虚拟机去虚拟化及检测技术攻防(共30页).docx

精选优质文档-倾情为你奉上在当今信息安全领域，特别是恶意软件分析中，经常需要利用到虚拟机技术，以提高病毒分析过程的安全性以及硬件资源的节约性，因此它在恶意软件领域中是应用 越来越来广泛。这里我们所谓的虚拟机（Virtual Machine）是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算 机系统。通过虚拟机软件（比如VMware，Virtual PC ,VirtualBox），你可以在一台物理计算机上模拟出一台或多台虚拟的计算机， 这些虚拟机完全就像真正的计算机那样进行工作，例如你可以安装操作系统、安装应用程序、访问网络资源等等。攻击者为了提高恶意程序的隐蔽性以及破坏真实主 机的成功率，他们都在恶意程序中加入检测虚拟机的代码，以判断程序所处的运行环境。当发现程序处于虚拟机（特别是蜜罐系统）中时，它就会改变操作行为或者 中断执行，以此提高反病毒人员分析恶意软件行为的难度。本文主要针对基于Intel CPU的虚拟环境VMware中的Windows XP SP3系统 进行检测分析，并列举出当前常见的几种虚拟机检测方法。方法一：通过执行特权指令来检测虚拟机       Vmware为真主机与虚拟机之间提供了相互沟通的通讯机制，它使用“IN”指令来读取特定端口的数据以进行两机通讯，但由于IN指令属于特权指令，在 处于保护模式下的真机上执行此指令时，除非权限允许，否则将会触发类型为“EXCEPTION_PRIV_INSTRUCTION”的异常，而在虚拟机中 并不会发生异常，在指定功能号0A（获取VMware版本）的情况下，它会在EBX中返回其版本号“VMXH”；而当功能号为0x14时，可用于获取 VMware内存大小，当大于0时则说明处于虚拟机中。VMDetect正是利用前一种方法来检测VMware的存在，其检测代码分析如下：  代码:bool IsInsideVMWare()   bool rc = true;  _try      _asm          push   edx      push   ecx      push   ebx      mov    eax, 'VMXh'      mov    ebx, 0  / 将 ebx设置为非幻数VMXH的其它值      mov    ecx, 10 / 指定功能号，用于获取VMWare版本，当它为0x14时用于 获取VMware内存大小      mov    edx, 'VX' / 端口号      in     eax, dx / 从端口dx读取 VMware版本到eax/若上面指定功能号为0x14时，可通过判断eax中的值是否大于0，若是则说明处于虚拟机 中      cmp    ebx, 'VMXh' / 判断ebx中是否包含VMware版本VMXh，若是则在虚拟机 中      setz   rc / 设置返回 值      pop    ebx      pop    ecx      pop    edx        _except(EXCEPTION_EXECUTE_HANDLER)  / 如果未处于VMware中，则触发此异常      rc = false;    return rc; 测试结果：  图1 如图1所示，VMDetect成功检测出VMWare的存在。 方法二：利用IDT基址检测虚拟机       利用IDT基址检测虚拟机的方法是一种通用方式，对VMware和Virtual PC均适用。中断描述符表 IDT（Interrupt Descriptor Table）用于查找处理中断时所用的软件函数，它是一个由256项组成的数据，其中每一中断对应一 项函数。为了读取IDT基址，我们需要通过SIDT指令来读取IDTR（中断描述符表寄存器，用于IDT在内存中的基址），SIDT指令是以如下格式来存 储IDTR的内容：代码:typedef struct    WORD IDTLimit;    / IDT的大小    WORD LowIDTbase;  / IDT的低位地址    WORD HiIDTbase;  / IDT的高位地址 IDTINFO;        由于只存在一个IDTR，但又存在两个操作系统，即虚拟机系统和真主机系统。为了防止发生冲突，VMM（虚拟机监控器）必须更改虚拟机中的IDT地址，利 用真主机与虚拟机环境中执行sidt指令的差异即可用于检测虚拟机是否存在。著名的“红丸”（redpill）正是利用此原理来检测VMware的。 Redpill作者在VMware上发现虚拟机系统上的IDT地址通常位于0xFFXXXXXX，而Virtual PC通常位于0xE8XXXXXX， 而在真实主机上正如图2所示都位于0x80xxxxxx。Redpill仅仅是通过判断执行SIDT指令后返回的第一字节是否大于0xD0，若是则说明它 处于虚拟机，否则处于真实主机中。Redpill的源码甚是精简，源码分析如下：代码:#include <stdio.h>int main ()   unsigned char m2+4, rpill = "x0f x01x0dx00x00x00x00xc3"  /相当于SIDTadrr,其中addr用于保存IDT地址  * (unsigned*)&rpill3) = (unsigned)m;  /将sidtaddr中的addr设为m的地 址  (void(*)()&rpill)();  /执行SIDT指令，并将读取后IDT地址保存在数组m 中  printf ("idt base: %#xn", *(unsigned*)&m2);   /由于前2字节为IDT大 小，因此从m2开始即为IDT地 址  if (m5>0xd0) printf ("Inside Matrix!n", m5); /当IDT基址大于 0xd0xxxxxx时则说明程序处于VMware中  else printf ("Not in Matrix.n");  return 0;测试结果如图2所示：    图2      利用此IDT检测的方法存在一个缺陷，由于IDT的值只针对处于正在运行的处理器而言，在单CPU中它是个常量，但当它处于多CPU时就可能会受到影响 了，因为每个CPU都有其自己的IDT，这样问题就自然而然的产生了。针对此问题，Offensive Computing组织成员提出了两种应对方法， 其中一种方法就是利用Redpill反复地在系统上循环执行任务，以此构造出一张当前系统的IDT值变化统计图，但这会增加CPU负担；另一种方法就是 windows API函数SetThreadAffinityMask()将线程限制在单处理器上执行，当执行此测试时只能准确地将线程执行环境限制在 本地处理器，而对于将线程限制在VM处理器上就可能行不通了，因为VM是计划在各处理器上运行的，VM线程在不同的处理器上执行时，IDT值将会发生变 化，因此此方法也是很少被使用的。为此，有人提出了使用LDT的检测方法，它在具有多个CPU的环境下检测虚拟机明显优于IDT检测方法，该方法具体内容 参见下节内容。      方法三：利用LDT和GDT的检测方法      在 Intel® 64 and IA- 32  Architecture Software Developers Manual Volume 3A: System Programming Guide 第二章的Vol.3 2-5 一页（我的Intel开发手册是2008版的）中对于LDT和GDT的描述如下（以下内容为个人翻译）：在 保护模式下，所有的内存访问都要通过全局描述符表（GDT）或者本地描述符表（LDT）才能进行。这些表包含有段描述符的调用入口。各个段描述符都包含有 各段的基址，访问权限，类型和使用信息，而且每个段描述符都拥有一个与之相匹配的段选择子，各个段选择子都为软件程序提供一个GDT或LDT索引（与之相 关联的段描述符偏移量），一个全局/本地标志（决定段选择子是指向GDT还是LDT），以及访问权限信息。      若想访问段中的某一字节，必须同时提供一个段选择子和一个偏移量。段选择子为段提供可访问的段描述符地址（在GDT 或者LDT 中）。通过段描述符， 处理器从中获取段在线性地址空间里的基址，而偏移量用于确定字节地址相对基址的位置。假定处理器在当前权限级别（CPL）可访问这个段，那么通过这种机制 就可以访问在GDT 或LDT 中的各种有效代码、数据或者堆栈段，这里的CPL是指当前可执行代码段的保护级别。      GDT的线性基址被保存在GDT寄存器（GDTR）中，而LDT的线性基址被保存在LDT寄存器（LDTR）中。       由于虚拟机与真实主机中的GDT和LDT并不能相同，这与使用IDT的检测方法一样，因此虚拟机必须为它们提供一个“复制体”。关于GDT和LDT的基 址可通过SGDT和SLDT指令获取。虚拟机检测工具Scoopy suite的作者Tobias Klein经测试发现，当LDT基址位于 0x0000（只有两字节）时为真实主机，否则为虚拟机，而当GDT基址位于0xFFXXXXXX时说明处于虚拟机中，否则为真实主机。具体实现代码如 下： 代码:#include <stdio.h>void LDTDetect(void)    unsigned short ldt_addr = 0;    unsigned char ldtr2;    _asm sldt ldtr    ldt_addr = *(unsigned short *)&ldtr);    printf("LDT BaseAddr: 0x%xn", ldt_addr);    if(ldt_addr = 0x0000)            printf("Native OSn");        else        printf("Inside VMwaren");void GDTDetect(void)    unsigned int gdt_addr = 0;    unsigned char gdtr4;    _asm sgdt gdtr    gdt_addr = *(unsigned int *)&gdtr2);    printf("GDT BaseAddr:0x%xn", gdt_addr);    if(gdt_addr >> 24) = 0xff)            printf("Inside VMwaren");        else        printf("Native OSn");int main(void)    LDTDetect();    GDTDetect();    return 0;测试结果如图3所示：   图3方法四：基于STR的检测方法       在保护模式下运行的所有程序在切换任务时，对于当前任务中指向TSS的段选择器将会被存储在任务寄存器中，TSS中包含有当前任务的可执行环境状态，包括 通用寄存器状态，段寄存器状态，标志寄存器状态，EIP寄存器状态等等，当此项任务再次被执行时，处理器就会其原先保存的任务状态。每项任务均有其自己的 TSS，而我们可以通过STR指令来获取指向当前任务中TSS的段选择器。这里STR（Store task register）指令是用于将任务寄存 器 (TR) 中的段选择器存储到目标操作数，目标操作数可以是通用寄存器或内存位置，使用此指令存储的段选择器指向当前正在运行的任务的任务状态 段 (TSS)。在虚拟机和真实主机之中，通过STR读取的地址是不同的，当地址等于0x0040xxxx时，说明处于虚拟机中，否则为真实主机。实现代 码如下： 代码:#include <stdio.h>int main(void)     unsigned char mem4 = 0;    int i;    _asm str mem;    printf (" STR base: 0x");    for (i=0; i& lt;4; i+)            printf("%02x",memi);        if ( (mem0=0x00) & amp;& (mem1=0x40)        printf("n INSIDE MATRIX! n");    else        printf("n Native OS!n");    return 0;测试结果如图4所示：  图4方法五：基于注册表检测虚拟机       在windows虚拟机中常常安装有VMware Tools以及其它的虚拟硬件（如网络适配器、虚拟打印机，USB集线器），它们都会创建任何程序 都可以读取的windows注册表项，因此我们可以通过检测注册表中的一些关键字符来判断程序是否处于虚拟机之中。关于这些注册表的位置我们可以通过在注 册表中搜索关键词“vmware”来获取，下面是我在VMware下的WinXP中找到的一些注册表项：项名：HKEY_CLASSES_ROOTApplicationsVMwareHostOpen.exe项名：HKEY_CLASSES_ROOTInstallerProductsC2A6F2EFEC940B2B12CF170FEProductName键值“VMware Tools”项名：HKEY_CLASSES_ROOTInstallerProductsC2A6F2EFEC940B2B12CF170FESourceListPackageName键值：VMware Tools.msi项名：HKEY_CURRENT_USERPrintersDeviceOld键值：_#VMwareVirtualPrinter,winspool,TPVM:项名：HKEY_LOCAL_MACHINEHARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Target Id 0Logical Unit Id 0Identifier键值：VMware Virtual IDE Hard Drive项名：HKEY_LOCAL_MACHINEHARDWAREDEVICEMAPScsiScsi Port 1Scsi Bus 0Target Id 0Logical Unit Id 0Identifier键值：NECVMWar VMware IDE CDR10项名：HKEY_LOCAL_MACHINESOFTWAREClassesInstallerProductsC2A6F2EFEC940B2B12CF170FEProductName键值：VMware Tools项 名：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller UserDataS-1-5-18ProductsC2A6F2EFEC940B2B12CF170FEInstallPropertiesDisplayName键值：VMware Tools项名：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionReinstall0002DeviceDesc键值：VMware SVGA II项名：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkCards2Description键值：VMware Accelerated AMD PCNet Adapter项名：HKEY_LOCAL_MACHINESOFTWAREVMware, Inc.VMware Tools项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass4D36E968-E325-11CE-BFC1-08002BE103180000DriverDesc键值：VMware SVGA II项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass4D36E968-E325-11CE-BFC1-08002BE103180000ProviderName键值：VMware, Inc.项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass4D36E972-E325-11CE-BFC1-08002bE103180001DriverDesc键值：VMware Accelerated AMD PCNet Adapter项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass4D36E97B-E325-11CE-BFC1-08002BE103180000DriverDesc键值：VMware SCSI Controller项名：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlPrintMonitorsThinPrint Print Port Monitor for VMWare补充另外一处 具体代码如下：cpp 1. BOOL DetectVM()   2.   3.     HKEY hKey;  4.   5.     char szBuffer64;  6.   7.     unsigned long hSize= sizeof(szBuffer) - 1;  8.   9.     if( RegOpenKeyEx( HKEY_LOCAL_MACHINE, "HARDWAREDESCRIPTIONSystemBIOS", 0, KEY_READ, &hKey )=ERROR_SUCCESS )   10.   11.         RegQueryValueEx( hKey, "SystemManufacturer", NULL, NULL, (unsigned char *)szBuffer, &hSize );  12.   13.                 if( strstr( szBuffer, "VMWARE" )        14.   15.                     RegCloseKey( hKey );  16.   17.                     return TRUE;  18.   19.           20.   21.         RegCloseKey( hKey );  22.   23.       24.   25.     return FALSE;  26.   27.          除以上这些表项之外，还有很多地方可以检测，特别是虚拟机提供的虚拟化软硬件、服务之类，比如文件共享服务，VMware 物理磁盘助手服 务，VMware Ethernet Adapter Driver，VMware SCSI Controller等等的这些信息都可作为检测虚拟机的 手段。这里我们就以其中某表项为例编程举例一下，其它表项检测方法同理，具体代码如下： 代码:.386.model flat, stdcalloption casemap:none   include  windows.inc   include  user32.inc   include  kernel32.inc   include  advapi32.inc   includelib  user32.lib   includelib  kernel32.lib   includelib  advapi32.lib.dataszCaption     db "VMware Detector ",0szInside         db "Inside VMware!",0szOutside              db "Native OS!",0szSubKey      db "softwareVMWare, Inc.VMware tools",0hKey              dd    ?.codestart:  invoke RegOpenKeyEx, HKEY_LOCAL_MACHINE, addr szSubKey, 0,                 KEY_WRITE or KEY_READ, addr hKey  .if eax = ERROR_SUCCESS  invoke MessageBox, NULL,addr szInside, addr szCaption, MB_OK  .else  invoke MessageBox, NULL,addr szOutside, addr szCaption, MB_OK  .endif  invoke RegCloseKey,hKey  invoke ExitProcess,NULLend start测试结果如图5所示：  图5方法六：基于时间差的检测方式      本方法通过运行一段特定代码，然后比较这段代码在虚拟机和真实主机之中的相对运行时间，以此来判断是否处于虚拟机之中。这段代码我们可以通过RDTSC指 令来实现，RDTSC指令是用于将计算机启动以来的CPU运行周期数存放到EDX：EAX里面，其中EDX是高位，而EAX是低位。下面我们以 xchg    ecx,  eax 一句指令的运行时间为例，这段指令在我的真实主机windows 7系统上的运行时间为E，如图6所 示：  图6 而该指令在虚拟机WinXP下的运行时间为，如图7所示： 图7两者之间的运行时间明显差别很多，在虚拟机中的运行速度远不如真实主机的，一般情况下，当它的运行时间大于0xFF时，就可以确定它处于虚拟机之中了，因此不难写出检测程序，具体实现代码如下： 代码:.586p.model flat, stdcalloption casemap:noneinclude      windows.incinclude       kernel32.incinclude      user32.incincludelib    kernel32.libincludelib    user32.lib      .dataszTitle      db  "VMDetect With RDTSC", 0hszInsideVM    db  "Inside VMware!", 0hszOutsideVM    db  "Native OS!", 0h.codestart:  RDTSC  xchg     ecx, eax  RDTSC    sub    eax, ecx  cmp    eax, 0FFh  jg    Detected    invoke  MessageBox, 0, offset szOutsideVM, offset szTitle, 0  ret  Detected:  invoke   MessageBox, 0, offset szInsideVM, offset szTitle, 0  retend start测试结果如图8所示：  图8     方法七：利用虚拟硬件指纹检测虚拟机利 用虚拟硬件指纹也可用于检测虚拟机的存在，比如VMware默认的网卡MAC地址前缀为“00-05-69，00-0C-29或者00-50-56”，这 前3节是由VMware分配的唯一标识符OUI，以供它的虚拟化适配器使用。在我的VMWare WinXP下的MAC地址为00-0C-29-5B- D7-67，如图9所示： 图9      但由于这些可经过修改配置文件来绕过检测。另外，还可通过检测特定的硬件控制器，BIOS，USB控制器，显卡，网卡等特征字符串进行检测，这些在前面使用注册表检测方法中已有所涉及。另外之前在看雪论坛上也有朋友提到通过检测硬盘Model Number是否含有“vmware”或“virtual”等字样来实现检测虚拟机的功能，具体转载如下：cpp 1. 小试 anti vmware  2.      今天偶然看到一款绿色版的硬盘专业工具，突然发现可以利用其中的一项功能来实现anti vmware。  3.   今日事今日毕，那就在今晚12：00之前把这个想法实现吧，let's go!  4.      我的想法就是检测硬盘的modelnumber,具体什么是modelnumber自己网上搜吧，反正不是硬盘序列号。难点就是在多种操作系统下都要能起到anti vmware的效果。程序在xp、2k、2003下都可以检测到vmware的运行。  5.     直接贴代码了，如果看不懂也没关系，我也是逆了人家的代码写出来的。Delphi也可以当汇编语言开发工具用，难道不是吗？  6.     unit Unit1;  7.   interface    8.   uses  9.     Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,  10.     Dialogs, StdCtrls, Buttons;  11.   type  12.     TForm1 = class(TForm)  13.     BitBtn1: TBitBtn;  14.     procedure BitBtn1Click(Sender: TObject);  15.     procedure FormClose(Sender: TObject; var Action: TCloseAction);  16.     private  17.      Private declarations   18.     public  19.      Public declarations   20.     end;  21.     22.   var  23.     Form1: TForm1;  24.     hDeviceHandle:Thandle;  25.     26.   implementation  27.     28.   $R *.dfm  29.     30.   procedure TForm1.BitBtn1Click(Sender: TObject);  31.   var  32.      InBuffer: array0.$8f of byte;  33.      cb:Cardinal;  34.      tmp:Pchar;  35.   begin  36.        hDeviceHandle:=CreateFile('.PHYSICALDRIVE0',$C,$3,nil,OPEN_EXISTING,$,0);  37.        ZeroMemory(InBuffer,sizeof(InBuffer);  38.       asm  39.         pushad  40.         lea ebx,InBuffer  41.         xor ecx,ecx  42.         mov al,$2c  43.         MOV ebx,al  44.         MOV EAX,$200c0000  45.         MOV ebx+4, eax  46.         mov al,$01  47.         MOV ebx+8,al  48.         mov al,$40  49.         MOV ebx+$c,al  50.         MOV EAX,$0001a5E0  51.         MOV ebx+$10, eax  52.         mov al,$30  53.         MOV ebx+$18,al  54.         mov al,$12  55.         MOV ebx+$1c,al  56.         mov al,$40  57.         MOV ebx+$20,al  58.         add ecx,ebx  59.         add ecx,$50  60.         MOV ebx+$14, ecx  61.         popad  62.       end;  63.     64.     65.       if DeviceIoControl(hDeviceHandle,$4D014,InBuffer,$50,InBuffer,$50,cb,nil) then  66.          begin  67.            asm  68.            pushad  69.            lea ebx,InBuffer  70.            add ebx,$58  71.            mov tmp,ebx  72.            popad  73.            end;  /asm  74.     75.          if (pos('vmware',LowerCase(tmp)>0) or (pos('virtual',LowerCase(tmp)>0) then  76.             showmessage('检测到 VMware Workstation!')  77.            else  78.                showmessage('请在VMware中测试!');  79.     80.          end;  81.   end;  82.     83.   procedure TForm1.FormClose(Sender: TObject; var Action: TCloseAction);  84.   begin  85.       closehandle(hDeviceHandle);  86.   end;  87.      88.   end.  89.     90.   代码很短，但是效果不错。截图几张，留作纪念!   C+代码实现如下：cpp 1. 通过IOCTL_STORAGE_QUERY_PROPERTY  2.   3. typedef enum _STORAGE_QUERY_TYPE PropertyStandardQuery = 0,PropertyExistsQuery,PropertyMaskQuery,PropertyQueryMaxDefined STORAGE_QUERY_TYPE, *PSTORAGE_QUERY_TYPE;  4.   5. typedef enum _STORAGE_PROPERTY_ID StorageDeviceProperty = 0,StorageAdapterProperty STORAGE_PROPERTY_ID, *PSTORAGE_PROPERTY_ID;  6.   7. typedef struct _STORAGE_PROPERTY_QUERY   8.   9.     STORAGE_PROPERTY_ID PropertyId;  10.   11.     STORAGE_QUERY_TYPE QueryType;  12.   13.     UCHAR AdditionalParameters1;  14.   15.       16.   17.  STORAGE_PROPERTY_QUERY, *PSTORAGE_PROPERTY_QUERY;  18.   19. typedef struct _STORAGE_DEVICE_DESCRIPTOR   20.   21.     ULONG Version;  22.   23.     ULONG Size;  24.   25.     UCHAR DeviceType;  26.   27.     UCHAR DeviceTypeModifier;  28.   29.     BOOLEAN RemovableMedia;  30.   31.     BOOLEAN CommandQueueing;  32.   33.     ULONG VendorIdOffset;  34.   35.     ULONG ProductIdOffset;  36.   37.  STORAGE_DEVICE_DESCRIPTOR, *PSTORAGE_DEVICE_DESCRIPTOR;  38.   39.    40.   41. #define IOCTL_STORAGE_QUERY_PROPERTY CTL_CODE(IOCTL_STORAGE_BASE, 0x0500, METHOD_BUFFERED, FILE_ANY_ACCESS)  42.   43.    44.   45. bool IsSandboxed()  46.   47.   48.   49.     HANDLE hPhysicalDriveIOCTL = 0;  50.   51.     int j = 0,k = 0;  52.   53.     char szModel128,szBuffer128;  54.   55.     char *szDrives =   56.   57.         "qemu",  58.   59.         "virtual",  60.   61.         "vmware",