🤖rebirthatsix@rebirthatsix

“........... 不要同时装两个具有主动防御的防护软件，根本没有必要”

“再次路过”

“【 在 moven 的大作中提到: 】 : 首先ym一下rebirthatsix大虾 : 我对调试器的设计原理以及工作原理都不太了解，哪里有这方面资料啊？ : 我不知道你说的虚拟机是哪种虚拟机，但是从网上用于脱壳的虚拟机貌似是基于解释执行字节码的原理，和调试器（比如）应该有所差别吧？貌似ollydbg是加载到真实内存的…”

“lz不要把kis的主动防御技术和虚拟机技术拿到一起想 根本不处于一个层级，内核inline以及hook基本上每家安全公司的主动防御都会有，现在还没有的，直接洗洗睡了算了 而虚拟机是在这个之上的，虚拟机之所以存在，是为了能够让目标程序运行在一个可控的内存空间里，其实也就是anti软件自己创建的进程空间，在这个空间里，目标…”

“【 在 moven 的大作中提到: 】 : nod32是依靠虚拟机的应该不假，kis的主动防御是挂钩了一大堆系统底层的函数来实现主动防御（某安全公司大牛语，也有部分功能是从驱动级别上捕获文件流识别特征码），加上静态脱壳。跟调试工具的加载应该有所区别吧？ : 如果nod32是真的依靠虚拟机的话，我好奇的是是如何实现这个虚…”

“我不知道nod32的主动防御是否依靠虚拟机，至少kis7的时候他的主动防御是不会依靠的 这个从行为来做虚拟机监控会损失一定的性能，见得多的也只是虚拟机脱壳再杀，这种技术现在使用的比较多 像完整虚拟一个环境来让这个程序跑，然后进行hook的话，也有可能，不知道有没有公司做，没什么意义，直接像kis这样内核inline，无…”

“。。。啥启发，改个名字而已 就是虚拟机跑”

“额。。。不清楚”