我需要检测我的应用程序是否在虚拟OS实例中运行。

我找到了一篇文章，其中包含有关该主题的一些有用信息。同一篇文章出现在多个地方，我不确定原始来源。 VMware实现了一个特殊的无效x86指令来返回有关其自身的信息，而VirtualPC使用了带有幻数和带有IN指令的I / O端口。

这是可行的，但在两种情况下似乎都是未记录的行为。我认为将来的VMWare或者VirtualPC版本可能会更改该机制。有没有更好的办法？两种产品都有受支持的机制吗？

同样，有没有办法检测Xen或者VirtualBox？

我不担心平台故意隐藏自己的情况。例如，蜜罐使用虚拟化，但有时会掩盖恶意软件用来检测它的机制。我不在乎我的应用程序会认为未在这些蜜罐中对其进行虚拟化，我只是在寻找"尽力而为"的解决方案。

该应用程序主要是Java，尽管我希望对此功能使用本机代码和JNI。 Windows XP / Vista支持是最重要的，尽管参考文章中描述的机制是x86的通用功能，并且不依赖于任何特定的OS工具。

解决方案

在Linux下，我们可以在/ proc / cpuinfo上报告。如果是在VMware中，则其出现通常与在裸机上时有所不同，但并非总是如此。 Virtuozzo显示了到基础硬件的传递。

尝试读取SMBIOS结构，尤其是带有BIOS信息的结构。

在Linux中，我们可以使用dmidecode实用程序浏览信息。

不可以。这不可能完全准确地检测出来。某些虚拟化系统(例如QEMU)会模拟整个计算机，直至硬件寄存器。让我们扭转这个局面：我们要做什么？也许我们可以提供帮助。

我们听说过蓝色药丸，红色药丸吗？这是一种用于查看我们是否在虚拟机中运行的技术。该术语的起源源于矩阵电影，其中向Neo提供了蓝色或者红色药丸(留在矩阵中=蓝色，或者进入"真实"世界=红色)。

以下是一些代码，可以检测我们是否正在"矩阵"中运行：
(从该站点借来的代码还包含有关当前主题的一些不错的信息)：

int swallow_redpill () {
   unsigned char m[2+4], rpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3";
   *((unsigned*)&rpill[3]) = (unsigned)m;
   ((void(*)())&rpill)();
   return (m[5]>0xd0) ? 1 : 0;
 }

在虚拟机中运行时，该函数将返回1，否则返回0。

我认为，依靠诸如SIDT损坏的虚拟化之类的技巧并不能真正，因为硬件会填补怪异而混乱的x86架构所留下的所有漏洞。最好的方法是游说Vm提供程序，以一种标准的方式告诉我们我们在VM上-至少在用户明确允许的情况下。但是，如果我们假设我们明确允许检测到VM，那么我们也可以在其中放置可见标记，对吗？我建议仅使用一个告诉我们我们在VM上的文件来更新VM上的磁盘，例如，文件系统根目录中的一个小文本文件。或者检查ETH0的MAC，并将其设置为给定的已知字符串。

我想推荐一篇发表在Usenix HotOS '07上的论文，"兼容性不是透明性：VMM检测的神话与现实"，该论文总结了几种技术来判断应用程序是否在虚拟环境中运行。

例如，使用sidt指令与redpill一样(但是该指令也可以通过动态翻译使其透明)，或者将cpuid的运行时与其他非虚拟化指令进行比较。

在安装新版Ubuntu时，我发现了名为imvirt的软件包。在http://micky.ibh.net/~liske/imvirt.html上进行查看

VMware具有一种机制来确定软件是否在VMware虚拟机中运行知识库文章，其中包含一些源代码。

Microsoft还有一个页面"确定是否安装了Hypervisor"。 MS在其"服务器虚拟化验证测试"文档的" IsVM TEST"部分中阐明了对管理程序的这一要求。

VMware和MS文档都提到使用CPUID指令检查系统管理程序存在位(寄存器ECX的第31位)

RHEL bugtracker有一个用于"应为Xen内核下的寄存器ECX的位31设置CPUID叶0x00000001的ISVM位(ECX：31)"。

因此，无需深入了解供应商细节，我们似乎可以使用CPUID检查来了解我们是否在虚拟运行。

在Linux下，我使用了以下命令：dmidecode(在CentOS和Ubuntu上都具有它)

从男人那里：

dmidecode  is a tool for dumping a
  computer's DMI (some say SMBIOS) table
  contents in a human-readable format.

所以我搜索了输出，发现它可能是Microsoft Hyper-V

Handle 0x0001, DMI type 1, 25 bytes
System Information
    Manufacturer: Microsoft Corporation
    Product Name: Virtual Machine
    Version: 5.0
    Serial Number: some-strings
    UUID: some-strings
    Wake-up Type: Power Switch

Handle 0x0002, DMI type 2, 8 bytes
Base Board Information
    Manufacturer: Microsoft Corporation
    Product Name: Virtual Machine
    Version: 5.0
    Serial Number: some-strings

另一种方法是搜索eth0的MAC地址与哪个制造商有关：http://www.coffer.com/mac_find/

如果返回Microsoft，vmware等，则可能是虚拟服务器。