Windows 10任务管理器如何检测虚拟机?
Windows 10任务管理器(taskmgr.exe)知道它是在物理机还是虚拟机上运行 如果查看“性能”选项卡,您会注意到“处理器数量”标签的内容为逻辑处理器:或虚拟处理器: 此外,如果在虚拟机内运行,则还有标签virtual machine:Yes 请参见以下两个屏幕截图: 我的问题是,taskmgr是否使用有文档记录的API调用进行此类检测 我对反汇编做了一个简短的观察,似乎检测代码与and/or和/或有某种关联 但是,我不知道该怎么做(至少在不花更多时间分析汇编代码的情况下是这样) 而且:这个问题与其他现有问题无关,比如如何检测我的程序是否在虚拟机中运行?因为我没有看到任何代码试图将smbios表字符串或cpu供应商字符串与虚拟机监控程序典型的现有已知字符串(“qemu”、“virtualbox”、“vmware”)进行比较。我不排除较低级别的API实现可以做到这一点,但我在taskmgr.exe中没有看到这种代码 更新:我还可以排除taskmgr.exe正在使用指令(EAX=1并检查ECX中的虚拟机监控程序位31)来检测矩阵。 更新:仔细查看反汇编显示确实有一个位31的检查,只是显然没有这样做Windows 10任务管理器如何检测虚拟机?,windows,windows-10,virtual-machine,reverse-engineering,virtualization,Windows,Windows 10,Virtual Machine,Reverse Engineering,Virtualization,Windows 10任务管理器(taskmgr.exe)知道它是在物理机还是虚拟机上运行 如果查看“性能”选项卡,您会注意到“处理器数量”标签的内容为逻辑处理器:或虚拟处理器: 此外,如果在虚拟机内运行,则还有标签virtual machine:Yes 请参见以下两个屏幕截图: 我的问题是,taskmgr是否使用有文档记录的API调用进行此类检测 我对反汇编做了一个简短的观察,似乎检测代码与and/or和/或有某种关联 但是,我不知道该怎么做(至少在不花更多时间分析汇编代码的情况下是这样)
我将在下面自己回答这个问题。我已经分析了Windows 10 1803(OS Build 17134.165)中的x64 taskmgr.exe,方法是追溯到在设置虚拟机:Yes标签时参考的内存位置的写操作 负责该变量值的是函数的返回代码
WdcMemoryMonitor::CheckVirtualStatuscpuidlea eax, [rdi+1] // results in eax set to 1
cpuid
mov dword ptr [rbp+var_2C], ebx // save CPUID feature bits for later use
test ecx, ecx
jns short loc_7FF61E3892DA // negative value check equals check for bit 31
...
return 1
loc_7FF61E3892DA:
// different feature detection code if hypervisor bit is not set
-hypervisor#包括
#ifdef_WIN32
#包括
#否则
#包括
#恩迪夫
int isHypervisor(无效)
{
#ifdef_WIN32
int-cpuinfo[4];
__cpuid(cpuinfo,1);
如果(cpuinfo[2]>>31和1)
返回1;
#否则
无符号整数eax、ebx、ecx、edx;
__获取cpuid(1,&eax,&ebx,&ecx,&edx);
如果(ecx>>31&1)
返回1;
#恩迪夫
返回0;
}
int main(int argc,字符**argv)
{
if(isHypervisor())
printf(“虚拟机:是\n”);
其他的
printf(“虚拟机:否”;/*实际上“可能”*/
返回0;
}
CheckVirtualStatus()