继上次的问题，为什么杀软不能监控虚拟机里文件是否有病毒？

frodojoe

什么问题都能想出来，佩服……

subool

这个按照我的理解是这样的，虚拟机使用的是它自己的磁盘格式，

是这回事，vm的文件与主机文件系统不一样。

subool

但调到内存中运行就可以查到了。

nazisoft

虚拟机是运行在真实系统中的一个离散环境，拥有着自己模拟的硬件，是一个真正的隔离状态；沙盘是挂钩系统服务，把对系统的操作重新定向，所以在沙盘中运行病毒杀软会报毒。杀软监视的是真实的系统，虚拟机运行病毒是不会报的

nazisoft

穿沙盘的病毒是有的，但是穿虚拟机的病毒还没有。据说VMware 6.0的一个漏洞会导致在虚拟系统中能对真实系统进行操作，但是这一漏洞没有被病毒利用。所以到目前为止在虚拟机中测试病毒仍然是安全的（至少比沙盘、影子还原软件要安全）。记得有一次，我在Virtual PC中运行熊猫，同时开启了共享文件夹，结果熊猫把实机共享感染了，EXE文件全部是熊猫的图标

jiao轩

回复 13楼 subool 的帖子

硬盘那里懂了  那调到内存中运行是什么意思？ 在实机运行？多谢

jiao轩

回复 10楼 eubyo 的帖子

前面你说的有点懂了    “特权指令是模拟执行的，非特权指令是直接执行的” 是什么意思？ 多谢   

sevenday

我也有这个问题，不过这样才能达到测试的目的吧

eubyo

jiao轩 发表于 2010-12-18 19:29
回复 10楼 eubyo 的帖子

前面你说的有点懂了    “特权指令是模拟执行的，非特权指令是直接执行的” 是什么 ...

特权指令指的是只能在最高级别上运行的指令，在低级别下运行会引发异常，X86体系中就是运行在ring0级别，其它的就是非特权指令。
虚拟机中的特权指令运行时实际上是运行在ring1，运行时会引发异常，于是由异常处理程序来模拟执行这条特权指令。非特权指令运行和实机一样，运行在ring3。不过X86的CPU有点不一样，有些指令本来应是特权指令的但在X86CPU中却不是特权指令，不能引发异常，在这样的指令执行时虚拟机需要动态扫描，发现这样的指令后就可以模拟执行了。

jiao轩

回复 19楼 eubyo 的帖子

ring1??!!!以前从没听过…………长知识了  能不能比喻一下 还是有点不太理解