[求助]哪位大牛知道虚拟机实现原理，如VMWare或VirtualBOX，能在宿主机上动态分析虚拟机内存吗-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
曹操abc 雪币： 1821 活跃值： (1913) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 105 粉丝 3 关注私信	曹操abc 2 楼 VMWare 有开源的版本啊 2015-8-12 19:41 0
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 3 楼理论上，虚拟机提供给虚拟机内系统使用的内存，要么是对应到物理内存的，要么是映射到磁盘文件的，理论上，你可以通过分析虚拟机程序本身的内存，去找到虚拟机内系统的相关内存，然后找到虚拟机系统内的某个程序的进程。但是实际实现起来。。。。 2015-8-12 21:46 0
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 68 粉丝 0 关注私信	凿壁借光 4 楼现在手头上有个虚拟机，用来作为LIC服务器，由于做了一定限制不能直接进到虚拟机里面，想在宿主机上分析一下虚拟机内部的进程运行情况，不知道是不是可行虚拟机是VirtualBOX里面装了XP系统 2015-8-13 08:40 0
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 68 粉丝 0 关注私信	凿壁借光 5 楼请问虚拟机里面的内存和在宿主机上占用内存的格式一样吗，还是可以进行一定的映射 2015-8-13 08:42 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 6 楼以前MJ0011发过一个解析VMWARE的内存来找UK的开源的ARK，但是百度空间挂了，第八个男人也挂了，不知道看雪有没有存档，反正找不到了好吧找到了 http://bbs.pediy.com/showthread.php?t=100770 2015-8-13 09:45 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 7 楼有的时候我真的是很感慨，要是有一天看雪挂了怎么办…… 2015-8-13 09:53 0
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 68 粉丝 0 关注私信	凿壁借光 8 楼先感谢一下 2015-8-13 10:17 0
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 68 粉丝 0 关注私信	凿壁借光 9 楼虚拟化技术原理精要13 3. 内存虚拟化原理精要 3.1 概述因为VMM (Virtual Machine Monitor) 掌控有所有系统资源，因此VMM 握有整个内存资源，其负责页式内存管理，维护虚拟地址到机器地址的映射关系。因Guest OS 本身亦有页式内存管理机制，则有VMM 的整个系统就比正常系统多了一层映射： A. 虚拟地址(VA) ，指Guest OS 提供给其应用程序使用的线性地址空间B. 物理地址(PA) ，经VMM 抽象的、虚拟机看到的伪物理地址C. 机器地址(MA) ，真实的机器地址，即地址总线上出现的地址信号映射关系如下：Guest OS: PA = f(VA)VMM: MA = g(PA) VMM 维护一套页表，负责PA 到MA 的映射。Guest OS 维护一套页表，负责VA 到PA 的映射。实际运行时，用户程序访问VA1 ，经Guest OS 的页表转换得到PA1 ，再由VMM 介入，使用VMM 的页表将PA1 转换为MA1 有人了解虚拟机内存映射相关的算法逻辑或原理吗，比如VirtualBOX 2015-8-13 15:00 0
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 10 楼这个具体的话, 就得看虚拟机软件的实现了, 我估计vmware和vbox应该不同, 而且还分为是否为vt虚拟机. vt虚拟机的话, 应该使用的相关的vt标准来管理虚拟机系统的内存, 应该比较容易解析, 如果不是vt虚拟机的话, 应该是虚拟机软件自己实现的相关方法. 要具体看虚拟机源码来研究了. 2015-8-15 11:55 0
sentaly 雪币： 20 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 155 粉丝 0 关注私信	sentaly 1 11 楼今天早上UNPACK宣布永久关闭了。 2015-8-15 12:25 0
KooJiSung 雪币： 357 活跃值： (3403) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 12 楼 unpack主要玩工具,软件发布,基本是下载完就走人,学不到什么东西看雪主要是各种教程,问答 2015-8-15 12:30 0
sentaly 雪币： 20 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 155 粉丝 0 关注私信	sentaly 1 13 楼是啊，10年了，就这样关闭了，满伤心的。 2015-8-15 13:58 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 14 楼跑过去看了一下，虽然去的不多，不过还是感觉伤感 2015-8-15 14:24 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 15 楼记得08还是09达到顶峰, 后来一些牛人去了52破解, 慢慢就衰落了. 2015-8-15 14:42 0
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 68 粉丝 0 关注私信	凿壁借光 16 楼如果没有虚拟机的源码，是不是很难在宿主机上分析出虚拟机中运行的东西，还是理论上也有办法去验证。比如，已知虚拟机中的操作系统和正在执行的程序，是否能够把各程序的内存和指令都划分开来再进行单独分析 2015-8-17 09:23 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 17 楼 Virtualbox是开源的，可以参考下源码 2015-8-17 12:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
曹操abc 雪币： 1821 活跃值： (1913) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 105 粉丝 3 关注私信	曹操abc 2 楼 VMWare 有开源的版本啊 2015-8-12 19:41 0
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 3 楼理论上，虚拟机提供给虚拟机内系统使用的内存，要么是对应到物理内存的，要么是映射到磁盘文件的，理论上，你可以通过分析虚拟机程序本身的内存，去找到虚拟机内系统的相关内存，然后找到虚拟机系统内的某个程序的进程。但是实际实现起来。。。。 2015-8-12 21:46 0
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 68 粉丝 0 关注私信	凿壁借光 4 楼现在手头上有个虚拟机，用来作为LIC服务器，由于做了一定限制不能直接进到虚拟机里面，想在宿主机上分析一下虚拟机内部的进程运行情况，不知道是不是可行虚拟机是VirtualBOX里面装了XP系统 2015-8-13 08:40 0
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 68 粉丝 0 关注私信	凿壁借光 5 楼请问虚拟机里面的内存和在宿主机上占用内存的格式一样吗，还是可以进行一定的映射 2015-8-13 08:42 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 6 楼以前MJ0011发过一个解析VMWARE的内存来找UK的开源的ARK，但是百度空间挂了，第八个男人也挂了，不知道看雪有没有存档，反正找不到了好吧找到了 http://bbs.pediy.com/showthread.php?t=100770 2015-8-13 09:45 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 7 楼有的时候我真的是很感慨，要是有一天看雪挂了怎么办…… 2015-8-13 09:53 0
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 68 粉丝 0 关注私信	凿壁借光 8 楼先感谢一下 2015-8-13 10:17 0
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 68 粉丝 0 关注私信	凿壁借光 9 楼虚拟化技术原理精要13 3. 内存虚拟化原理精要 3.1 概述因为VMM (Virtual Machine Monitor) 掌控有所有系统资源，因此VMM 握有整个内存资源，其负责页式内存管理，维护虚拟地址到机器地址的映射关系。因Guest OS 本身亦有页式内存管理机制，则有VMM 的整个系统就比正常系统多了一层映射： A. 虚拟地址(VA) ，指Guest OS 提供给其应用程序使用的线性地址空间B. 物理地址(PA) ，经VMM 抽象的、虚拟机看到的伪物理地址C. 机器地址(MA) ，真实的机器地址，即地址总线上出现的地址信号映射关系如下：Guest OS: PA = f(VA)VMM: MA = g(PA) VMM 维护一套页表，负责PA 到MA 的映射。Guest OS 维护一套页表，负责VA 到PA 的映射。实际运行时，用户程序访问VA1 ，经Guest OS 的页表转换得到PA1 ，再由VMM 介入，使用VMM 的页表将PA1 转换为MA1 有人了解虚拟机内存映射相关的算法逻辑或原理吗，比如VirtualBOX 2015-8-13 15:00 0
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 10 楼这个具体的话, 就得看虚拟机软件的实现了, 我估计vmware和vbox应该不同, 而且还分为是否为vt虚拟机. vt虚拟机的话, 应该使用的相关的vt标准来管理虚拟机系统的内存, 应该比较容易解析, 如果不是vt虚拟机的话, 应该是虚拟机软件自己实现的相关方法. 要具体看虚拟机源码来研究了. 2015-8-15 11:55 0
sentaly 雪币： 20 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 155 粉丝 0 关注私信	sentaly 1 11 楼今天早上UNPACK宣布永久关闭了。 2015-8-15 12:25 0
KooJiSung 雪币： 357 活跃值： (3403) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 12 楼 unpack主要玩工具,软件发布,基本是下载完就走人,学不到什么东西看雪主要是各种教程,问答 2015-8-15 12:30 0
sentaly 雪币： 20 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 155 粉丝 0 关注私信	sentaly 1 13 楼是啊，10年了，就这样关闭了，满伤心的。 2015-8-15 13:58 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 14 楼跑过去看了一下，虽然去的不多，不过还是感觉伤感 2015-8-15 14:24 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 15 楼记得08还是09达到顶峰, 后来一些牛人去了52破解, 慢慢就衰落了. 2015-8-15 14:42 0
凿壁借光雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 68 粉丝 0 关注私信	凿壁借光 16 楼如果没有虚拟机的源码，是不是很难在宿主机上分析出虚拟机中运行的东西，还是理论上也有办法去验证。比如，已知虚拟机中的操作系统和正在执行的程序，是否能够把各程序的内存和指令都划分开来再进行单独分析 2015-8-17 09:23 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 17 楼 Virtualbox是开源的，可以参考下源码 2015-8-17 12:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复