为什么许多电脑都是默认关闭CPU虚拟化?
因为有安全隐患。
为啥xp之后就几乎见不到那种传统的,感染引导区,先于os调入内存的病毒了?
因为现代的os内核都过于霸道了,其他程序几乎无法与之共存。所以优于os调入内存几乎没有意义,因为os内核必然无法正常启动。如果病毒让步到可以让os内核正常启动,那过后病毒必然没法运行了。
这种情况直到cpu虚拟化技术出现。
如果你开了虚拟化还不实际用虚拟化的程序,就可能有病毒趁虚而入。这样的病毒本身就是一个微型hypervisor,你的系统作为一个vm启动,由于绝大多资源都直通,性能损失几乎小到无法感知,杀毒软件更是摆设,甚至连检测都十分困难。
所以一般来说默认是关闭的,你需要用自己开。
更新:
有些人质疑这种威胁的可能性。也难怪,很多人根本没见过这个,毕竟是小二十年前的事了,但你没见过不等于没有啊。
我们今天就聊一聊这个蓝药丸吧。
蓝药丸是啥?这位光头哥认识吧,就是他左手拿着的那个。
开个玩笑(其实并没有),其实蓝药丸是2006年,波兰的大牛Joanna Rutkowska在黑帽大会(Black Hat Briefing)上展示的她基于x86虚拟化的rootkits。实现方法上面已经介绍过,通过启动一个微型的hypervisor并让原来的OS以虚拟机的形式启动。由于虚拟机的所有对外的输入输出都可以被hypervisor篡改,所以理论上是无法发现这样的rootkits的。
蓝药丸最开始需要AMD-V,不过后来Intel的VT-x也行。
这个事情影响深远,并引发广泛的讨论。比如同年微软就发表了论文,讨论了实装的可能性。
SubVirt: Implementing malware with virtual machines
至今围绕hypervisor based rootkits的攻防也仍然是计算机安全方面一个重要的课题。只不过这个东西实在是过于强力,一般只在学术圈和黑客圈内讨论,就算是落实成了具体的工具,一般也不会拿出来给一般人用。
哦,对了,前面聊的那个Joanna Rutkowska在2007年还提出了一种巧妙的检测VM的手段,称之为红药丸。
https://web.archive.org/web/20070911024318/http://invisiblethings.org/papers/redpill.html再更新:
有不少人提到了Secureboot,这确实是一个好东西,但它也不是万能的呀。
最起码,你咋就知道别有用心的人没签名,或是有签名的人不会别有用心呢?
说到底,这就跟摄像头加盖差不多。
这个东西确实很难大范围的利用,但并不是不会被利用呀。如果你确实用不上,而且那里还有个盖,那还是盖上好不是?
最后再夹点私货,《黑客帝国》三部曲是我很喜欢的电影,大家有空可以聊聊。
既然《黑客帝国》的矩阵都是代码写成的,为什么不干脆写一个生活富足的背景设定呢?
