> Ideális esetben a guest nem is tudhatja, hogy virtualizáltan fut
Mutatsz is ilyen idealizált esetet a gyakorlatban? Én speciel most ezt tudom csinálni:
FreeBSD_VM$ dmesg | fgrep Hypervisor
Hypervisor: Origin = "KVMKVMKVM"
FreeBSD_VM$ sysctl -d kern.vm_guest
kern.vm_guest: Virtual machine guest detected?
FreeBSD_VM$ sysctl kern.vm_guest
kern.vm_guest: kvm
99% eséllyel mondom, hogy a KVM-en kívül a Xen-t, a VBox-ot, a HyperV-t és szerintem a VMware-t is detektálja - de olyanom most nincs kéznél.
Arról nem beszélve, hogy a háttértárak tipus neve, a virtualizált hálózati interfészek gyártója / FW-verziója / stb. mind árulkodóak. És igen, ezek pl. sok esetben valóban "hamisíthatóak" (*), de tegye fel a kezét, aki már automatikusan minden ilyen infót hamisítottan ad át a VM-jeinek. (*)
Mondjuk az érdekelne, hogy amennyiben valamelyik host-ot felismeri, akkor az adott szoftverben van-e ez ellen valami *valóban* működő ellenlépés.
(*) kicsit olyan ez, mint volt millió éve az nslookup -cl=CH -ty=TXT version.bind . Hasznosnak tűnt elrejteni / hamisítani, de igazából az security by/through obscurity, sokkal hasznosabb napra késznek lenni peccseléssel és körbebástyázni a szolgáltatásokat.