海阳顶端头条号，专注黑客知识普及，提高大众网络安全意识。今天在这里普及两个黑客小知识，就是黑客在渗透后的机器里，如何判断出这是一台笔记本还是台式机？是一台真实物理机器，还是一台虚拟机。黑客做出这些判断是非常必要的，因为笔记本有可能要移动办公，虚拟机有可能是蜜罐。

一、判断是笔记本还是台式机

（1）人人都会的办法，如果木马里有抓图的功能，看下已被种马机器的电脑桌面是否有电池图标。

如果你有丰富的经验，你甚至能猜测出我用的是什么笔记本，如果能猜出，在文章评论里评论一下吧。

（2）用VBS来判断一下吧，代码如下：

strComputer = "."

Set objWMIService = GetObject("winmgmts:" _

& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

Set colChassis = objWMIService.ExecQuery _

("Select * from Win32_SystemEnclosure")

For Each objChassis in colChassis

For Each strChassisType in objChassis.ChassisTypes

Wscript.Echo strChassisType

if strChassisType=10 then

wsh.echo "notebook"

end if

Next

Next

这段代码你保存成vbs后双击就可以知道结果了。黑客们是不会傻呼呼双击的，在命令行底下，按照我的办法来，保存成1.txt，执行:

cscript /e:vbs 1.txt

改成txt后缀是为了更好地躲避杀毒软件的，尽管我们的这段代码里没有恶意代码，这里判断出是笔记本。值得说明的是，这段代码判断得并不是特别准，因为新的机型现在很多了，像一体机都有了。

二、判断是真实主机还是虚拟机

这里主要判断是否是用得最多的VMware 虚拟机（像Oracle VM VirtualBox暂且不在讨论范围内），判断的依据是否有vmtoolsd.exe这个进程。

（1）执行命令：tasklist |find "vmtoolsd.exe"，下图显示明显是虚拟机。

（2）VBS代码实现，代码如下：

Set w = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")

set pa=w.execquery("select * from win32_process")

For Each p In pa

If LCase(p.caption) = LCase("vmtoolsd.exe") Then

wsh.echo "virtual machine"

end if

next

执行cscript /e:vbs 2.txt，没有回显出虚拟机来，下图是真实机器的执行结果。

这几天闲着无聊，去了其他的几个黑客头条号看了下，真是让我抓狂，人家随便在freebuf上抄几篇黑客资讯文章，连标点符号都不变，访问量都是我几十倍，何必像我这样费心尽力呢？但这种做法真是为我不齿的，无论如何，我还是坚持我的原创，坚持我的精品创作，我的黑客文章里的错别字都几乎是没有的，也希望关注我的人能和我一起在黑客技术上进步。