继上次的问题，为什么杀软不能监控虚拟机里文件是否有病毒？

jiao轩

回复 79楼 liruogu 的帖子

非常感谢，你说的很有道理。明白了~~~

小小梦

107 发表于 2011-1-3 21:19
学会搜索也是一个技能

疯博士不妨普及下乃常用的搜索技巧呀

107

小小梦 发表于 2011-1-7 15:20
疯博士不妨普及下乃常用的搜索技巧呀

[:27:]搜索“搜索技能”就有了

lancer150jay

Dr。107果然练过。。。。。。

其实 病毒在虚机里穿不出去，自然外面的杀软也就不应该杀的进来。。。。。。

jiao轩

回复 77楼 liruogu 的帖子

我又看了一下，这段话不理解：最后虚拟机是有专利的，特别是文件系统，如前面有人所说，如果你能检测出其中的病毒，那意味着你杀软的I/O系统可以分析读取虚拟机的整个文件系统，那对虚拟机来说意味着灾难，因为不需要病毒就可以随意破坏虚拟系统了，这是开发者设计时就不会允许的，虚拟机从设计上应该是不可逆才好。
能解释一下吗？……

我说说杀软无法检测到的理解，你看看有没有错：
首先是病毒经过虚拟机处理，特征码已经变得不一样，所以杀软没法查出来。
况且杀软没法监控一个很大的文件，对吗？

另外想问一下为什么32位主机用64位虚拟机时一定要用CPU虚拟化？而反过来却未必需要？不考虑效率问题……
再次多谢你回答

107

lancer150jay 发表于 2011-1-7 16:25
Dr。107果然练过。。。。。。

其实 病毒在虚机里穿不出去，自然外面的杀软也就不应该杀的进来。。。。。 ...

什么意思？

chinaguo

因为杀软监控的是本地主机，而虚拟机相当与在本机之外的全新的操作系统。

liruogu

回复 85楼 jiao轩 的帖子

杀软也有文件I/O子系统，专门负责文件解析的。举个例子，假如你有一个光盘镜像的ISO文件，杀软扫描的时候会先分析它的结构，里面有多少文件夹、有多少文件，都是什么格式、大小等等，能够把文件解析出来才能进一步查杀。病毒进入虚拟机就相当于加了个壳，不能解析出来就不能查。

另外很多杀软设定扫描限制，像Mcafee就比较典型，可以自己设定不扫描大于一定体积的文件，或者扫描不可超过一定的时间，这样可以提高效率。别的杀软即使没有自行设定也一定会有内定的限制，不会无限制扫描大文件的。

看来我的意思你明白了，不过我原本认为VMDK是不可解析的，这恐怕要纠正。后来查了一下，现在像diskgenius是可以直接解析出它的文件结构的，不排除杀软也行，但杀软没必要那么做，主要原因还是因为大文件限制而不去扫描，并且VMDK本身就不是可执行文件，有病毒代码也无法运行，没有必要去扫描。

我自己还没用过64位系统，更谈不上虚拟64位了，所以汗一下，最后的问题没注意过，暂时回答不了。

jiao轩

回复 88楼 liruogu 的帖子

OK，多谢~~~也就是说杀软解释不了里面包含的内容，对吗？
“杀软也有文件I/O子系统”只有这句话不理解…………

jiao轩

回复 86楼 107 的帖子

“想问一下为什么32位主机用64位虚拟机时一定要用CPU虚拟化？而反过来却未必需要？不考虑效率问题……”只剩下这个问题了~~~