红药丸检测虚拟化

显然，示例代码试图执行一系列机器指令，在*一些*虚拟机内的行为与某些真实硬件上的行为不同。请注意，其他虚拟机可能无法用这种简单方法检测到。
代码不能执行的原因是，在现代操作系统中，您无法执行数据部分。您需要将那段代码明确地放入可执行部分，或者将数据部分更改为可执行。
来自Joanna Rutkowska，实际编写代码的人：
注意：在具有PAX / X ^ W / grsecurity保护系统（如Brad Spengler所指出的）中，此程序将失败，因为rpill变量未标记为可执行。要在这些系统中运行它，应使用mprotect()将rpill标记为PROT_EXEC属性。另一种解决方案是只使用asm()关键字而不是类似于shellcode的缓冲区。但是，这个程序应该被视为构建自己的shellcode的骨架，而不是独立的生产级工具;)我的目标是使它尽可能简单和便携。这就是为什么我没有使用asm()或mprotect()，因为它们是系统或编译器相关的。

#include <windows.h>

unsigned char m[2+4], rpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3";
int swallow_redpill () 
{
  unsigned int old;
  VirtualProtect(rpill, 8, PAGE_EXECUTE_READWRITE, &old);
  *((unsigned*)&rpill[3]) = (unsigned)m;
  ((void(*)())&rpill)();
  return (m[5]>0xd0) ? 1 : 0;
}

在Windows上，应该能解决问题。如果您的机器是x64，请确保运行Win32版本。

这是为x86手写的代码，没有考虑到现代编译器中常见的NX堆栈硬化机制。一个更具可移植性的代码，用于通过SIDT获取IDTR，在amd64上也能正常工作。

#include <stdio.h>

struct {
    unsigned short limit;
    unsigned long base;
} __attribute__((packed)) idtr;

int main() {
    asm("sidt %0" : "=m" (idtr));
    printf("%lx %x\n", idtr.base, idtr.limit);
    return 0;
}