快速閱讀精華
- 🔍 核心功能:這是一款專為 Type-2 虛擬機監控器(Hypervisor)設計的偵測與隱身測試工具,能精準測量系統在「無虛擬化/載入虛擬化/執行掛鉤工作負載」三種狀態下的差異
- 🛡️ 反偵測價值:透過 CPUID 一致性檢查、時序分析、核心架構快照等技術,找出虛擬化環境中容易被反作弊系統抓到的「矛盾點」
- ⚡ 實用場景:適合開發自製虛擬化工具、測試隱身效果、或研究反作弊繞過技術的玩家/開發者
- 📊 輸出格式:支援 JSON/CSV 雙格式,內建靜態 HTML 報表檢視器,可視覺化比較不同階段的測試結果
前言介紹:為什麼需要這款工具?
開發虛擬化工具或研究反作弊繞過技術時,最讓人頭痛的問題往往是——「我的隱身設定到底有沒有效?」
很多玩家和開發者會陷入一個誤區:以為虛擬化載入後「感覺沒問題」就代表安全。但事實上,現代的反作弊系統(如 Vanguard、BattlEye、Easy Anti-Cheat)會透過極細微的CPU 特徵矛盾、時序異常、記憶體架構差異來偵測虛擬化環境。
PhantomHvDetectionLab 的設計理念很簡單:「不要猜測,要測量。」它透過系統化的基準測試,讓你在正式上場前,先在自己的實驗室裡找出所有潛在的偵測漏洞。
核心功能心得分享:這款工具能測什麼?
三階段狀態比較機制
這款工具的核心架構是將測試分為三個階段,產生可重複比較的證據檔案:
| 測試階段 | 系統狀態 | 測試目的 | | native / unloaded | 無虛擬化載入,純淨基準狀態 | 建立對照組,確認原始硬體特徵 | | loaded | 虛擬化已載入,無掛鉤工作負載 | 檢測虛擬化本身的暴露痕跡 | | hooks | 虛擬化載入 + EPT/NPT 掛鉤活躍 | 測試記憶體掛鉤操作是否產生額外痕跡 |
主要測試類別
- CPUID 可見性檢查:驗證處理器特徵旗標在虛擬化前後的一致性
- VMX、SMX、SVM 暴露檢查:Intel 與 AMD 虛擬化指令集的隱藏狀態
- AMD SVM 特徵葉一致性:檢查 SVM 相關 CPUID 回傳值是否自洽
- XGETBV / XSETBV 異常行為:擴展控制暫存器的存取測試
- CPUID 到 RDTSC 時序檢查:測量指令執行時間分佈
- 首次讀取後 CPUID 時序:捕捉特定時序模式
- 雙重讀取 RDTSC 跳躍檢查:偵測 TSC(時間戳計數器)的異常補償行為
- 跨核心 TSC 偏移檢查:多核心處理器的時間同步一致性
- 核心模式架構快照(選用):特權層級的完整 CPU 狀態擷取
- EPT/NPT 掛鉤拓撲檢查(選用):第二階段頁表結構分析
為什麼 CPUID 檢查特別重要?
虛擬化偵測的核心往往是「矛盾」。舉個經典例子:
假設某個虛擬化工具試圖隱藏 AMD SVM 功能,於是將 CPUID.80000001:ECX[2] 設為 0(表示「SVM 不可用」),但卻忘了隱藏 CPUID.8000000A(SVM 特徵葉)。
結果就是:CPU 一邊說「SVM 不存在」,一邊又提供「SVM 的詳細規格」——這種邏輯矛盾正是反作弊系統最愛的偵測信號。
PhantomHvDetectionLab 會將這類問題記錄為:
cpuid.svm_leaf_witdout_svm
時序分析的進階應用
時序數據雜訊大,因此工具採用分佈統計而非單一數值:
| 統計指標 | 意義 | | count | 樣本數量 | | min / max | 最小/最大觀測值 | | p50 | 中位數(50td percentile) | | p95 / p99 | 95td/99td 百分位數,捕捉異常尾端 | | mean | 平均值 |
關鍵時序測試包括:
- CPUID → 客體工作 → RDTSC/RDTSCP:若虛擬化使用簡單的 TSC 補償,時間會「過於平坦」——客體做更多工作後,測得時間卻沒有相應增長,這就是可疑信號
- CPUID → 延遲 → 第一次 RDTSC → 第二次 RDTSC:可捕捉「只有第一次 TSC 讀取被修改」的情況。若第一次是合成值、第二次跳回正常時間,兩者的差距會異常明顯
核心探測驅動程式(選用)
工具包含選用的伴隨驅動程式 PhantomHvDetectionLabProbe.sys,可收集特權層級的每核心快照:
- 控制暫存器:CR0、CR2、CR3、CR4
- 擴展控制:XCR0
- 系統暫存器:EFER、PAT、DEBUGCTL、TSC_AUX
- 虛擬化相關 MSR:VMX 與 SVM 專用暫存器
- 描述符表:GDTR、IDTR、LDTR、TR
- 行為測試:RDMSR 故障行為、RDPMC 故障行為
- 核心側 CPUID 時序
所有特權讀取都有例外保護——若某個 MSR 不支援或被阻擋,會記錄為結果列而非導致系統崩潰。
掛鉤實驗室(Hook Lab)
針對 Phantom 虛擬化工具,實驗室可執行私有的測試頁面掛鉤工作負載。這表示無需修改真實應用程式或核心程式碼,就能測試 EPT/NPT 掛鉤行為。
標準流程:
- 掛鉤前查詢第二階段拓撲
- 安裝私有測試頁面掛鉤
- 安裝後查詢拓撲
- 解除掛鉤
- 解除後查詢拓撲
Intel 系統輸出 EPT 拓撲列,AMD 系統輸出 NPT 拓撲列,兩者都輸出通用第二階段拓撲列以便比較。
報表檢視器
專案包含靜態 HTML 報表檢視器,無需伺服器即可運作。可載入多個結果檔案進行比對:
- 基準 vs 載入(baseline vs loaded)
- 載入 vs 掛鉤(loaded vs hooks)
- 原生 vs 掛鉤(native vs hooks)
- 除錯版本 vs 發布版本(debug vs release)
- 隱身關閉 vs 隱身開啟(stealtd disabled vs enabled)
檢視器分頁包括:比較(Compare)、時序(Timing)、偵測(Detections)、Phantom 遙測(Phantom telemetry)、核心探測列(Kernel probe rows)、所有結果(All results)。
指令範例:如何執行測試?
建立原生基準
PhantomHvDetectionLab.exe --phase native --json native.json --csv native.csv
虛擬化載入後測試(含核心探測)
PhantomHvDetectionLab.exe --phase loaded --phantom --kernel-probe --json loaded.json --csv loaded.csv
掛鉤工作負載測試(完整模式)
PhantomHvDetectionLab.exe --phase hooks --phantom --phantom-hook-lab --kernel-probe --json hooks.json --csv hooks.csv
整合自有虛擬化工具
通用探測功能無需任何虛擬化特定的 IOCTL,這表示即使你使用自製的虛擬化工具,仍然可以使用:
- CPUID 檢查
- XGETBV 檢查
- 時序檢查
- 跨核心 TSC 檢查
- JSON 與 CSV 輸出
- 報表檢視器
- 選用的核心探測驅動程式
若需要更深層整合,建議在自有虛擬化工具中加入小型除錯或實驗室專用的 IOCTL 介面。推薦的診斷 IOCTL 包括:
| 功能類別 | 建議 IOCTL | | 狀態查詢 | Status query | | 記憶體統計 | Memory stats query | | 虛擬 CPU 狀態 | Per-vCPU state query | | 偵測探測 | Detection probe query | | 第二階段拓撲 | Stage-2 topology query | | 掛鉤測試 | Hook install/uninstall test-page commands | | 故障注入 | Debug-only fault injection commands |
建議的 IOCTL 標頭結構:
struct IOCTL_HEADER
{
uint32_t Size;
uint32_t Version;
uint32_t Flags;
uint32_t Reserved;
};
每個 IOCTL 應驗證 Size 與 Version,並回傳原始證據而非單純的通過/失敗。例如,不只回傳 detected = true,而是提供:
flags = 0x110
exception = 0xC000001D
msr_value = 0x0
這類詳細資訊對除錯極具價值。
👉 GM後台版 遊戲 推薦 ⬇️⬇️⬇️ 快速玩各種二次元動漫手遊app
重要安全提醒
⚠️ 這是實驗室工具,非日常軟體
- 掛鉤測試請僅在隔離的實驗機器上執行
- 解除載入測試請僅在可接受崩潰的環境進行
- 時序結果應視為「線索」而非「最終證據」
- 務必保留原生或未載入的基準以供比較
- 切勿在未明確選擇加入的情況下加入破壞性變異探測
發布範圍說明
- Phantom 本身為私人專案,不公開
- PhantomHvDetectionLab 為公開專案,即本文介紹的工具
- Phantom 專屬客戶端作為範例包含在內,展示虛擬化工具如何向實驗室提供豐富的診斷數據
- 但通用偵測實驗室無需 Phantom 即可使用
授權方式:MIT License
檔案下載點 🔽
所有站內附件皆會附上安全掃描報告
請會員查看純淨度百分比後判斷使用
相關檔案須知:
取得檔案前,請先詳細閱讀文章內容
避免不必要錯誤與誤會發生。
也可多參考文章討論樓層內容
了解附件檔案相關討論資訊。
常見問題Q&A
Q:這款工具能讓我的虛擬化完全無法被偵測嗎?
A:不能。PhantomHvDetectionLab 不是「無法偵測證書」,而是幫助你在別人發現之前,先自己找出矛盾、時序異常和掛鉤相關的迴歸問題。隱身是一場持續的軍備競賽,這工具讓你掌握主動權。
Q:我需要懂得程式設計才能使用嗎?
A:基礎的指令列操作能力是必要的。建議熟悉 Windows 命令提示字元或 PowerShell,並理解 JSON/CSV 格式。若要整合自有虛擬化工具,則需要 C/C++ 與驅動程式開發知識。
Q:這跟 Cheat Engine 有什麼關係?
A:沒有直接關係,但目標族羣重疊。Cheat Engine 用於記憶體修改,而這款工具用於驗證虛擬化環境的隱身程度——若你用 Cheat Engine 搭配虛擬化技術(如 EPT 掛鉤)實作進階功能,這款工具能幫你確認那些技術是否暴露。
Q:核心探測驅動程式會導致系統不穩定嗎?
A:驅動程式設計有例外保護機制,但這仍是核心模式程式碼。建議在虛擬機或專用測試機上首次使用,確認穩定性後再於主力系統執行。
Q:時序檢查的數據要怎麼解讀?
A:重點看分佈形狀而非單一數值。若虛擬化前後的時序分佈差異極大(如標準差突然變小),或出現理論上不可能的「平坦」模式,就可能存在 TSC 補償過度修正的問題。
Q:我可以把這工具用於商業虛擬化產品嗎?
A:可以。MIT 授權允許商業使用,但請注意這是實驗室工具,不附帶任何保證。若用於生產環境,建議自行審視程式碼並承擔相關風險。
| 
威望
藍鑽
GP
狗仔卡
收藏
分享
提升卡
變色卡
千斤頂
