在电影《黑客帝国》中，机器人用科技创造出了虚拟的现实世界“Matrix”，并让人类精神在其间活动。如果说这是沃卓斯基兄弟对于未来的想象，则起码在信息时代抵御病毒的战争中，这一切已经变成了现实。
虚拟机的诞生为许多应用提供了新的方向，随着基于微软、JAVA等环境的虚拟机技术日趋成熟，在一台电脑上安装虚拟机和多个操作系统已不只是一种潮流，而成为了各项评测和企业工作的需要。同时，安全厂商也看到了防毒的新思路，那就是“虚拟机杀毒”。
杀毒界的新朋友
“虚拟机杀毒”技术一直是安全界探索的课题，而因为虚拟机和病毒启发技术已经具有牢固根基，虚拟机杀毒得以迅速发展，并逐渐被厂商们应用到自己的安全产品之中。简单地说，这项技术的运作过程分为四步，首先是在电脑里创造一个可控的虚拟运行环境，然后在这个环境中激发病毒运行，之后根据其行为特征进行病毒分析，最后处理病毒。
有人做过一个有趣而贴切的比喻，说虚拟机像侦探或摄像头，看你的行为来识别犯罪；启发式扫描像警察，虽然你没有行动，但带了枪也会被揪出来；特征码识别（病毒库）则是通过你的长像来判断你是否是罪犯。
目前，国外较为著名的杀毒软件中，许多都采用了虚拟机杀毒或类似技术，比如卡巴斯基6.0，而在国内，江民和瑞星公司新近推出的产品也或多或少包含了这类技术，不过据某些专家称，后者归根结底是一种解壳技术，而非全面的虚拟机杀毒。在这些产品之中，必须提到启发杀毒的领军者NOD32，其虚拟机为基础的启发式扫描算法成熟，误差相对很低，并以此帮助它在世界许多杀毒评测中得奖。
完美杀毒停于理论
理论上来说，虚拟机杀毒如果能全额运转，就能够让企业实现“天下无毒”，因为虽然病毒种类繁多，但运行的行为特征也就修改注册表、自身复制、破坏特定后缀文件等几种，判定起来要简单得多，之后溯源而上，病毒就无所遁形。但这种“完美杀毒”也仅停留在理论上，因为现实的瓶颈非常明显地摆在了面前。
首先就是资源占用的问题。虚拟机杀毒的一个重要条件是“创建虚拟运行环境”，但是，从创建到激活病毒，再到病毒发作后的判定分析，都将要耗费大量运算资源，累积下来也需要大量的时间。据安全技术专家介绍，如果全部使用虚拟机技术，一个加壳病毒的分析就需要3~5分钟，但随便一个用户的电脑里，经过压缩和加壳的文件少则数十个，多则成百上千。相信没有人会为了一个可能不存在的加壳病毒，而让电脑绝大多数时间将大量资源耗费在杀毒上。有厂商表示，这也是为什么目前国际主流杀毒厂商对虚拟机杀毒技术都比较保守的原因——纯虚拟机杀毒可能会直接拖垮你的电脑！
此外，安全界在病毒的行为判定标准上也还存在着争议。有些应用程序在运行的过程中，将会有类似病毒的行为产生（或者说有些病毒是模仿常见应用程序来行动的），在这时候如果不能对病毒行为进行极为精确的判断，就有可能会导致误判，将清白的程序定为“有罪”。可以说，“判定”是一把“双刃剑”，如果太过精确，准确率高却失去效率；如果模糊，却又会因为误判而让用户陷入困境。
正因为如此，在使用虚拟机杀毒这项武器时，杀毒厂商举棋不定，“骑墙”难免。用户在使用带有这项技术的杀毒软件时，通常感觉并不那么有效，因为其应用一般都较浅，如果不是专门设有这一功能，则只能稍微提高病毒查杀的准确率而已。
但是，这些都只是目前水平上的问题。将来随着技术和硬件的进步，虚拟机杀毒必将越来越主流化。
互为渗透的领域融合
虚拟机杀毒是不可能脱离传统杀毒方式（特征码判断等）而单独存在的，但这仍然是个“好点子”，也是信息技术各领域相互渗透的一个代表。它代表了一种趋势，而今后各领域技术的融合将会愈发明显。
信息安全领域自诞生之日起，就是借鉴各种技术的行家，从病毒库到广谱特征分析，从信息提取到远程监控，几乎每一项新技术的诞生，都会带来安全技术的发展，并在安全领域留下痕迹。
虚拟机杀毒也是如此。虽然目前它的处理对象仍有局限性，对宏病毒和木马等效果还不明显，但相信随着发展，它的查杀病毒覆盖范围和准确率都将提高，因为“诱而杀之”的大方向早已奠定。
也许将来某一天，将病毒导入虚拟的“Matrix”将成为主流，病毒在虚拟环境中大显神威，一切却被杀毒软件掌握。又或许将来会出现某种“救世主”病毒，而它们的首要指令就是：“破坏虚拟机！”
这，并不是科幻片。

（c112）