一个有趣的问题，大家探讨下

显示全部楼层 · 发表于 2013-10-15 14:30:01

本帖最后由 xflcx1991 于 2013-10-15 14:34 编辑

我装的KES10，遇到卡饭里「毒网分析」的网址，卡巴大叔屡屡斩获，用的颇爽。今日用虚拟机装的comodo全套系列，想试试毒网却发现，如下图的情景，莫非卡巴拦截到后，自行做服务器，又传回给了虚拟机中的浏览器？这与我想的单纯在宿主机下拦截的做法完全不同啊，因为卡巴不会还深入虚拟机参与防御吧，很像是在宿主机网络端拦截后自行生成了网页又传回去了。

受到200K的限制，只好处理下图片了，16色，大家将就一下，看内容就好。

补充，宿主机暂停掉卡巴后，虚拟机正常访问了，comodo居然毫无反应，就今天的毒网分析。

显示全部楼层 · 发表于 2013-10-15 14:31:57

早发现了，网页反病毒的确可以监控到虚拟机的访问

显示全部楼层 · 发表于 2013-10-15 14:37:29

化石MM 发表于 2013-10-15 14:31
早发现了，网页反病毒的确可以监控到虚拟机的访问

是抓了网络返回的包，发现威胁后又自行生成网页返回给浏览器吧，还是居然能深入虚拟机，比如在虚拟机里双击病毒包，这卡巴应该不会报吧，这要报了，那不太吊了。

显示全部楼层 · 发表于 2013-10-15 14:39:00

虚拟机内双击不会报，但是全盘扫描会删除虚拟机内的病毒
至于网页反病毒是怎么返回的我也不知道，但是这个现象的确有，卡巴斯基个人版也会如此

显示全部楼层 · 发表于 2013-10-15 20:06:03

本帖最后由 afsfdagd 于 2013-10-15 20:10 编辑

这个是老问题了，虚拟机区里面原来也有讨论过。
不只是卡巴，像诺顿，eset，avast之类带有网络流量扫描监控端口的这类杀毒遇到这类情况都会报。为什么呢？虚拟机里运行的系统包括注册表什么的都是虚拟化的，但是你想要联网还是必须访问网卡，此时虚拟机里程序要想联网，是通过虚拟机进程代{过}{滤}理，再发送。此时传出与传入的数据在宿主机中都由虚拟机这个程序代{过}{滤}理完成，自然会通过卡巴的流量扫描，传入数据也是由卡巴先检测，然后再由虚拟机接收，卡巴检测到病毒就拦截，同时再插入检出病毒提示，接着虚拟机中浏览器接收数据就有检测到病毒的信息。你可以查看下网页反病毒拦截的对应进程肯定是虚拟机的进程。
还有就是无论什么杀毒包括卡巴，查杀和主动防御之类的是杀不到虚拟机里的，你看宿主机任务管理器里除了虚拟机的进程之外就没有虚拟机中程序的进程，所有的文件注册表驱动什么的都是以虚拟机特殊的格式分成一个或多个保存的，杀软拆解不开，除非通过端口传播的蠕虫或是像原先见到诺顿ips拦截入侵偶尔再反向定位虚拟机进程报可疑行为。虚拟机的虚拟化做的很好，完全封闭很少漏洞，这也是大家选它测毒的原因。

对了再补充一点，上述情况适用于虚拟机网络连接设置用NAT，网络流量过宿主机，会出现上文宿主机中杀软拦截虚拟机中网络风险。如果用桥接模式，则相不过主机，楼主可以试试，换成这种模式宿主机中杀软就不会拦截了，此时虚拟机中进行下载之类的行为，宿主机中用流量监控类的软件也检测不到这部分数据。具体原理解释不清楚，可以用百科搜索相关定义。

解释的比较乱哈，可能存在错误或是一些不专业的地方，不过大概意思是这样了，希望能对你有帮助。

显示全部楼层 · 发表于 2013-10-16 08:21:53

afsfdagd 发表于 2013-10-15 20:06
这个是老问题了，虚拟机区里面原来也有讨论过。
不只是卡巴，像诺顿，eset，avast之类带有网络流量扫描监控 ...

看懂了，谢谢哈。我去试试桥接模式。