继上次的问题，为什么杀软不能监控虚拟机里文件是否有病毒？

1279200

leisong 发表于 2010-12-18 12:54
如果如此自由的监控到虚拟机中虚拟磁盘中的毒，那么虚拟磁盘也就可以被自由打开了，那么虚拟磁盘和普通文件 ...

恩，这个道理靠谱

jiao轩

回复 70楼 107 的帖子

莫非你的搜索引擎是谷歌和百度为你定制的 能找到这么好的东西……

107

jiao轩 发表于 2011-1-3 20:31
回复 70楼 107 的帖子

莫非你的搜索引擎是谷歌和百度为你定制的 能找到这么好的东西……

学会搜索也是一个技能

jiao轩

回复 73楼 107 的帖子

呵呵~~~
第二篇粗略看了一下，比第一篇难理解，只能星期五看……最近在忙着写草稿……
上次那个音频服务的问题，好像与安装时的一些设置有关，正在研究~~~

107

回复 74楼 jiao轩 的帖子

我明天考试，最近都在复习中。。

jiao轩

回复 75楼 107 的帖子

学期末了，人人都在忙呀~~~

liruogu

    呵呵，楼主的问题与后来的虚拟技术局限应该不是一回事，我也说两句，对不对的凑个热闹。其实问题就在虚拟文件系统上，虚拟机其实是建立在文件上的，虚拟系统、虚拟内存映像最后都实现为文件，虚拟系统的修改、文件的运行在主机来看都体现在文件的变化，而且这些文件是专有的，可以说就跟加了密似的。
    病毒进入虚拟机后，它就已经是“虚拟病毒”了，代码已经被二次处理了，即使主机杀软能实时扫描文件每个部分的变化也发现不了，它的代码已经跟病毒特征库的代码不一样了。另外哪个杀软有能力检测超大文件的实时变化啊，比如虚拟一个8G的硬盘，这文件就是8G，在里面拷一个病毒就相当于改写8G文件的当中很小一段代码，杀软再强也没可能啊。虚拟内存也一样，对主机来说就相当于内存里调用了一个大文件，对它的变化也是没道理检测的。
    最后虚拟机是有专利的，特别是文件系统，如前面有人所说，如果你能检测出其中的病毒，那意味着你杀软的I/O系统可以分析读取虚拟机的整个文件系统，那对虚拟机来说意味着灾难，因为不需要病毒就可以随意破坏虚拟系统了，这是开发者设计时就不会允许的，虚拟机从设计上应该是不可逆才好。
   

xxxxxxxfc

回复 1楼 jiao轩 的帖子

虽然不太懂但个人认为虚拟硬盘与网络磁盘类似，所以不能监控。（当然杀毒软件有监控网络磁盘的功能）

liruogu

    楼主的问题本来不难理解，杀软有局限。但大家回着回着就偏到虚拟机穿透上了，这是两件事情，不好混为一谈。
    虚拟机是Ring1级，但并不是它与系统和杀软运行在不同的层级上，大家井水不犯河水这么回事。虚拟机以后也不可能运行在Ring0级，是VMM运行在Ring0级，VMM就是协调主机与客机Ring0级请求的管家，客机因为是操作系统，它也会提出Ring0级的请求，由VMM判断出来这是虚拟机提的，自动给它降到Ring1。所谓的硬件虚拟技术，就是加入硬件指令做VMM这项工作，提高协调工作的处理效率，不是把虚拟机提高到Ring0级，虚拟机执行效率提高得益于VMM协调效率的提高。
    至于前面一些转贴中提到的虚拟机问题，人家主要是担心虚拟机也被穿透，病毒分析变得更为复杂和困难，文中列举的一些可能如果变为事实确实是挺严重的。试想如果一个病毒分析员在虚拟机中运行一个病毒，什么症状都没发现，轻松的结论说这不是病毒，但后来发现主机已经被攻击了，这什么劲头？杀软能在这样的情景下扮演什么角色不好说，这就比较复杂了，也不排除老鼠吃大象。

江3如此多娇

哇   这个问题有点儿难