Conforme o artigo descreve, a introspecção da VM parece inspecionar o conteúdo da VM em tempo real, para ver se tudo parece estar "em ordem". As máquinas virtuais permitem tal inspeção sem consentimento ou conhecimento do sistema convidado . Isso contrasta com o software antimalware clássico em sistemas físicos: o antimalware é executado no próprio sistema, portanto, pode ser acessado por malware bem-sucedido; de fato, quando algum vírus ou malware consegue assumir o controle de uma determinada máquina, sua primeira tarefa é desativar qualquer software antimalware na máquina e impedir a instalação de tal software, para que o malware possa continuar controlar a máquina.

Assim, o software antimalware clássico deve bloquear o malware de forma confiável na entrada; se eles perderem um, eles perderam. Por outro lado, com uma VM, o antimalware poderia ser executado no host , fora do convidado, portanto, impossível de ser desativado por malware que subvertesse o sistema convidado. Esse é o conceito de introspecção VM. Pode possivelmente "limpar" uma máquina infectada.

É como uma cirurgia. A auto-cirurgia é, digamos, difícil. Em particular, doenças invalidantes podem deixá-lo inconsciente, impossibilitando-o de se curar. Um médico externo, sendo saudável naquela época, ainda pode ajudá-lo.