想问问个基础问题

user_

想知道虚拟机到底会不会感染真实机？？？
因为我弄了几个病毒后，杀软报个不停
求解！！！



被关了。。。好吧，我只能相信大家，关了杀软。。。

reizhi

有能穿透虚拟机的病毒，但是几乎不会遇到

FreeEquFraT

理论上有穿透虚拟机的病毒，不过我是还没见过就是了，一般玩病毒是不会穿虚拟机的，还有一个要注意的是玩的时候记得断开共享或是把共享文件夹设置为只读，防止感染性病毒感染。

jiao轩

回复 1楼 user_ 的帖子

1 2楼都说得很好，确实存在穿透虚拟机的病毒，但是数量很少。至于杀软报毒问题，是实机的还是虚拟机里的？记得我以前也讨论过这问题…

沙之手痕

目前来说，虚拟机导致实机感染的途径是文件共享，直接穿透的可能性相当小。杀软的实时监控也会监控虚拟机的读写操作，虚拟机环境中的病毒运行也会被实机中的杀软监控到，从虚拟环境访问带毒网页或下载带毒文件，如果网络连接方式是桥接，实机杀软也会相应

user_

回复 4楼 jiao轩 的帖子

实机

jiao轩

回复 6楼 user_ 的帖子

那是在什么时候报？下载时？运行时？另外报毒的文件路径是哪里？

jiao轩

回复 6楼 user_ 的帖子

说实话吧楼主，我是不太同意5L版版的说法，以前这个问题我也跟别人讨论过（话说那贴忘记叫107锁了）：

其实问题就在虚拟文件系统上，虚拟机其实是建立在文件上的，虚拟系统、虚拟内存映像最后都实现为文件，虚拟系统的修改、文件的运行在主机来看都体现在文件的变化，而且这些文件是专有的，可以说就跟加了密似的。
    病毒进入虚拟机后，它就已经是“虚拟病毒”了，代码已经被二次处理了。（作：这就意味着特征码与原来病毒的特征码已经是不一样的了）

                                                                                                                                                             ——liruogu

杀软也有文件I/O子系统，专门负责文件解析的。举个例子，假如你有一个光盘镜像的ISO文件，杀软扫描的时候会先分析它的结构，里面有多少文件夹、有多少文件，都是什么格式、大小等等，能够把文件解析出来才能进一步查杀。病毒进入虚拟机就相当于加了个壳，不能解析出来就不能查。

                                                                                                                                                             ——liruogu
而且：

虚拟磁盘中的病毒并未注入真实系统中的虚拟机进程，也就是说并不存在于真实系统

                                                                                                                                                             ——leisong

虚拟机里的进程和实机里的进程是不一样的，虚拟机里的进程不归实机OS管，同样的恶意代码机器指令的地址会不一样，
而执行时内存里的特征码包括了机器指令的地址，所以虚拟机进程里有恶意代码杀软不会报

                                                                                                                                                              ——eubyo


我自己也实验过：一个可牛报的报毒，在虚拟机运行后再对内存进行扫描，可牛报安全。再对该虚拟机的虚拟磁盘进行扫描，也是安全。


另外，桥接上网如果浏览毒网实机的杀软不会报毒但虚拟机里的杀软会报毒。

桥接的方式，虚拟机开启后和主机在同一子网，连在同一个交换机上，可以和主机之间相互访问，能做上面不能做的事．但要是想上网的话，一般在公司局域网或是家庭通过路由器连上ADSL猫才行．简单说，不能通过主机上网．

                                                                                                                                               ——redwhale
这也是为什么net上网不需要防火墙（实机已安装防火墙），而桥接时需要的原因。


至于楼主说的实机杀软报毒，我的猜测：
1.打开了文件共享，而且可读写。病毒将衍生物放到了文档共享的文件夹。
2.虚拟机为net上网模式，下载病毒时会出现杀软报毒但虚拟机杀软不报的现象。（这是因为这中上网方式需要通过真实主机的。杀软会像检测下载文件一样对下载的东西进行扫描。而这种上网的方式是默认的）


总结出来，在虚拟机里的病毒要想感染实机中的系统，只有两种途径：文件共享&虚拟机漏洞。虚拟机与沙箱不同，虚拟机是与真正与实机隔绝的。

以上有错欢迎指正~~~

xuhui6513

回复 8楼 jiao轩 的帖子

楼上正解

user_

回复 7楼 jiao轩 的帖子

下载完毕，opera有个特性，就是当下载的东西下载到99%时要定着不动（具体看文件大小，几百M的文件要1~2分钟） 然后bit报毒，路径为虚拟硬盘~