继上次的问题，为什么杀软不能监控虚拟机里文件是否有病毒？

subool

比如卡巴，会时不时扫描已用内存，虽然虚拟机有其特殊的内存使用方式，但病毒程序一旦运行，就需要把代码调入内存，这个内存看上去是虚拟机分配的，但仍旧占用在主机的物理中，卡巴仍旧可以扫描到。如果加壳的话这时也要自己解开壳，这就很容易被主机上的卡巴扫描出来。

jiao轩

回复 21楼 subool 的帖子

你的意思是？ 卡巴可以扫描到虚拟机里运行的病毒？

subool

是的啊！同志哥，因为虚拟机使用的内存就是主机的物理内存，不论在虚拟机中运行什么程序，主机的卡巴都是可以扫描到的。如果你的主机中装有QQ，在虚拟机中装FanQiang的东东，QQ一样可以扫描到，而且似乎QQ还比卡巴更积极扫描内存。

jiao轩

回复 23楼 subool 的帖子

但是事实证明不是这样的啊…………一个卡巴可以检测出来的病毒 在虚拟机双击没有任何反应…………我以前也是跟你一样是这样想的，但是事实不是这样啊 至于为什么 就是这个帖子我要问的了…………

subool

让卡巴做全局扫描就行了，这时卡巴会做全部内存扫描，卡巴并不是分分秒秒都在扫描内存的，那样机器是吃不消的。

jiao轩

回复 25楼 subool 的帖子

双击了两个样本，卡巴不仅实时防护没有报毒 而且内存扫描也没有报毒…………图片太大…………传不上来…………至于为什么 这正是我想问的  …………

subool

回复 26楼 jiao轩 的帖子

是吗？？？那这个我也想不通了，估计是加壳的缘故了。有些加壳木马是大大的狡猾的，刚运行时并没有就把所有代码完全解开，只在调用某部分函数时才解开，这会增加查毒难度。很多免杀就是这个道理。

jiao轩

回复 27楼 subool 的帖子

对呀，其实你以前也回答过我关于这个的问题。我也想不通所以才发这贴啊……看看前面几位大虾，真是增长知识了…………

subool

免杀是所有杀软的难题，比如用vmprotect/asprotect加壳的正常程序，也经常被小红伞直接删除掉，对付免杀卡巴和红伞都采用模拟一个小虚拟系统试着运行这类加壳程序，以找出是否有病毒特征，不过即占用cpu，又效果一般。反正红伞倒是最干脆的，基本对加壳的都报毒。

jiao轩

回复 29楼 subool 的帖子

那个是已经被卡巴报毒的了…………