[原创]Windows 轻量级虚拟机(FVM)介绍

一、概述 FVM 是一种基于操作系统内核的资源隔离机制构建的轻量级虚拟化技术。与传统硬件虚拟化架构不同，FVM无需模拟完整的硬件堆栈，能够在单一物理主机上创建多个相互隔离的执行环境，实现资源高效利用与安全隔离的平衡。
二、功能和术语• 宿主分区：真实的、拥有完整系统权限的物理操作系统环境。
• 客户分区：在一个受限制、被隔离的虚拟环境中运行的应用程序或进程组，他不是一个完整的操作系统。
• 名字空间隔离：客户分区使用私有命名空间来隔离与宿主分区、客户分区之间的隔离。
• 写时复制：一种资源管理技术，宿主分区、客户分区进程共享同一资源的只读副本，只有当客户分区的某个进程需要修改该资源时，才为它创建该资源的私有副本。
• 虚拟磁盘：一种软件模拟的磁盘设备，以文件的形式存储在物理存储介质上，为分区提供完整的块设备接口。
• 虚拟网络适配器：一种软件模拟的网络接口卡，它在分区中呈现为标准的网络设备，但实际通过虚拟化层与物理网络通信。
• 云桌面虚拟应用： 在一台宿主机上虚拟多个共享桌面分区环境，供多个FVM客户分区同时远程连接和操作。
三、架构设计FVM在操作系统内核与应用程序层之间构建虚拟化层，采用名字空间隔离与写时复制（Copy-on-Write） 机制。该设计使分区进程能够直接共享宿主机系统资源，同时确保运行时环境的完全隔离。每个客户分区仅需记录与宿主机环境的差异状态，无需复制完整的操作系统镜像，大幅降低了存储与运行开销。
四、体系结构下图简要概述了 FVM 环境的体系结构        宿主分区(Host)和客户分区(Guest)FVM 通过分区实现隔离。分区是由虚拟机管理器提供的逻辑隔离单元，每个分区内运行一个进程组，并由FVM筛选平台统一管控。进程可加入指定分区，也可在不同分区之间迁移。分区具备资源限制、名字空间隔离、策略仲裁、监控与审计等能力。FVM虚拟化程序必须至少有一个运行在宿主分区。虚拟化管理堆栈在宿主分区中运行，并可直接访问系统资源。 宿主分区默认不经过虚拟层处理，可直接访问系统资源。而客户分区默认受FVM虚拟层管控。客户分区可以读取宿主分区的资源，但无法直接写入，所有写请求均由FVM虚拟层重定向到虚拟设备进行处理。同时，基于FVM的名字空间隔离机制，宿主分区无法访问客户分区资源，客户分区之间亦相互隔离。
FVM 筛选平台(FVM Filtering Platform)FVM 筛选平台是管控各分区应用程序访问系统资源的处理平台，由筛选层、虚拟机管理器、策略引擎和虚拟层组成。
筛选层(Filter Layer)筛选层是一组连接到系统资源堆栈的策略挂钩，负责在资源访问请求抵达原始目标前进行监控、拦截与修改，实现对原始目标功能的扩展或替换，为虚拟层与策略引擎提供指令传导与执行能力。
筛选层由以下核心组件构成：
• 进程筛选器(Process Filter)：监控、拦截、允许进程创建与终止行为，判定进程所属虚拟机分区，实现进程粒度的隔离管控。
• 文件筛选器(File Filter)：监控、拦截、允许文件访问操作，重定向文件访问路径，为分区提供虚拟化文件视图。
• 注册表筛选器(Registry Filter)：监控、拦截、允许注册表访问操作，重定向注册表访问路径，为分区提供虚拟化注册表视图。
• 网络筛选器(Network Filter)：监控、拦截、允许网络连接、数据收发等行为，支持流量镜像、访问阻断、透明代理等管控动作。
• 内核对象筛选器(Kernel object Filter)：监控、拦截、允许进程间通信、同步对象、句柄操作等内核资源访问，重定向内核资源访问路径，为分区提供虚拟化内核资源视图。
• 杂项筛选器(MISC Filter)：监控、拦截和修改服务、桌面、内存等系统资源的访问行为，补全资源管控的最后一块拼图。
虚拟机管理器(VM Manager)虚拟机管理器是FVM 筛选平台的核心管理中心，主要职责包括：
• 实例生命周期管理：负责分区实例的创建、销毁及运行状态维持，确保实例从启动到终止的完整流程可控、可追踪。
• 资源分配与限制：为分区分配计算、存储、网络等资源，并实施相应的资源配额限制。
• 策略管控与执行：部署并强制实施各类隔离策略、安全策略及访问控制规则。 策略引擎(Strategy Engine)策略引擎是FVM 筛选平台的核心决策中枢，负责进程所属分区的实时判定，并对分区进程的资源访问行为进行精细化管控。其核心职责包括：
• 执行策略判断：基于预设规则与实时上下文，对进程行为进行评估与决策。
• 输出决策结果：生成允许、拒绝、重定向等明确指令，指导底层执行单元。
• 安全能力抽离：将访问控制、权限校验等安全逻辑从业务代码中剥离，集中托管至策略引擎。
• 策略快速迭代：通过规则热加载、灰度发布等机制，使策略更新速度匹配风险演变节奏。
通过策略与业务的完全解耦，FVM筛选平台得以在复杂动态的环境中，实现安全响应的敏捷化与确定性。
虚拟层(Virtual Layer)虚拟层是FVM 筛选平台的资源代理层，依赖名字空间隔离、写时复制等机制，实现各分区之间的相互隔离。其核心职责包括：
• 资源抽象与供给：为分区实例提供虚拟化的计算、存储、网络资源视图，屏蔽底层物理拓扑差异，实现资源的按需分配与动态调整。
• 隔离边界构建：基于名字空间隔离进程视图，维护分区边界完整性，防止权限逃逸与跨边界非法访问。
• 高效存储与访问重定向：通过写时复制技术构建分区根文件系统及注册表视图，将文件、注册表等资源访问路径重定向至分区专属存储域，实现秒级部署与存储高效复用。
• 数据路径改造：支持透明代理、流量镜像、数据加密等高级数据平面能力，为安全管控与策略执行提供底层支撑。  
FVM 虚拟设备层(FVM Virtual Device Layer)FVM虚拟设备层是构建于物理硬件之上的虚拟化资源单元，通过对磁盘、网络等物理资源进行抽象与模拟，为每个分区实例提供独立、隔离的设备视图。其核心职责包括：
• 磁盘虚拟设备：FVM存储虚拟化的核心实现单元，负责将物理磁盘资源抽象为多个独立、隔离的虚拟存储视图，并为每个分区实例提供专属的磁盘访问接口。
• 网络虚拟设备：FVM网络虚拟化的核心实现单元，负责将物理网络资源抽象为多个独立、隔离的虚拟网络视图，并为每个分区实例提供专属的网络接入接口与通信管控能力
FVM虚拟设备层是资源抽象与隔离管控的底层执行单元，将物理资源的安全边界从“内核层”延伸至“设备层”，为分区实例提供可信任、可管控、可计量的虚拟化基础设施。
五、逻辑架构下图简要概述了 FVM 环境的逻辑架构FVM的体系结构基于分层解耦与策略驱动范式，构建了从访问触发到资源执行的完整管控闭环。其核心逻辑关系可形式化描述为：以分区为隔离边界，以筛选层为感知触点，以策略引擎为决策中枢，以虚拟层为执行代理，以虚拟设备为资源抽象载体，以虚拟机管理器为全局管控实体。各组件间的协同关系与数据流转路径如下：
1. 分区归属与进程绑定机制• 分区实例化：虚拟机管理器作为全局管控实体，负责创建并维护分区实例的逻辑边界，确立资源隔离的基础单元。
• 动态隶属关系建立：进程筛选器实时监控进程创建事件，通过向策

...(已截断)

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-290106.htm

测试了下  发现拦不住partitionguru   有风险啊

mb_hzfcelhs


测试了下 发现拦不住partitionguru 有风险啊

非常感谢您的宝贵反馈，由于目前属于公测阶段，策略没有完全收拢，将持续改进。

你们这个是纯自研的产品吗，类似sandboxie这种？

看起来像沙箱？

风铃i


看起来像沙箱？

沙箱即虚拟层，只是FVM刷选平台的能力之一。