继上次的问题，为什么杀软不能监控虚拟机里文件是否有病毒？

显示全部楼层 · 发表于 2010-12-19 12:58:03

107 发表于 2010-12-19 12:10
回复 34楼 jiao轩的帖子

之前没有CPU虚拟化技术的时候，要避免使用到ring0，但要做到ring哦的效果，所以 ...

ring哦？应该是ring0吧

显示全部楼层 · 发表于 2010-12-19 13:03:12

回复 41楼 zuo 的帖子

感谢提醒，天气冷了，手不灵活

显示全部楼层 · 发表于 2010-12-19 13:05:58

本帖最后由 107 于 2010-12-19 13:06 编辑

回复 40楼 jiao轩的帖子

恩，这就是虚拟机安全的原因，如果能用ring0指令，那是危险的事情

显示全部楼层 · 发表于 2010-12-19 13:10:27

回复 40楼 jiao轩的帖子

就是这样，如果真的做到了r0，会很危险

显示全部楼层 · 发表于 2010-12-19 13:14:54

jiao轩发表于 2010-12-17 22:50
自己试验过了确实是不行 NAT模式只能监控网络方面的奇怪的是虚拟机也是进程啊进程里有恶意代码为杀软应 ...

我觉得这和杀软处理特征码的方式有关， NAT模式虚拟机进程在下载文件时，是要通过实机的，这个文件是杀软能看到的，通过比对文件特征码就可以了

显示全部楼层 · 发表于 2010-12-19 16:55:33

因为对于主机来说，整个虚拟硬盘是一个文件，一般杀软的文件监控不会扫描太大的文件，也会根据文件的文件头进行判断，不具威胁就跳过。

显示全部楼层 · 发表于 2010-12-19 19:41:36

回复 46楼 IllusionWing 的帖子

也对，或许是其中一个原因

显示全部楼层 · 发表于 2010-12-19 19:54:06

回复 43楼 107 的帖子

是不是应该这样理解:虚拟机通过CPU虚拟化活动在r1和2 而实机的系统活动在r0和3 所以杀软也在r0和3活动，于是没法监控r1的2东西。又虚拟硬盘的格式不同于普通的文件夹已经windows的格式，而且大小也很大，所以杀软就不会报毒？可以这样理解吗？

显示全部楼层 · 发表于 2010-12-19 21:03:58

显示全部楼层 · 发表于 2010-12-19 21:14:19

回复 50楼 107 的帖子

你给我看的好深奥…………你的意思是……？我有说的不对的地方吗？

[讨论] 继上次的问题，为什么杀软不能监控虚拟机里文件是否有病毒？