黑客怎么利用的pafish测试虚拟环境的

黑客如何运用pafish开展侦测虚拟环境的？是许多网民最想知道的；pafish得话也是这种用于侦测虚拟环境的免费源码道具，除开虚拟环境以外这类道具还能侦测出流行的沙箱和debug坏境。

当黑客运作pafish之后该侦测道具就能对各类特点开展查验，要是沒有发觉配对的特点这类道具就会显视1个墨绿的OK标识，反过来假如发觉就会显视1个蓝色的traced具体情况给出图：

这一当时在黑客pafish的github文件名下还会包含下列文档：

那样来看得话pafish是用1个c文档来相匹配1个侦测模快的，其黑客pafish就包括有给出好多个模快：

1、应用场景CPU的侦测模快cpu.c；

2、侦测调节坏境模快debuggers.c；

3、基础侦测模快gensandbox.c；

4、侦测流行餐饮业虚拟环境，如：vmwarehe vitualbox等。

一、黑客应用场景cpu的侦测方式：

黑客应用pafish用RDTSC命令来开展测算实行每段编码，在实行中就能算出所花销的均值cpu运作期限数，终究RDTSC实行也是能以加性的理智而得到测微仪cpu时钟周期数；实际的使用方法也是依次实行2次RDTSC并记录下来2个64-bit整数的ret和ret2.，其ret2-ret1就意味着这期内所花销的cpu时钟周期数了。

static inline unsigned long long rdtsc_diff() {

                             unsigned long long ret, ret2;

                             unsigned eax, edx;

                             __asm__ volatile("rdtsc" : "=a" (eax), "=d" (edx));

                             ret  = ((unsigned long long)eax) | (((unsigned long long)edx) << 32);

                             __asm__ volatile("rdtsc" : "=a" (eax), "=d" (edx));

                             ret2  = ((unsigned long long)eax) | (((unsigned long long)edx) << 32);

                             return ret2 - ret;

}

随后开展取差值，该流程必须反复做10次能够获得平均值；假如这一均值期限差低于750得话，黑客就觉得是面组机坏境，不然就觉得是虚拟机坏境。

二、黑客侦测调节坏境下的检验。

1、大伙儿必须看下Isdebuggerpresent的返回值，终究isdebuggerpresent也是1个kernel132.dll中的涵数，大伙儿根据该涵数得话就能检验出当今程序是不是被调节。

int debug_isdebuggerpresent() {

                             if (IsDebuggerPresent())

                             return TRUE;

                             else

                             return FALSE;

}

2、黑客必须采用OutputDebugString，OutputDebugString也是用于把调试信息輸出到调试器的輸出对话框。但 是OutputDebugString只有在调节坏境下实行。而在非调节坏境下，OutputDebugString会造成1个不正确。Pafish先设定 1个错误代码（99）做为基准值，随后启用OutputDebugString，再取下错误代码与99较为。假如运作在1个调节坏境中，那麼应当沒有新错 误造成，因此取下的错误代码還是99。