Windows 真的在虚拟机中运行吗？

VBS 基于虚拟化的安全

虚拟化安全技术（Virtualization-based security，VBS）利用硬件虚拟化功能从正常操作系统中创建和隔离一个安全内存区域。Windows可以使用“虚拟安全模式”来托管多种安全解决方案，为它们提供更高的保护性，防止恶意攻击破坏保护措施。 其中一种安全解决方案是基于Hypervisor的代码完整性强制执行（HVCI），通常称为内存完整性，它使用VBS显著增强了代码完整性策略的执行。内核模式代码完整性检查所有内核模式驱动程序和二进制文件，在启动之前防止未签名的驱动程序或系统文件被加载到系统内存中。 VBS使用Windows hypervisor创建这个虚拟安全模式，并强制执行限制以保护重要的系统和操作系统资源，或者保护安全资产，如经过身份验证的用户凭据。通过VBS提供的增强保护，即使恶意软件获得了对操作系统内核的访问权限，可能的攻击也可以大大受到限制和控制，因为hypervisor可以防止恶意软件执行代码或访问平台机密。 同样，用户模式可配置的代码完整性策略在加载应用程序之前进行检查，并且只会启动由已知和批准的签名者签署的可执行文件。HVCI利用VBS在安全环境中运行代码完整性服务，提供更强大的保护，以防止内核病毒和恶意软件。作为系统软件的最高特权级别，hypervisor设置并强制执行所有系统内存的页面权限。只有在安全区域内的代码完整性检查通过后，页面才能被设置为可执行状态，而可执行页面则不可写入。这样，即使存在缓冲区溢出等漏洞，允许恶意软件尝试修改内存，代码页也无法被修改，修改的内存也无法被设置为可执行状态。

VSM 虚拟安全模式

虚拟安全模式（VSM）是一组超级监视器功能和启发式技术，为主机和客户分区提供了创建和管理操作系统软件内新安全边界的能力。VSM是Windows安全功能的超级监视器设施，包括设备卫士、凭据卫士、虚拟TPM和受保护的虚拟机。这些安全功能在Windows 10和Windows Server 2016中引入。
VSM使根分区和客户分区中的操作系统软件能够创建用于存储和处理系统安全资产的隔离内存区域。对这些隔离区域的访问仅通过超级监视器进行控制和授权，超级监视器是系统可信计算基础（TCB）的高度特权、高度信任的部分。由于超级监视器运行在比操作系统软件更高的特权级别上，并且在系统初始化早期具有对关键系统硬件资源（例如CPU MMU中的内存访问权限控制和IOMMU）的独占控制，因此即使是具有监管者模式访问（即CPL0或“Ring 0”）的操作系统软件（例如操作系统内核和设备驱动程序），超级监视器也可以保护这些隔离区域免受未经授权的访问。
有了这种架构，即使运行在监管者模式下的正常系统级软件（例如内核、驱动程序等）被恶意软件攻击，由超级监视器保护的隔离区域中的资产也可以保持安全。