我的电脑程序如何通过硬件特征识别确定自己是否运行在虚拟机环境中?
- 内容介绍
- 文章标签
- 相关推荐
本文共计944个文字,预计阅读时间需要4分钟。
直接检测CPUID签名是最可靠、最轻量级的方式,只需程序具有Ring 0以下权限(Windows用户态完全满足),即可绕过驱动层干扰,5行核心代码即可判断主流。
CPUID 指令读取虚拟机签名
虚拟机厂商会在 CPUID 指令的特定叶子节点(如 0x40000000 或 0x0)中硬编码厂商标识字符串。物理 CPU 不会返回这些值,因此无误报风险。
-
VMware在CPUID叶子0x40000000返回"VMwareVMware" -
Microsoft Hyper-V在CPUID叶子0x40000000返回"Microsoft Hv" -
KVM返回"KVMKVMKVM",Xen返回"XenVMMXenVMM" - 注意:必须用
__cpuid(MSVC)或__get_cpuid(GCC/Clang),不能手动内联cpuid后再读寄存器——某些虚拟机对非法调用会触发异常
VMware 特定端口 I/O 检测(兼容旧版)
该方法适用于 VMware Workstation / Player 早期版本(v12 及以前),现代版本默认禁用该端口,但仍有部分企业环境保留。
本文共计944个文字,预计阅读时间需要4分钟。
直接检测CPUID签名是最可靠、最轻量级的方式,只需程序具有Ring 0以下权限(Windows用户态完全满足),即可绕过驱动层干扰,5行核心代码即可判断主流。
CPUID 指令读取虚拟机签名
虚拟机厂商会在 CPUID 指令的特定叶子节点(如 0x40000000 或 0x0)中硬编码厂商标识字符串。物理 CPU 不会返回这些值,因此无误报风险。
-
VMware在CPUID叶子0x40000000返回"VMwareVMware" -
Microsoft Hyper-V在CPUID叶子0x40000000返回"Microsoft Hv" -
KVM返回"KVMKVMKVM",Xen返回"XenVMMXenVMM" - 注意:必须用
__cpuid(MSVC)或__get_cpuid(GCC/Clang),不能手动内联cpuid后再读寄存器——某些虚拟机对非法调用会触发异常
VMware 特定端口 I/O 检测(兼容旧版)
该方法适用于 VMware Workstation / Player 早期版本(v12 及以前),现代版本默认禁用该端口,但仍有部分企业环境保留。