[求助]哪位大牛知道虚拟机实现原理，如VMWare或VirtualBOX，能在宿主机上动态分析虚拟机内存吗-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
曹操abc 雪币： 1773 活跃值： (1718) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 104 粉丝 3 关注私信	曹操abc 2015-8-12 19:41 2 楼 0 VMWare 有开源的版本啊
kingsdows 雪币： 133 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 2015-8-12 21:46 3 楼 0 理论上，虚拟机提供给虚拟机内系统使用的内存，要么是对应到物理内存的，要么是映射到磁盘文件的，理论上，你可以通过分析虚拟机程序本身的内存，去找到虚拟机内系统的相关内存，然后找到虚拟机系统内的某个程序的进程。但是实际实现起来。。。。
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 67 粉丝 0 关注私信	凿壁借光 2015-8-13 08:40 4 楼 0 现在手头上有个虚拟机，用来作为LIC服务器，由于做了一定限制不能直接进到虚拟机里面，想在宿主机上分析一下虚拟机内部的进程运行情况，不知道是不是可行虚拟机是VirtualBOX里面装了XP系统
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 67 粉丝 0 关注私信	凿壁借光 2015-8-13 08:42 5 楼 0 请问虚拟机里面的内存和在宿主机上占用内存的格式一样吗，还是可以进行一定的映射
天涯一鸿雪币： 1052 活跃值： (1018) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 442 粉丝 0 关注私信	天涯一鸿 2015-8-13 09:45 6 楼 0 以前MJ0011发过一个解析VMWARE的内存来找UK的开源的ARK，但是百度空间挂了，第八个男人也挂了，不知道看雪有没有存档，反正找不到了好吧找到了 http://bbs.pediy.com/showthread.php?t=100770
天涯一鸿雪币： 1052 活跃值： (1018) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 442 粉丝 0 关注私信	天涯一鸿 2015-8-13 09:53 7 楼 0 有的时候我真的是很感慨，要是有一天看雪挂了怎么办……
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 67 粉丝 0 关注私信	凿壁借光 2015-8-13 10:17 8 楼 0 先感谢一下
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 67 粉丝 0 关注私信	凿壁借光 2015-8-13 15:00 9 楼 0 虚拟化技术原理精要13 3. 内存虚拟化原理精要 3.1 概述因为VMM (Virtual Machine Monitor) 掌控有所有系统资源，因此VMM 握有整个内存资源，其负责页式内存管理，维护虚拟地址到机器地址的映射关系。因Guest OS 本身亦有页式内存管理机制，则有VMM 的整个系统就比正常系统多了一层映射： A. 虚拟地址(VA) ，指Guest OS 提供给其应用程序使用的线性地址空间B. 物理地址(PA) ，经VMM 抽象的、虚拟机看到的伪物理地址C. 机器地址(MA) ，真实的机器地址，即地址总线上出现的地址信号映射关系如下：Guest OS: PA = f(VA)VMM: MA = g(PA) VMM 维护一套页表，负责PA 到MA 的映射。Guest OS 维护一套页表，负责VA 到PA 的映射。实际运行时，用户程序访问VA1 ，经Guest OS 的页表转换得到PA1 ，再由VMM 介入，使用VMM 的页表将PA1 转换为MA1 有人了解虚拟机内存映射相关的算法逻辑或原理吗，比如VirtualBOX
kingsdows 雪币： 133 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 2015-8-15 11:55 10 楼 0 这个具体的话, 就得看虚拟机软件的实现了, 我估计vmware和vbox应该不同, 而且还分为是否为vt虚拟机. vt虚拟机的话, 应该使用的相关的vt标准来管理虚拟机系统的内存, 应该比较容易解析, 如果不是vt虚拟机的话, 应该是虚拟机软件自己实现的相关方法. 要具体看虚拟机源码来研究了.
sentaly 雪币： 20 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 153 粉丝 0 关注私信	sentaly 1 2015-8-15 12:25 11 楼 0 今天早上UNPACK宣布永久关闭了。
KooJiSung 雪币： 357 活跃值： (2593) 能力值： ( LV3，RANK：25 ) 在线值：发帖 5 回帖 691 粉丝 2 关注私信	KooJiSung 2015-8-15 12:30 12 楼 0 unpack主要玩工具,软件发布,基本是下载完就走人,学不到什么东西看雪主要是各种教程,问答
sentaly 雪币： 20 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 153 粉丝 0 关注私信	sentaly 1 2015-8-15 13:58 13 楼 0 是啊，10年了，就这样关闭了，满伤心的。
天涯一鸿雪币： 1052 活跃值： (1018) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 442 粉丝 0 关注私信	天涯一鸿 2015-8-15 14:24 14 楼 0 跑过去看了一下，虽然去的不多，不过还是感觉伤感
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 409 粉丝 0 关注私信	AASSMM 2015-8-15 14:42 15 楼 0 记得08还是09达到顶峰, 后来一些牛人去了52破解, 慢慢就衰落了.
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 67 粉丝 0 关注私信	凿壁借光 2015-8-17 09:23 16 楼 0 如果没有虚拟机的源码，是不是很难在宿主机上分析出虚拟机中运行的东西，还是理论上也有办法去验证。比如，已知虚拟机中的操作系统和正在执行的程序，是否能够把各程序的内存和指令都划分开来再进行单独分析
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2015-8-17 12:15 17 楼 0 Virtualbox是开源的，可以参考下源码
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (16)
曹操abc 雪币： 1773 活跃值： (1718) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 104 粉丝 3 关注私信	曹操abc 2015-8-12 19:41 2 楼 0 VMWare 有开源的版本啊
kingsdows 雪币： 133 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 2015-8-12 21:46 3 楼 0 理论上，虚拟机提供给虚拟机内系统使用的内存，要么是对应到物理内存的，要么是映射到磁盘文件的，理论上，你可以通过分析虚拟机程序本身的内存，去找到虚拟机内系统的相关内存，然后找到虚拟机系统内的某个程序的进程。但是实际实现起来。。。。
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 67 粉丝 0 关注私信	凿壁借光 2015-8-13 08:40 4 楼 0 现在手头上有个虚拟机，用来作为LIC服务器，由于做了一定限制不能直接进到虚拟机里面，想在宿主机上分析一下虚拟机内部的进程运行情况，不知道是不是可行虚拟机是VirtualBOX里面装了XP系统
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 67 粉丝 0 关注私信	凿壁借光 2015-8-13 08:42 5 楼 0 请问虚拟机里面的内存和在宿主机上占用内存的格式一样吗，还是可以进行一定的映射
天涯一鸿雪币： 1052 活跃值： (1018) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 442 粉丝 0 关注私信	天涯一鸿 2015-8-13 09:45 6 楼 0 以前MJ0011发过一个解析VMWARE的内存来找UK的开源的ARK，但是百度空间挂了，第八个男人也挂了，不知道看雪有没有存档，反正找不到了好吧找到了 http://bbs.pediy.com/showthread.php?t=100770
天涯一鸿雪币： 1052 活跃值： (1018) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 442 粉丝 0 关注私信	天涯一鸿 2015-8-13 09:53 7 楼 0 有的时候我真的是很感慨，要是有一天看雪挂了怎么办……
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 67 粉丝 0 关注私信	凿壁借光 2015-8-13 10:17 8 楼 0 先感谢一下
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 67 粉丝 0 关注私信	凿壁借光 2015-8-13 15:00 9 楼 0 虚拟化技术原理精要13 3. 内存虚拟化原理精要 3.1 概述因为VMM (Virtual Machine Monitor) 掌控有所有系统资源，因此VMM 握有整个内存资源，其负责页式内存管理，维护虚拟地址到机器地址的映射关系。因Guest OS 本身亦有页式内存管理机制，则有VMM 的整个系统就比正常系统多了一层映射： A. 虚拟地址(VA) ，指Guest OS 提供给其应用程序使用的线性地址空间B. 物理地址(PA) ，经VMM 抽象的、虚拟机看到的伪物理地址C. 机器地址(MA) ，真实的机器地址，即地址总线上出现的地址信号映射关系如下：Guest OS: PA = f(VA)VMM: MA = g(PA) VMM 维护一套页表，负责PA 到MA 的映射。Guest OS 维护一套页表，负责VA 到PA 的映射。实际运行时，用户程序访问VA1 ，经Guest OS 的页表转换得到PA1 ，再由VMM 介入，使用VMM 的页表将PA1 转换为MA1 有人了解虚拟机内存映射相关的算法逻辑或原理吗，比如VirtualBOX
kingsdows 雪币： 133 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 2015-8-15 11:55 10 楼 0 这个具体的话, 就得看虚拟机软件的实现了, 我估计vmware和vbox应该不同, 而且还分为是否为vt虚拟机. vt虚拟机的话, 应该使用的相关的vt标准来管理虚拟机系统的内存, 应该比较容易解析, 如果不是vt虚拟机的话, 应该是虚拟机软件自己实现的相关方法. 要具体看虚拟机源码来研究了.
sentaly 雪币： 20 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 153 粉丝 0 关注私信	sentaly 1 2015-8-15 12:25 11 楼 0 今天早上UNPACK宣布永久关闭了。
KooJiSung 雪币： 357 活跃值： (2593) 能力值： ( LV3，RANK：25 ) 在线值：发帖 5 回帖 691 粉丝 2 关注私信	KooJiSung 2015-8-15 12:30 12 楼 0 unpack主要玩工具,软件发布,基本是下载完就走人,学不到什么东西看雪主要是各种教程,问答
sentaly 雪币： 20 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 153 粉丝 0 关注私信	sentaly 1 2015-8-15 13:58 13 楼 0 是啊，10年了，就这样关闭了，满伤心的。
天涯一鸿雪币： 1052 活跃值： (1018) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 442 粉丝 0 关注私信	天涯一鸿 2015-8-15 14:24 14 楼 0 跑过去看了一下，虽然去的不多，不过还是感觉伤感
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 409 粉丝 0 关注私信	AASSMM 2015-8-15 14:42 15 楼 0 记得08还是09达到顶峰, 后来一些牛人去了52破解, 慢慢就衰落了.
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 67 粉丝 0 关注私信	凿壁借光 2015-8-17 09:23 16 楼 0 如果没有虚拟机的源码，是不是很难在宿主机上分析出虚拟机中运行的东西，还是理论上也有办法去验证。比如，已知虚拟机中的操作系统和正在执行的程序，是否能够把各程序的内存和指令都划分开来再进行单独分析
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2015-8-17 12:15 17 楼 0 Virtualbox是开源的，可以参考下源码
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复