V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Issuema
V2EX  ›  问与答

软件检测虚拟机环境的原理是什么?

  •  
  •   Issuema · 2023-04-11 09:15:15 +08:00 · 6758 次点击
    这是一个创建于 624 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨天在拼多多上买了个盗版课程(正版的下架了),结果发给我的百度网盘里全是后缀名为.pcwl 的加密视频,并且只能用他指定的鹏程万里播放器播放。这播放器看着技术力不高,但恶心人的程度是我头一次见,vmware 、windows sandbox 、sandboxie-plus 环境下均会被检测,无法安装。我看了下其他的地方的评价实在不想安装在本机,但要退款那个卖家也不同意,所以想问下一般的软件检测虚拟机环境的方案有哪些呢?

    53 条回复    2024-03-08 17:52:35 +08:00
    xtreme1
        1
    xtreme1  
       2023-04-11 09:22:30 +08:00   ❤️ 3
    idealhs
        2
    idealhs  
       2023-04-11 09:29:50 +08:00
    盗版还要求装实机,怕是木马在里面
    Issuema
        3
    Issuema  
    OP
       2023-04-11 09:31:19 +08:00
    @xtreme1 好吧,我去学习一下
    hubaq
        4
    hubaq  
       2023-04-11 09:33:03 +08:00
    鹏程万里放弃吧,V2 估计没几个能搞定过虚拟化检测的
    Issuema
        5
    Issuema  
    OP
       2023-04-11 09:35:20 +08:00
    @idealhs 跟病毒没两样,我看别人成功安装了之后无法使用远程软件或录屏软件,会让后者强行退出。而且装上后资源占用率异常地高,别的事几乎做不了,所以我把拿来当 nas 的旧笔记本重装成 win10 来装这玩意了
    Issuema
        6
    Issuema  
    OP
       2023-04-11 09:38:46 +08:00
    @hubaq 那家技术这么硬嘛,,我以为就一个套别人项目的小团队
    TsubasaHanekaw
        7
    TsubasaHanekaw  
       2023-04-11 09:42:55 +08:00   ❤️ 4
    盗录者盗录时用防盗录软件盗录以防盗录
    metalvest
        8
    metalvest  
       2023-04-11 09:45:38 +08:00
    要不试试在硬件环境仿真器 Bochs 上运行
    Issuema
        9
    Issuema  
    OP
       2023-04-11 09:53:16 +08:00
    @TsubasaHanekaw 现在我怀疑卖这个播放器的翻录软件的也是同一拨人搞出来的🤣
    jiaokang
        10
    jiaokang  
       2023-04-11 09:58:05 +08:00
    @Issuema 没错就是一波人
    0o0O0o0O0o
        11
    0o0O0o0O0o  
       2023-04-11 10:02:56 +08:00
    普通人放弃对抗是明智的,建议用旧电脑跑。
    Issuema
        12
    Issuema  
    OP
       2023-04-11 10:10:01 +08:00
    @metalvest 我看了下好像是模拟的 x86 计算机吧,不知道再装个 windows 行不行,而且之后文件传输和网络配置估计也有得整的😢
    Issuema
        13
    Issuema  
    OP
       2023-04-11 10:13:16 +08:00
    @0o0O0o0O0o 目前确实是这个办法,不过过几天出差就不好带着走了,我现在的电脑 7 斤,旧电脑 10 斤,我再找下有什么远程方案不会触发检测的
    xctcc
        14
    xctcc  
       2023-04-11 10:17:50 +08:00
    这种东西我是用 pdd 上买 50 块钱的 ms2130 方案采集卡,加上 obs 本来就能录像。。完美解决,现在不知道涨价了没
    xctcc
        15
    xctcc  
       2023-04-11 10:18:28 +08:00
    不过我这个也是要一台旧电脑,我用的是 14 年的 macbook air
    ljsh093
        16
    ljsh093  
       2023-04-11 10:22:06 +08:00
    @xctcc #14 采集卡正解,drm 都能录
    Issuema
        17
    Issuema  
    OP
       2023-04-11 10:42:38 +08:00
    @xctcc 我也去买个,不知道能不能在出差前录制完
    shyrock
        18
    shyrock  
       2023-04-11 11:07:23 +08:00   ❤️ 1
    @TsubasaHanekaw #7 应该是盗录者盗录别人的资源卖钱,同时用尽手段防止被二次盗录。
    我觉得这就是 360 周鸿祎的翻版。没有人比贼更懂偷窃。
    Issuema
        19
    Issuema  
    OP
       2023-04-11 11:15:18 +08:00
    @shyrock 这比 360 流氓多了,奇安信的天擎也能装进虚拟机里,这玩意就油盐不进,看来还是 360 心善,没给我整虚拟机检测😂
    nmdx
        20
    nmdx  
       2023-04-11 11:45:26 +08:00 via Android
    666 确实是没人比破解更懂防破解的
    wsjwqq
        21
    wsjwqq  
       2023-04-11 12:08:58 +08:00
    去年看到过一个去虚拟化的教程,楼主可以试一试可不可以。https://mp.weixin.qq.com/s/G7TV6a0Jr3_VHasrbxlN9Q
    GrayXu
        22
    GrayXu  
       2023-04-11 12:36:46 +08:00
    虚拟机检测也没什么原理吧,都是 case by case 的,比如特殊名称设备、特殊指令行为之类的。
    也不一定说技术硬,这种开源工具也很多的,比如 ScoopyNG 之类
    MXMIS
        23
    MXMIS  
       2023-04-11 12:38:39 +08:00
    可以尝试用 U 盘装个系统进去
    hubaq
        24
    hubaq  
       2023-04-11 13:42:38 +08:00
    @xctcc
    @ljsh093
    @Issuema
    鹏程万里可以检测到采集卡
    ouqihang
        25
    ouqihang  
       2023-04-11 13:52:06 +08:00 via Android
    如果采集卡都能检测的话,估计检测了 pid vid ,还得自己动动手。
    jhytxy
        26
    jhytxy  
       2023-04-11 13:57:42 +08:00 via iPhone
    我有个旧笔记本专门干这个


    nvme 整盘做的备份
    干完脏事反手就是个整盘恢复
    Blanke
        27
    Blanke  
       2023-04-11 14:11:23 +08:00
    问清楚,鹏程万里就不要买了,真的恶心。
    我的方案是,买个 windows 垃圾平板专门看,几十块就能买到二手的
    nothingistrue
        28
    nothingistrue  
       2023-04-11 14:31:35 +08:00
    虚拟机要主动标识自己是虚拟机,不然都过不了系统引导这一块,所以压根就不需要用啥手段检测。试试 Hyper-V 吧,它倒不是没标识,而是开了 Hyper-V 之后宿主机跟虚拟机是一样的标识,无法再精确区分——但是可以直接检测到 Hyper-V 之后不管你是啥都给算做虚拟机,所以也不一定管用。

    最后说一句,要么正版,要么免费用学习版,不要干花钱买盗版这种沙雕或新手行为。
    Issuema
        29
    Issuema  
    OP
       2023-04-11 14:34:09 +08:00
    @hubaq 晚了,我那个都发货了😂
    Issuema
        30
    Issuema  
    OP
       2023-04-11 14:36:25 +08:00
    @Blanke 我也不道啊,他那商品截图就一个网盘,然后加我好友发的我,我收到打开就是加密格式,以前也没买过盗录视频
    Issuema
        31
    Issuema  
    OP
       2023-04-11 14:43:06 +08:00
    @nothingistrue 没办法,那资源是国内作者的,加上目前下架了,外网肯定没有。原作者肯定提前照顾过国内这几个平台了,直接搜他的名字是找不到,我还是在拼多多第二页商品图片里的描述里看到的。不过确实第一次花钱买的盗版确实体验不怎么行
    iwishing
        32
    iwishing  
       2023-04-11 15:16:54 +08:00   ❤️ 1
    楼主要问的问题应该是如何让 windows 伪装成一台物理机,而不是系统是如何检测出是在物理环境还是虚拟环境。
    如果是 linux ,可以用命令 virt-what ,或者是查看 /proc/cpuinfo 中的 hypervisor 字段。或者运行 dmesg |grep -i hypervisor
    如果是 windows ,可以查看系统托盘里面有没有 vmtools ,或者用 powershell 运行 get-wmiobject win32_computersystem | fl model

    https://shabaztech.com/check-machine-physical-virtual/
    https://unix.stackexchange.com/questions/3685/find-out-if-the-os-is-running-in-a-virtual-environment
    7RTDKSAK
        33
    7RTDKSAK  
       2023-04-11 15:21:53 +08:00   ❤️ 1
    可以考虑在 VHDX 中安装一个基础系统,然后每次遇到这种`不得不在物理机中安装不信任程序`的情景的时候,新建一块差分盘,测试完之后直接删除差分盘就行
    iwishing
        34
    iwishing  
       2023-04-11 15:22:28 +08:00
    搜索 虚拟环境中的 windows 如何伪装成物理机
    https://juejin.cn/s/vmware%E4%BC%AA%E8%A3%85%E4%B8%BA%E7%89%A9%E7%90%86%E6%9C%BA
    在 VMware 中伪装为物理机,需要修改虚拟机的硬件配置,使得它更加符合物理机的配置。具体操作如下:

    打开虚拟机的设置;
    选择「硬件」选项卡;
    双击「计算机常数」;
    将「生成代码」选项设置为「 VMware Workstation 」;
    将「类型」选项设置为「 VMware Workstation 」;
    点击「确定」并保存更改。
    这样,虚拟机就能够更好地模拟物理机,并且能够被识别为物理机。
    7RTDKSAK
        35
    7RTDKSAK  
       2023-04-11 15:24:41 +08:00   ❤️ 1
    @7RTDKSAK 当然这个`不被你信任地程序`还是可能向你的主系统所在地分区写入恶意程序,所以主系统最好能开 BITLOCKER/VERACRYPT 加密,令其在不被信任程序运行期间不能被读写
    dingwen07
        36
    dingwen07  
       2023-04-11 15:27:22 +08:00   ❤️ 1
    直接用 Windows To-Go 呗,在磁盘管理里面把本地硬盘脱机了
    nothingistrue
        37
    nothingistrue  
       2023-04-11 15:30:52 +08:00
    @iwishing #34 没卵用,只要不显卡直通或者 GPU 分区,虚拟机的虚拟 GPU 都是 CPU 模拟的,非常渣。渣 GPU 判定为虚拟机的误判率非常小,WeGame 就是这么干的。

    @Issuema #31 你这种情况,不说 100%,但是大概率下,这个资源本身就是没有上架价值的。
    Issuema
        38
    Issuema  
    OP
       2023-04-11 15:39:41 +08:00
    @iwishing
    @7RTDKSAK
    @dingwen07 感谢各位回复,我先回去试试采录卡的方案行不行,之后再尝试其他办法
    Issuema
        39
    Issuema  
    OP
       2023-04-11 16:57:43 +08:00
    @wsjwqq 这个原帖应该是这个 https://bbs.liuxingw.com/t/47285/1.html ,后面还少了些步骤。不过就算步骤完整也没用,通不过鹏程的检测😢
    Jamy
        40
    Jamy  
       2023-04-11 17:13:40 +08:00
    租个云服务器试试
    guazila
        41
    guazila  
       2023-04-11 17:15:07 +08:00 via Android   ❤️ 1
    建议 win to go ,禁用本机硬盘,再防火墙隔离内网。为了这么一个软件折腾虚拟机时间上不划算。
    Issuema
        42
    Issuema  
    OP
       2023-04-11 17:16:00 +08:00
    @MXMIS 我倒是有个 1t 的移动 ssd ,但是这方案对内存、CPU 无法隔离啊,包括他要全程联网,会泄漏哪些信息过去我也不知道
    Jamy
        43
    Jamy  
       2023-04-11 17:16:05 +08:00
    装个冰点还原精灵,看完了一键还原!
    MXMIS
        44
    MXMIS  
       2023-04-11 19:52:32 +08:00
    @Issuema 我之前试过,硬盘有 BitLocker 加密,其他系统是没法读取的
    ysc3839
        45
    ysc3839  
       2023-04-11 20:05:51 +08:00 via Android
    @hubaq 应该是检测采集卡的 EDID 实现的,可以找找支持克隆显示器 EDID 的采集卡
    w3cll
        46
    w3cll  
       2023-04-11 21:13:51 +08:00
    这年头卖盗版资源的也是穷尽了办法防止盗版被盗版
    还得用专用的播放器,资源免费,然后卖播放器授权码
    AngryPanda
        47
    AngryPanda  
       2023-04-11 21:30:07 +08:00 via iPhone
    试试云桌面
    onice
        48
    onice  
       2023-04-11 21:40:10 +08:00
    鹏程万里播放器用过,是合法软件,不是木马。

    但这个软件用了内核反调试技术,为了防止视频被泄密和破解。

    软件很垃圾,经常卡死未响应,有时候还蓝屏。
    Issuema
        49
    Issuema  
    OP
       2023-04-12 11:33:50 +08:00
    @guazila 感谢,能播放了,目前这个就是我想要的。只不过 wtg 系统响应好慢,不知道是因为移动 ssd 的性能原因,还是这个播放器的原因
    给 v 友反馈下结果,wtg 的方案除了性能不佳几乎完美解决我的需求了。等采集卡到了再试试能不能翻录,不过这个播放器有做答题互动检测的,想挂着把这个录完估计还得写个对应的脚本
    Issuema
        50
    Issuema  
    OP
       2023-04-14 00:25:44 +08:00
    更新下,采集卡果然会被检测到,还好是 pdd 买的便宜货😂
    出差延期了,接下来想试试可以克隆 EDID 的采集卡,v 友有推荐的吗
    liuwendang
        51
    liuwendang  
       2023-12-22 03:13:09 +08:00
    请问大佬现在用的什么方案录屏的
    Issuema
        52
    Issuema  
    OP
       348 天前
    @liuwendang 之前在闲鱼淘到个能过鹏程万里检测的虚拟机,不过性能有点糟糕,我周末发到网盘里。现在都是拿办公用的笔记本折腾,无所谓这个播放器怎么瞎搞。
    unusual7seven
        53
    unusual7seven  
       291 天前
    @Issuema #52 能过检测的虚拟机方便分享吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4955 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 05:39 · PVG 13:39 · LAX 21:39 · JFK 00:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.