毫无疑问,计算机病毒令人着迷。无论您是想使用虚拟机只是为了访问那个有风险的网站,还是为了进行全面的恶意软件分析,都很难不怀疑使用虚拟机是否真的可以保护您的计算机免受病毒侵害。
虽然这种情况并不常见,但病毒还是有办法从虚拟机中逃脱的。如果 VM 连接到您的家庭网络,它们通常可以在其中传播。许多病毒还可以利用 x86 虚拟化和虚拟 COM 端口等漏洞。
在本文中,我将解释运行受感染虚拟机时需要注意的风险以及病毒用来逃避的最常见漏洞。
我还将解释可用于降低病毒逃逸可能性的最佳技术。
病毒如何逃脱虚拟机并感染主机操作系统
病毒可以通过利用将虚拟机连接到主机或其他环境(例如共享家庭网络甚至共享剪贴板功能)的功能来逃离虚拟机。
病毒可以通过网络传播
病毒用来逃避虚拟机的最常见漏洞是通过网络传播。
许多病毒已经可以在网络中传播,因此如果您将虚拟机连接到路由器,它们的传播就不会有任何问题。
如何防止虚拟机病毒跨网络传播
- 确保您的虚拟机已完全断开与 Internet 的连接。如果虚拟机之前已经连接到网络,您应该确保让虚拟机“忘记”它们。
- 禁用或关闭所有串行端口和 USB 端口的共享。您可以通过导航到虚拟机的设置并禁用 USB 和串行控制器来禁用对 USB 和串行端口的访问。大多数虚拟机应用程序还提供禁用 USB 和串行端口访问的设置。
- 在主机上禁用文件和打印机共享。已知某些病毒会利用文件和打印机共享网络功能。您可以通过导航至设置 > 控制面板 > 网络和 Internet > 查看网络状态和任务 > 更改高级共享设置 > 关闭文件和打印机共享来禁用 Windows 计算机上的文件和打印机共享。
- 如果您需要连接到互联网,请使用无线热点。如果您将虚拟机连接到您常用的家庭网络,您就会将所有其他设备暴露在病毒面前。通过将您的虚拟机绑定到热点,您可以随时选择关闭热点并停止访问互联网。
病毒可以跨共享文件系统传播
病毒在虚拟机及其主机之间传播的另一种方式是共享文件。
如果将文件从虚拟机移动到主机,病毒可能会在您不注意的情况下传播。
使用文件共享的功能(如共享剪贴板)也能够在虚拟机和主机之间传播病毒。
如何防止虚拟机病毒跨共享文件系统传播
- 禁用文件夹共享。如果你想让你的主机免受病毒侵害,你不应该有任何共享文件。一个很好的开始方式是禁用文件夹共享。大多数虚拟机软件都支持这一点。在 VMware 中,您可以通过转至VM > 设置 > 选项 > 共享文件夹并关闭该功能来禁用文件夹共享。
- 禁用拖放。由于拖放功能将虚拟机连接到主机,因此这是黑客可能利用的区域。您可以通过导航到VM > 设置 > 选项 > 来宾隔离并关闭拖放功能来禁用 VMware 中的拖放功能。
- 禁用共享剪贴板。虽然共享剪贴板功能在大多数虚拟机应用程序中默认启用,但很容易禁用。您可以通过导航到 VM > 设置 > 选项 > 来宾隔离并关闭“启用复制和粘贴”功能来禁用共享剪贴板。
病毒容易从虚拟机中逃逸吗?
一般来说,病毒很难从虚拟机中逃脱。大多数 VM 漏洞都被用来渗透有价值的目标,例如政府办公室或医院网络。由于它非常困难,您不太可能成为目标,但保持安全至关重要。
病毒之所以难以从虚拟机中逃脱,是因为软件已经变得极其复杂。
虽然旧版本的 VirtualBox 和其他软件存在已知漏洞,但这些程序的最新版本通常被认为非常安全。
即使病毒能够理解它们在虚拟机内部,它们也不太可能试图逃脱。
大多数可以检测虚拟机的病毒在检测到时会自毁,以防止恶意软件专家对其进行分析。
由于很难找到合法的漏洞利用,因此它们通常被保留用于引人注目的攻击。
黑客用来利用虚拟机的大多数漏洞都利用了虚拟机和主机之间的连接。
例如,如果虚拟机连接到您的真实家庭网络,则许多病毒会选择使用家庭网络进行传播。
已知其他病毒使用缓存侧通道攻击等途径来访问有关主机操作系统的信息。
当病毒从虚拟机中逃逸时会发生什么?
不幸的是,如果病毒可以从虚拟机中逃脱,它会很快对您的计算机造成严重危害。除了财务信息或密码等敏感数据被盗的风险外,病毒还可能损坏计算机的操作系统和硬件。
已知病毒可以通过多种方式从虚拟机中逃逸并造成损害。
当虚拟机直接安装在操作系统上时,它会留下大量的攻击面,包括网络访问、来宾添加、共享文件系统、外围设备访问、共享复制/粘贴缓冲区和统一桌面功能。
可以通过安全地设置虚拟机来减轻潜在的损害。
理想情况下,虚拟机应与您的家庭网络和您经常使用的任何设备隔离。
您甚至可以在刻录机计算机上的可启动 USB 驱动器上运行虚拟机,以确保它几乎可以零访问任何有价值的东西。
最后,不需要强大的病毒就能造成数百甚至数千美元的损失。
通过采取正确的预防措施来配置您的虚拟机,您可以为自己节省大量金钱和麻烦。
如何制作安全的恶意软件分析 VM
虽然不可能完全防止病毒感染您的计算机或网络,尤其是当您允许它们感染虚拟机时,但有一些方法可以降低它们传播的可能性。
尽管存在明显的职业风险,但恶意软件分析专家经常允许恶意软件感染他们的虚拟机,而几乎没有造成任何后果。
1.配置虚拟机的基本规格
首先,您需要选择一个管理程序(也称为虚拟机软件)来运行您的虚拟机。
VMware Workstation Pro、KVM 和 VirtualBox 是一般用途的最佳软件。VirtualBox 特别适合初学者,因为它可以免费使用,同时仍提供相同的基本功能(如快照)。
选择管理程序后,您需要决定新虚拟机的规格。
如果可能,您可以坚持使用建议的 RAM 量,但应考虑使用多个 CPU 内核。
如果您只使用一部分 CPU 内核,则可以将执行上限设置为 100%,但如果您使用所有 CPU 内核,则应将其设置得更低以避免死机。
如果您需要访问互联网,您应该将您的网络设置设置为“NAT”。
这是您可以选择的最佳整体选项,因为它将主机网络上的其他设备与虚拟机隔离开来,同时仍提供相同的 Internet 访问。
除非有特定原因,否则无需调整任何其他功能。
2. 安装 Windows 虚拟机
配置完虚拟机的基本规格后,您需要开始安装操作系统。
虽然您需要购买有效的软件密钥,但您可以在此处找到所有可用的 Windows 版本。
下载您选择的 Windows ISO 后,您可以通过导航到“设置”>“存储”并找到“空”存储设备将其添加到虚拟机。
单击“空”以查看其属性,然后单击光驱选择器旁边的 CD 图标以打开文件资源管理器。
打开文件资源管理器后,您可以找到您的 ISO 并选择它。单击“确定”确认选择。
接下来,您需要启动虚拟机。当它启动 Windows ISO 时,您需要回答基本的设置提示。
确保您没有激活 Windows,因为许多病毒都能够窃取产品密钥。也不要安装 Guest Additions,因为许多病毒会以此为攻击点。
3. 准备 Windows 虚拟机以进行恶意软件分析
Windows 安装完成后,您仍需要执行一些额外的步骤,然后您的虚拟机才能准备好进行恶意软件分析。
您应该首先拍摄虚拟机的快照,因为如果出现任何问题,这将为您提供一个恢复点。您可以通过导航到Machine > Take Snapshot 来拍摄快照。
接下来,您应该确保您的主机和网络上的任何其他设备都受到充分保护,免受任何潜在病毒的侵害。
您应该验证每台设备都安装了防病毒程序。防病毒程序应该是完全最新的。
确保已启用计算机防火墙和主动恶意软件扫描等功能。
最后,您需要安装任何要与恶意软件一起使用的软件——并找到恶意软件本身!
请务必注意,在使用虚拟机时应始终保持良好的网络安全实践。
即使您小心翼翼地正确安装了虚拟机,也只需要一个粗心大意的错误就可以为病毒提供传播媒介。
4. 保持最佳实践以保护您的主机免受恶意软件的侵害
为防止病毒从您的虚拟机中逃逸,您需要确保始终以安全的方式使用您的虚拟机。
以下是您可以用来保护主机并降低任何病毒从虚拟机中逃逸的可能性的一些最佳实践。
- 避免将 USB 设备插入虚拟机。如果可能,您应该完全禁用 USB 和串行端口功能。如前所述,病毒能够从虚拟机逃逸到主机上的最常见方式之一是通过共享文件——而 USB 设备代表了一种直接的传播途径。
- 切勿在连接到 Internet 的虚拟机上运行病毒。当您在虚拟系统上使用它们时,您需要担心的不仅仅是感染主机的病毒。如果它们从您的网络运行,您的虚拟机可以用作严重数字犯罪的主机。
- 避免在虚拟机上放置任何安全文件。黑客很容易访问虚拟机上的任何内容。如果您打算在虚拟机上使用病毒,那么您应该避免登录您的银行账户或保存任何私人文件。
- 不要使用共享文件夹、共享拖放或共享剪贴板等功能。这些功能将主机连接到虚拟机,并创建病毒可以用来传播的潜在攻击面。
- 如果您想运行 V,请在您的主机上运行它。如果你在虚拟机中运行它,黑客就非常容易绕过它。当您从主机运行 V 时,它们不会有同样的能力干扰您的 V。
最后的想法
无论您是对研究病毒感兴趣还是只是想打开一个可疑文件,虚拟机似乎有用的原因有很多。
然而,当谈到危险的计算机病毒时,很难不怀疑它们是否能够突破虚拟机并感染您的计算机。
遗憾的是,病毒有可能逃出虚拟机并危害您的计算机。
不过,只要正确配置虚拟机并使用良好的网络安全实践,病毒从虚拟机中逃逸的风险就可以忽略不计。