在Linux上檢測VMM

Question

我試圖檢測我是否在虛擬環境（虛擬機，虛擬機等）上運行
在Windows上，我使用了幾個ASM，但我不能在Linux中使用它們，主要是因爲該代碼可能被編譯並在32位或64位Linux上運行。

下面的代碼可以在Windows 32和64，並在VMWare，VirtualBox和其他虛擬機進行了測試：

#include <stdio.h> 

int idtCheck() 
{ 
    unsigned char m[2]; 
    __asm sidt m; 
    printf("IDTR: %2.2x %2.2x\n", m[0], m[1]); 
    return (m[1]>0xd0) ? 1 : 0; 
} 

int gdtCheck() 
{ 
    unsigned char m[2]; 
    __asm sgdt m; 
    printf("GDTR: %2.2x %2.2x\n", m[0], m[1]); 
    return (m[1]>0xd0) ? 1 : 0; 
} 

int ldtCheck() 
{ 
    unsigned char m[2]; 
    __asm sldt m; 
    printf("LDTR: %2.2x %2.2x\n", m[0], m[1]); 
    return (m[0] != 0x00 && m[1] != 0x00) ? 1 : 0; 
} 

int main(int argc, char * argv[]) 
{ 
    idtCheck(); 
    gdtCheck(); 

    if (ldtCheck()) 
     printf("Virtual Machine detected.\n"); 
    else 
     printf("Native machine detected.\n"); 

    return 0; 
} 

現在，GCC抱怨上的所有功能的__asm。我試着用ASM（），ASM和其他形式，我在過去使用但沒有工作。有任何想法嗎？

Answer 1

嗯，我還沒有拆開機器代碼在那裏，但這裏是一個使用GCC內聯彙編版本：

int redpill() 
{ 
     unsigned char idt_addr[(sizeof(long)==8)?10:6]; 
     __asm__("SIDT (%[ptr])" 
         : "=m" (idt_addr) 
         : [ptr] "r" (&idt_addr)); 
     // examine high order byte 
     return idt_addr[(sizeof(long)==8)?9:5] > 0xd0; 
} 

這應該「工作」即使是64位，但我沒有在那裏測試過。

不過！這並不能保證給出你想要的結果，根本就是。首先，它不適用於硬件虛擬化，因爲你看不到真正的IDT。其次，它依賴於VMWare和Virtual PC的實現細節，可能很容易改變。如果您的操作系統決定將其IDT置於高位地址，它甚至可能會引發誤報。所以我不推薦這種方法。

對於使用VMX硬件支持的虛擬機，可能是你最好的選擇將是做一些應該在硬件快，但需要在虛擬機陷阱，並檢查計時。像CPUID就是一個很好的選擇;在虛擬機和真實硬件上進行基準測試（與執行ADD或其他處理不同時鐘速率的虛擬循環進行比較），並查看測試機器與哪個配置文件更加匹配。由於每個CPUID將不得不退出虛擬機以向主機內核詢問它想要呈現的功能，所以它將比在真實硬件上花費更多的時間。 VM將有陷阱，或者用模擬的代碼替換它 -

對於其它類型的虛擬機，你可以簡單地通過加載控制寄存器或調試寄存器做一個類似的定時檢查。如果你的東西像VMware，它可能會取代一些仿真代碼的陷阱 - 在這種情況下，您可能能夠通過定時修改包含控制寄存器或調試寄存器操作代碼來識別它。這將迫使虛擬機使其緩存的代碼無效，這就需要虛擬機出現一個昂貴的陷阱，這將會顯示在您的基準測試中。

請注意，這兩種方法都需要操作系統內核的幫助 - 如果您至少沒有模擬內核的控制權，那麼您很難確定是否存在很難確定。如果虛擬機非常複雜，它可能會造成時序錯亂，此時事情變得非常困難 - 但這往往會導致性能下降，並導致時鐘漂移（如果可以連接到互聯網並查詢時間，則容易識別服務器！），所以大多數商業虛擬機不這樣做。