软件检测虚拟机环境的原理是什么？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 574 天前的主题，其中的信息可能已经有所发展或是发生改变。

昨天在拼多多上买了个盗版课程（正版的下架了），结果发给我的百度网盘里全是后缀名为.pcwl 的加密视频，并且只能用他指定的鹏程万里播放器播放。这播放器看着技术力不高，但恶心人的程度是我头一次见，vmware 、windows sandbox 、sandboxie-plus 环境下均会被检测，无法安装。我看了下其他的地方的评价实在不想安装在本机，但要退款那个卖家也不同意，所以想问下一般的软件检测虚拟机环境的方案有哪些呢？

检测

技术力

播放器

鹏程万里

53 条回复 • 2024-03-08 17:52:35 +08:00

xtreme1

2023-04-11 09:22:30 +08:00

这个问题很难几句话说清楚, 都是细节
https://github.com/LordNoteworthy/al-khaser
https://github.com/a0rtega/pafish

idealhs

2023-04-11 09:29:50 +08:00

盗版还要求装实机，怕是木马在里面

Issuema

2023-04-11 09:31:19 +08:00

@xtreme1 好吧，我去学习一下

hubaq

2023-04-11 09:33:03 +08:00

鹏程万里放弃吧，V2 估计没几个能搞定过虚拟化检测的

Issuema

2023-04-11 09:35:20 +08:00

@idealhs 跟病毒没两样，我看别人成功安装了之后无法使用远程软件或录屏软件，会让后者强行退出。而且装上后资源占用率异常地高，别的事几乎做不了，所以我把拿来当 nas 的旧笔记本重装成 win10 来装这玩意了

Issuema

2023-04-11 09:38:46 +08:00

@hubaq 那家技术这么硬嘛，，我以为就一个套别人项目的小团队

TsubasaHanekaw

2023-04-11 09:42:55 +08:00

盗录者盗录时用防盗录软件盗录以防盗录

metalvest

2023-04-11 09:45:38 +08:00

要不试试在硬件环境仿真器 Bochs 上运行

Issuema

2023-04-11 09:53:16 +08:00

@TsubasaHanekaw 现在我怀疑卖这个播放器的翻录软件的也是同一拨人搞出来的🤣

jiaokang

2023-04-11 09:58:05 +08:00

@Issuema 没错就是一波人

0o0O0o0O0o

2023-04-11 10:02:56 +08:00

普通人放弃对抗是明智的，建议用旧电脑跑。

Issuema

2023-04-11 10:10:01 +08:00

@metalvest 我看了下好像是模拟的 x86 计算机吧，不知道再装个 windows 行不行，而且之后文件传输和网络配置估计也有得整的😢

Issuema

2023-04-11 10:13:16 +08:00

@0o0O0o0O0o 目前确实是这个办法，不过过几天出差就不好带着走了，我现在的电脑 7 斤，旧电脑 10 斤，我再找下有什么远程方案不会触发检测的

xctcc

2023-04-11 10:17:50 +08:00

这种东西我是用 pdd 上买 50 块钱的 ms2130 方案采集卡，加上 obs 本来就能录像。。完美解决，现在不知道涨价了没

xctcc

2023-04-11 10:18:28 +08:00

不过我这个也是要一台旧电脑，我用的是 14 年的 macbook air

ljsh093

2023-04-11 10:22:06 +08:00

@xctcc #14 采集卡正解，drm 都能录

Issuema

2023-04-11 10:42:38 +08:00

@xctcc 我也去买个，不知道能不能在出差前录制完

shyrock

2023-04-11 11:07:23 +08:00

@TsubasaHanekaw #7 应该是盗录者盗录别人的资源卖钱，同时用尽手段防止被二次盗录。
我觉得这就是 360 周鸿祎的翻版。没有人比贼更懂偷窃。

Issuema

2023-04-11 11:15:18 +08:00

@shyrock 这比 360 流氓多了，奇安信的天擎也能装进虚拟机里，这玩意就油盐不进，看来还是 360 心善，没给我整虚拟机检测😂

nmdx

2023-04-11 11:45:26 +08:00 via Android

666 确实是没人比破解更懂防破解的

wsjwqq

2023-04-11 12:08:58 +08:00

去年看到过一个去虚拟化的教程，楼主可以试一试可不可以。https://mp.weixin.qq.com/s/G7TV6a0Jr3_VHasrbxlN9Q

GrayXu

2023-04-11 12:36:46 +08:00

虚拟机检测也没什么原理吧，都是 case by case 的，比如特殊名称设备、特殊指令行为之类的。
也不一定说技术硬，这种开源工具也很多的，比如 ScoopyNG 之类

MXMIS

2023-04-11 12:38:39 +08:00

可以尝试用 U 盘装个系统进去

hubaq

2023-04-11 13:42:38 +08:00

@xctcc
@ljsh093
@Issuema
鹏程万里可以检测到采集卡

ouqihang

2023-04-11 13:52:06 +08:00 via Android

如果采集卡都能检测的话，估计检测了 pid vid ，还得自己动动手。

jhytxy

2023-04-11 13:57:42 +08:00 via iPhone

我有个旧笔记本专门干这个

nvme 整盘做的备份
干完脏事反手就是个整盘恢复

Blanke

2023-04-11 14:11:23 +08:00

问清楚，鹏程万里就不要买了，真的恶心。
我的方案是，买个 windows 垃圾平板专门看，几十块就能买到二手的

nothingistrue

2023-04-11 14:31:35 +08:00

虚拟机要主动标识自己是虚拟机，不然都过不了系统引导这一块，所以压根就不需要用啥手段检测。试试 Hyper-V 吧，它倒不是没标识，而是开了 Hyper-V 之后宿主机跟虚拟机是一样的标识，无法再精确区分——但是可以直接检测到 Hyper-V 之后不管你是啥都给算做虚拟机，所以也不一定管用。

最后说一句，要么正版，要么免费用学习版，不要干花钱买盗版这种沙雕或新手行为。

Issuema

2023-04-11 14:34:09 +08:00

@hubaq 晚了，我那个都发货了😂

Issuema

2023-04-11 14:36:25 +08:00

@Blanke 我也不道啊，他那商品截图就一个网盘，然后加我好友发的我，我收到打开就是加密格式，以前也没买过盗录视频

Issuema

2023-04-11 14:43:06 +08:00

@nothingistrue 没办法，那资源是国内作者的，加上目前下架了，外网肯定没有。原作者肯定提前照顾过国内这几个平台了，直接搜他的名字是找不到，我还是在拼多多第二页商品图片里的描述里看到的。不过确实第一次花钱买的盗版确实体验不怎么行

iwishing

2023-04-11 15:16:54 +08:00

楼主要问的问题应该是如何让 windows 伪装成一台物理机，而不是系统是如何检测出是在物理环境还是虚拟环境。
如果是 linux ，可以用命令 virt-what ，或者是查看 /proc/cpuinfo 中的 hypervisor 字段。或者运行 dmesg |grep -i hypervisor
如果是 windows ，可以查看系统托盘里面有没有 vmtools ，或者用 powershell 运行 get-wmiobject win32_computersystem | fl model

https://shabaztech.com/check-machine-physical-virtual/
https://unix.stackexchange.com/questions/3685/find-out-if-the-os-is-running-in-a-virtual-environment

7RTDKSAK

2023-04-11 15:21:53 +08:00

可以考虑在 VHDX 中安装一个基础系统,然后每次遇到这种`不得不在物理机中安装不信任程序`的情景的时候,新建一块差分盘,测试完之后直接删除差分盘就行

iwishing

2023-04-11 15:22:28 +08:00

搜索虚拟环境中的 windows 如何伪装成物理机
https://juejin.cn/s/vmware%E4%BC%AA%E8%A3%85%E4%B8%BA%E7%89%A9%E7%90%86%E6%9C%BA
在 VMware 中伪装为物理机，需要修改虚拟机的硬件配置，使得它更加符合物理机的配置。具体操作如下：

打开虚拟机的设置；
选择「硬件」选项卡；
双击「计算机常数」；
将「生成代码」选项设置为「 VMware Workstation 」；
将「类型」选项设置为「 VMware Workstation 」；
点击「确定」并保存更改。
这样，虚拟机就能够更好地模拟物理机，并且能够被识别为物理机。

7RTDKSAK

2023-04-11 15:24:41 +08:00

@7RTDKSAK 当然这个`不被你信任地程序`还是可能向你的主系统所在地分区写入恶意程序,所以主系统最好能开 BITLOCKER/VERACRYPT 加密,令其在不被信任程序运行期间不能被读写

dingwen07

2023-04-11 15:27:22 +08:00

直接用 Windows To-Go 呗，在磁盘管理里面把本地硬盘脱机了

nothingistrue

2023-04-11 15:30:52 +08:00

@iwishing #34 没卵用，只要不显卡直通或者 GPU 分区，虚拟机的虚拟 GPU 都是 CPU 模拟的，非常渣。渣 GPU 判定为虚拟机的误判率非常小，WeGame 就是这么干的。

@Issuema #31 你这种情况，不说 100%，但是大概率下，这个资源本身就是没有上架价值的。

Issuema

2023-04-11 15:39:41 +08:00

@iwishing
@7RTDKSAK
@dingwen07 感谢各位回复，我先回去试试采录卡的方案行不行，之后再尝试其他办法

Issuema

2023-04-11 16:57:43 +08:00

@wsjwqq 这个原帖应该是这个 https://bbs.liuxingw.com/t/47285/1.html ，后面还少了些步骤。不过就算步骤完整也没用，通不过鹏程的检测😢

Jamy

2023-04-11 17:13:40 +08:00

租个云服务器试试

guazila

2023-04-11 17:15:07 +08:00 via Android

建议 win to go ，禁用本机硬盘，再防火墙隔离内网。为了这么一个软件折腾虚拟机时间上不划算。

Issuema

2023-04-11 17:16:00 +08:00

@MXMIS 我倒是有个 1t 的移动 ssd ，但是这方案对内存、CPU 无法隔离啊，包括他要全程联网，会泄漏哪些信息过去我也不知道

Jamy

2023-04-11 17:16:05 +08:00

装个冰点还原精灵,看完了一键还原!

MXMIS

2023-04-11 19:52:32 +08:00

@Issuema 我之前试过，硬盘有 BitLocker 加密，其他系统是没法读取的

ysc3839

2023-04-11 20:05:51 +08:00 via Android

@hubaq 应该是检测采集卡的 EDID 实现的，可以找找支持克隆显示器 EDID 的采集卡

w3cll

2023-04-11 21:13:51 +08:00

这年头卖盗版资源的也是穷尽了办法防止盗版被盗版
还得用专用的播放器，资源免费，然后卖播放器授权码

AngryPanda

2023-04-11 21:30:07 +08:00 via iPhone

试试云桌面

onice

2023-04-11 21:40:10 +08:00

鹏程万里播放器用过，是合法软件，不是木马。

但这个软件用了内核反调试技术，为了防止视频被泄密和破解。

软件很垃圾，经常卡死未响应，有时候还蓝屏。

Issuema

2023-04-12 11:33:50 +08:00

@guazila 感谢，能播放了，目前这个就是我想要的。只不过 wtg 系统响应好慢，不知道是因为移动 ssd 的性能原因，还是这个播放器的原因
给 v 友反馈下结果，wtg 的方案除了性能不佳几乎完美解决我的需求了。等采集卡到了再试试能不能翻录，不过这个播放器有做答题互动检测的，想挂着把这个录完估计还得写个对应的脚本

Issuema

2023-04-14 00:25:44 +08:00

更新下，采集卡果然会被检测到，还好是 pdd 买的便宜货😂
出差延期了，接下来想试试可以克隆 EDID 的采集卡，v 友有推荐的吗

liuwendang

320 天前

请问大佬现在用的什么方案录屏的

Issuema

298 天前

@liuwendang 之前在闲鱼淘到个能过鹏程万里检测的虚拟机，不过性能有点糟糕，我周末发到网盘里。现在都是拿办公用的笔记本折腾，无所谓这个播放器怎么瞎搞。

unusual7seven

242 天前

@Issuema #52 能过检测的虚拟机方便分享吗？