如上所述，root 工具包在虚拟主机上的工作方式与在普通主机上的工作方式相似，除了许多恶意软件/病毒/rootkit 作者开发了检测它们是否在虚拟机中的机制，因此可以编写脚本/编程与普通机器上的行为不同。

这在逆向工程恶意软件时非常明显，如果恶意软件检测到它是虚拟化的，它的行为会有所不同。一些行为可能是停止执行其正常的例程/功能，尝试删除自己。这类似于恶意软件检查主机是否正在运行逆向工程工具，例如 IDA Pro、OllyDBG、Immunity Debugger、Redline 等。

VMWare 对某些事情有一种“ antirootkit ”方法，因为 vmware 代理将监视诸如 SSDT 和 IDT（系统服务描述符表和中断描述符表）的更改之类的事情。不过，归根结底，行为基本相同。

您的问题不太清楚，但听起来您可能一直在讨论被编程为从虚拟机“逃逸”并影响主机的恶意软件。有些攻击更侧重于虚拟机；除了运行恶​​意软件的一个来宾之外，它可能会影响其他虚拟机。

例如“蓝色药丸”攻击和其他形式的“劫持”。您还可以利用仅在虚拟机中运行的服务。

但是，在许多情况下，传统的 root 工具包也可以针对虚拟机运行。

它们就像在普通机器中一样工作。零差异。根工具包会感染操作系统中的关键文件，并可能感染引导分区。这些原则适用于物理机和虚拟机。常规服务器在 OS 和引导分区中有关键系统文件，虚拟机在 OS 和引导分区中有关键系统文件。虚拟机中的大多数 root 工具包都不知道它们在虚拟机上，因此它们只会感染虚拟机而不是托管它的物理服务器。

以上仅参考标准根工具包。有一些特殊的漏洞利用程序和 root 工具包不仅会感染虚拟机，还会感染托管它的机器，为此查找 bluepill 和虚拟化。