继上次的问题，为什么杀软不能监控虚拟机里文件是否有病毒？

jiao轩

自己试验过了 确实是不行 NAT模式只能监控网络方面的   奇怪的是虚拟机也是进程啊 进程里有恶意代码为杀软应该会报毒啊  另外扫描中了毒的虚拟硬盘也不会报毒 这个就更奇怪了  病毒方面没问题，确实是病毒动作不少     我这次想问为什么没法监控虚拟机里文件…………

107

我不是技术人员，原理真的说不出来，那个虚拟硬盘是封装性好，所以就不能监控，如果你有兴趣，可以到virtualbox论坛看看，因为是开源的，代码和工作原理都可以研究（不是是英文的。。。）

jiao轩

回复 2楼 107 的帖子

那希望有其他坛友能回答  封装性好是什么意思？

107

回复 3楼 jiao轩 的帖子

我不懂，随便说的。。

掩耳

应该是 蜜 罐 的作用 CPU的虚拟化技术 就是为了支持多系统运行
我想应该是虚拟模拟指令集  不是很懂 抱歉

leisong

如果如此自由的监控到虚拟机中虚拟磁盘中的毒，那么虚拟磁盘也就可以被自由打开了，那么虚拟磁盘和普通文件夹有什么区别呢？那么虚拟机还能隔绝于真实系统还能防毒吗？

FreeEquFraT

这个按照我的理解是这样的，虚拟机使用的是它自己的磁盘格式，自己的一套接口什么的（反正就是有自己的一套OOXX的东西），杀软是建立在正常的系统上的，检测也是一样的，就如同X射线可以穿透许多物质，但却穿透不了“铅”。
所以说很少听说有病毒能穿虚拟机，其实并不是穿透不了，而是基本上没什么人花大力气去研究VM的驱动、磁盘格式等等东西，如果有大牛认真研究一下的话，穿虚拟机应该也是没问题的（不排除已经出现了，只不过暂时没放出来而已）。
如果杀软的技术人员不愿意花时间在这个方面（因为目前没什么病毒能穿虚拟机），虚拟机那边也可以提供一个检测接口供杀软使用，不过目前双方好像都没有这种想法

leisong

另外楼主有一个根本性的概念认知错误
虚拟磁盘中的病毒并未注入真实系统中的虚拟机进程，也就是说并不存在于真实系统，为什么主机系统要检测到？
这并不是楼主所说的虚拟机也是进程，它跟真实进程中被注入的病毒代码完全2码事，如果成了一码事，那虚拟机就不能和主机隔绝了

eubyo

虚拟机里的进程和实机里的进程是不一样的，虚拟机里的进程不归实机OS管，同样的恶意代码机器指令的地址会不一样，
而执行时内存里的特征码包括了机器指令的地址，所以虚拟机进程里有恶意代码杀软不会报

eubyo

掩耳 发表于 2010-12-18 12:38
应该是 蜜 罐 的作用 CPU的虚拟化技术 就是为了支持多系统运行
我想应该是虚拟模拟指令集  不是很懂 抱歉[ ...

特权指令是模拟执行的，非特权指令是直接执行的