#1 楼
这个问题没有简单的答案。 VM软件仍然是软件,并且具有可以针对性的漏洞,因此至少从理论上讲,它可以造成更大的危害。运行受感染的VM并访问您的网络也会打开潜在的攻击载体。检测到它正在VM中运行时的行为,从而掩盖了实际的造成危害的功能。
评论
对于可以保证不了解VM的已知(或至少未知)恶意软件,VM可能是最安全,最灵活的调查方法。
– pdubs
2012年3月9日14:04
@pdubs not-unknown ...很棒,将其添加到已知,已知未知,未知未知...的列表中
–本·布罗卡(Ben Brocka)
2012年3月9日15:34
没错,以病毒为例,以检测虚拟机确实为例。特定行为只是下一个逻辑步骤。
– ordag
2012年3月9日在16:31
@BenBrocka我当时认为,“未知”恶意软件将类似于“新Vundo变体”,在这种情况下,可以合理地假设未添加VM感知组件。在这种情况下,您知道它的作用,但不知道它的作用。
– pdubs
2012年3月9日在16:44
#2 楼
我还没有看到任何旨在从VM内部感染主机的流行恶意软件。我希望大多数恶意软件根本不在乎它是在裸机上运行还是在VM内运行,因为在两种情况下它都能很好地实现其目标。可以安全地假设恶意软件不会仅仅因为没有动机就不会逃脱VM。 。还有几篇有关技术和工具的论文。评论
如果检测到正在从VM运行的恶意软件会改变其行为。当前,未知将其用于逃避VM。相反,它用于阻止研究人员进行分析的尝试,研究人员将为此目的使用VM。 @code_burgar已经解决了一些问题。
– Iszi
2012年3月9日13:47
Immunityinc.com/documentation/cloudburst-vista.html
– devnul3
2012年9月9日15:58
您看不到能够从VM逃脱并感染主机OS的任何好处吗?考虑到许多人正在使用VM在其主机上浏览不安全的站点,并且VM没有敏感信息,但是主机却有?我的朋友,罪恶多了一步...
– devnul3
2012年3月9日16:10
@ devnul3您似乎在回答之初就错过了“荒野中”的限定词。我知道有可能逃脱虚拟机,我当然可以想到恶意软件可能想要的原因,但是大多数恶意软件都与其他事情有关,例如发送垃圾邮件和窃取信用卡号。我确实认为,将来我们会看到更多值得关注的恶意软件。正如Iszi所说,恶意软件作者非常关心恶意软件分析器。
– Ladadadada
2012年3月9日在16:22
@Ladadadada我的意思是(我没有明确声明……)是我已经基于该原型在野外看到了恶意软件,实际上很多。它非常微妙,但确实存在。显然,YMMV ...
– devnul3
2012年12月12日7:19
#3 楼
是的,如果您严格遵守某些(绝对理智的)安全规则,请执行以下操作:为主机和来宾使用完全不同的操作系统。例如,将感染
Windows来宾的恶意软件不太可能感染甚至攻击Linux主机。请勿在网络上使用与来宾相似的操作系统。同样,您的
Windows访客可能已被感染,但是OpenBSD极不可能被任何恶意软件攻击。使用常识。虚拟化系统的目标应该完全被感染。例如,请勿将受感染的系统用于您的网上银行业务。
了解您的限制。这是非常重要的。只要怀疑有其他恶意软件出现在您的系统中,而不是正在调查的特定恶意软件,请立即完成实验并重新开始。
列表的前两点可以肯定地保证:虚拟化系统中的安全漏洞不会损害其他计算机。
#4 楼
VM和调试器是您最好的非专业选择。AV公司通常使用沙箱来分析行为。
如果您进行搜索,则会找到类似的应用程序。
#5 楼
唯一可能的方法可能是利用VM软件中的错误,因为VM所做的一切都是捕获I / O之类的事件并将其移交给主机。如果您的供应商不在乎缓冲区溢出,那么您可能会在主机上执行危险代码。但!我实际上不确定100%。评论
明确地说,问题实际上是关于经验的,而不是理论的
– devnul3
2012年12月12日7:22
#6 楼
我只想添加一条信息,以使您比概述的其他答案(而不降低其价值)更加注意这个问题。研究员说: >公司和管理员倾向于相信无法脱离VM
。许多人认为这只是另一种概念验证。他们不知道这是一种商业上可利用的攻击。 。
评论
相关:虚拟机到底有多安全?错误的安全感?关于超级用户,还有一个相关的问题:我的主机是否与受病毒感染的虚拟机完全隔离?