая (чипсеты из каменного века, видео которое может не поддерживать 3D), что сразу себя выдаст. А дыры как правило быстро штопают, так что смысла разбирать чью то малварь не вижу, уж тем более просто ради детекта. 0