为什么许多电脑都是默认关闭CPU虚拟化？

因为有安全隐患。

为啥xp之后就几乎见不到那种传统的，感染引导区，先于os调入内存的病毒了？

因为现代的os内核都过于霸道了，其他程序几乎无法与之共存。所以优于os调入内存几乎没有意义，因为os内核必然无法正常启动。如果病毒让步到可以让os内核正常启动，那过后病毒必然没法运行了。

这种情况直到cpu虚拟化技术出现。

如果你开了虚拟化还不实际用虚拟化的程序，就可能有病毒趁虚而入。这样的病毒本身就是一个微型hypervisor，你的系统作为一个vm启动，由于绝大多资源都直通，性能损失几乎小到无法感知，杀毒软件更是摆设，甚至连检测都十分困难。

所以一般来说默认是关闭的，你需要用自己开。

更新：

有些人质疑这种威胁的可能性。也难怪，很多人根本没见过这个，毕竟是小二十年前的事了，但你没见过不等于没有啊。

我们今天就聊一聊这个蓝药丸吧。

蓝药丸是啥？这位光头哥认识吧，就是他左手拿着的那个。

开个玩笑（其实并没有），其实蓝药丸是2006年，波兰的大牛Joanna Rutkowska在黑帽大会（Black Hat Briefing）上展示的她基于x86虚拟化的rootkits。实现方法上面已经介绍过，通过启动一个微型的hypervisor并让原来的OS以虚拟机的形式启动。由于虚拟机的所有对外的输入输出都可以被hypervisor篡改，所以理论上是无法发现这样的rootkits的。

蓝药丸最开始需要AMD-V，不过后来Intel的VT-x也行。

这个事情影响深远，并引发广泛的讨论。比如同年微软就发表了论文，讨论了实装的可能性。

SubVirt: Implementing malware with virtual machines

至今围绕hypervisor based rootkits的攻防也仍然是计算机安全方面一个重要的课题。只不过这个东西实在是过于强力，一般只在学术圈和黑客圈内讨论，就算是落实成了具体的工具，一般也不会拿出来给一般人用。

哦，对了，前面聊的那个Joanna Rutkowska在2007年还提出了一种巧妙的检测VM的手段，称之为红药丸。

再更新：

有不少人提到了Secureboot，这确实是一个好东西，但它也不是万能的呀。

最起码，你咋就知道别有用心的人没签名，或是有签名的人不会别有用心呢？

说到底，这就跟摄像头加盖差不多。

这个东西确实很难大范围的利用，但并不是不会被利用呀。如果你确实用不上，而且那里还有个盖，那还是盖上好不是？

最后再夹点私货，《黑客帝国》三部曲是我很喜欢的电影，大家有空可以聊聊。