继上次的问题，为什么杀软不能监控虚拟机里文件是否有病毒？

subool

看雪论坛上经常会有些人吃饱撑着整天琢磨如何加壳，也有人吃饱撑着琢磨如何解壳，哈哈，有时觉得也挺好玩的。

hornsh

虚拟机能够隔绝于真实系统是其存在的主要理由，其种种优点都是由此而来的。如果这一条被打破，那就装双系统乃至多系统好了，还要虚拟机作甚

eubyo

jiao轩 发表于 2010-12-18 21:25
回复 19楼 eubyo 的帖子

ring1??!!!以前从没听过…………长知识了  能不能比喻一下 还是有点不太理解

不知道怎么比喻
这个是CPU规定的级别，windows只用了ring0和ring3，ring1和ring2没有使用。
驱动之类的程序运行在ring0，一般应用程序运行在ring3。
虚拟机中的驱动之类的程序是运行在ring1，这样如果程序要“出界”就会引发异常，异常处理程序就会进行处理，该阻止的阻止该模拟的模拟，如果运行在ring0中就可能会“出界”，跑到实机中来了。所以在虚拟机中可以加驱，而沙盘不行。不知道有没有可以加驱的沙盘

jiao轩

回复 33楼 eubyo 的帖子

可不可以这样理解：实机的使用r0和r3 而虚拟机用的是r1和r2  所以实机的东西都没法穿到虚拟机里。你说的阻止的程序是什么啊？就是虚拟机本身？

107

回复 34楼 jiao轩 的帖子

之前没有CPU虚拟化技术的时候，要避免使用到ring0，但要做到ring0的效果，所以虚拟机的使用软件的办法达到这样的目的，所以虚拟机性能很差；
但是现在很多CPU支持虚拟化技术，就是在ring0指令多了一专门给虚拟机使用的指令，就可以做到之前用软件的效果，而且性能更好

jiao轩

回复 35楼 107 的帖子

"所以虚拟机的使用软件的办法达到这样的目的"是不是打错字了……你的意思是虚拟机也有r0 但是是有一专门的命令，使虚拟机里的性能更好？那为什么杀软不会查出这虚拟机的r0命令有问题？

107

回复 36楼 jiao轩 的帖子

貌似没有打错，我的意思是说：在你的电脑没有开启CPU虚拟化技术前，只能靠软件模拟ring0指令，如果是开启CPU虚拟化技术，就采用硬件模拟，通常来说，硬件模拟要比软件模拟要高效，就是性能好
至于杀软的问题，你看32楼的回答

jiao轩

回复 37楼 107 的帖子

原来如此……那个杀软的问题，我知道能隔绝，但是是通过怎么样的手段隔离开来的…………

107

回复 38楼 jiao轩 的帖子

手段，我也不清楚，你可以到网上找找，大家讨论讨论的

jiao轩

回复 39楼 107 的帖子

那你的意思是虚拟机的r0命令只是虚拟出来的，而不是真正到了r0？