病毒可以逃逸虚拟机吗?毫无疑问,计算机病毒是令人着迷的。无论您只是想使用虚拟机来访问有风险的网站还是进行全面的恶意软件分析,都很难不怀疑使用虚拟机是否真的可以保护您的计算机免受病毒侵害。
虽然这种情况并不常见,但病毒有多种方法可以从虚拟机中逃脱。如果虚拟机连接到您的家庭网络,它们通常可以在其中传播。许多病毒还可以利用 x86 虚拟化和虚拟 COM 端口等漏洞。
在本文中,我将解释运行受感染虚拟机时需要注意的风险以及病毒用来逃脱的最常见漏洞。
我还将解释可用来降低病毒逃逸可能性的最佳技术。
病毒如何逃离虚拟机并感染主机操作系统
病毒可以通过利用将虚拟机连接到主机或其他环境的功能(例如共享家庭网络甚至共享剪贴板功能)来逃离虚拟机。
病毒可以通过网络传播
病毒用来逃避虚拟机的最常见漏洞是通过网络传播。
许多病毒已经可以通过网络传播,因此如果您将虚拟机连接到路由器,它们就不会遇到任何传播问题。
如何防止虚拟机病毒通过网络传播
- 确保您的虚拟机与 Internet 完全断开。如果虚拟机之前已连接到网络,则应确保让虚拟机“忘记”它们。
- 禁用或关闭所有串行和 USB 端口的共享。您可以通过导航到虚拟机的设置并禁用 USB 和串行控制器来禁用对 USB 和串行端口的访问。大多数虚拟机应用程序还提供禁用 USB 和串行端口访问的设置。
- 禁用主机上的文件和打印机共享。已知某些病毒会利用文件和打印机共享网络功能。您可以在 Windows 计算机上禁用文件和打印机共享,方法是导航到设置 > 控制面板 > 网络和 Internet > 查看网络状态和任务 > 更改高级共享设置 > 关闭文件和打印机共享。
- 如果您需要连接到互联网,请使用无线热点。如果将虚拟机连接到常用的家庭网络,则所有其他设备都会受到病毒的攻击。通过将虚拟机连接到热点,您可以选择随时关闭热点并消除互联网访问。
病毒可以跨共享文件系统传播
病毒在虚拟机及其主机之间传播的另一种方式是共享文件。
如果您将文件从虚拟机移动到主机,病毒可能会在您不注意的情况下传播。
使用文件共享的功能(例如共享剪贴板)也能够在虚拟机和主机之间传播病毒。
如何防止虚拟机病毒跨共享文件系统传播
- 禁用文件夹共享。如果您想保护主机免受病毒侵害,则不应有任何共享文件。一个很好的开始方法是禁用文件夹共享。大多数虚拟机软件都支持这一点。在 VMware 中,您可以通过转至虚拟机 > 设置 > 选项 > 共享文件夹并关闭该功能来禁用文件夹共享。
- 禁用拖放。由于拖放功能将虚拟机连接到主机,因此这是黑客可能利用的领域。您可以通过导航到虚拟机 > 设置 > 选项 > 访客隔离并关闭拖放功能来禁用 VMware 中的拖放功能。
- 禁用共享剪贴板。虽然共享剪贴板功能在大多数虚拟机应用程序中默认启用,但很容易禁用。您可以通过导航到虚拟机 > 设置 > 选项 > 访客隔离并关闭“启用复制和粘贴”功能来禁用共享剪贴板。
病毒容易从虚拟机中逃逸吗?
一般来说,病毒很难从虚拟机中逃脱。大多数虚拟机漏洞都被用来渗透有价值的目标,例如政府办公室或医院网络。由于这非常困难,您不太可能成为目标,但保持安全至关重要。
病毒之所以很难从虚拟机中逃脱,是因为软件已经变得极其复杂。
虽然旧版本的 VirtualBox 和其他软件存在已知漏洞,但这些程序的最新版本通常被认为是非常安全的。
即使病毒能够识别它们位于虚拟机内部,它们也不太可能尝试逃脱。
大多数能够检测虚拟机的病毒在检测到后都会自毁,以防止恶意软件专家对其进行分析。
由于合法的漏洞很难找到,因此它们通常只用于引人注目的攻击。
黑客利用虚拟机的大多数漏洞都是利用虚拟机和主机之间的连接。
例如,如果虚拟机连接到您真实的家庭网络,许多病毒将选择使用家庭网络进行传播。
已知其他病毒使用缓存侧通道攻击等途径来访问有关主机操作系统的信息。
当病毒从虚拟机中逸出时会发生什么?
不幸的是,如果病毒可以从虚拟机中逃脱,它很快就会对您的计算机造成严重损害。除了财务信息或密码等敏感数据被盗的风险外,病毒还可能损坏计算机的操作系统和硬件。
已知病毒可以通过多种方式逃离虚拟机并造成损害。
当虚拟机直接安装在操作系统上时,它会留下大量的攻击面,包括网络访问、来宾添加、共享文件系统、外围设备访问、共享复制/粘贴缓冲区和统一桌面功能。
通过安全地设置虚拟机可以减轻潜在的损害。
理想情况下,虚拟机应与您的家庭网络和您经常使用的任何设备隔离。
您甚至可以在刻录机计算机上的可启动 USB 驱动器上运行虚拟机,以确保它对任何有价值的内容几乎零访问。
最终,并不需要强大的病毒就能造成数百甚至数千美元的损失。
通过采取正确的预防措施来配置虚拟机,您可以节省大量金钱并避免痛苦。
如何制作安全的恶意软件分析虚拟机
虽然不可能完全阻止病毒感染您的计算机或网络,尤其是当您允许病毒感染虚拟机时,但有一些方法可以降低病毒传播的可能性。
尽管存在明显的职业风险,但恶意软件分析专家经常允许恶意软件感染其虚拟机,而几乎不会造成任何后果。
1. 配置虚拟机的基本规格
首先,您需要选择一个虚拟机管理程序(也称为虚拟机软件)来运行虚拟机。
VMware Workstation Pro、KVM 和 VirtualBox 是通用的最佳软件。VirtualBox 特别适合初学者,因为它可以免费使用,同时仍然提供相同的基本功能(如快照)。
选择虚拟机管理程序后,您需要决定新虚拟机的规格。
如果可能,您可以坚持使用建议的 RAM 量,但应考虑使用多个 CPU 核心。
如果您仅使用部分 CPU 核心,则可以将执行上限设置为 100%,但如果您使用所有 CPU 核心,则应将其设置得较低,以避免计算机冻结。
如果您需要访问互联网,则应将网络设置设置为“NAT”。
这是您可以选择的最佳整体选项,因为它将主机网络上的其他设备与虚拟机隔离,同时仍提供相同的 Internet 访问。
除非有特定原因,否则您无需调整任何其他功能。
2. 安装 Windows 虚拟机
配置完虚拟机的基本规格后,您需要开始安装操作系统。
虽然您需要购买有效的软件密钥,但您可以在此处找到所有可用的 Windows 版本。
下载您选择的 Windows ISO 后,您可以导航到“设置”>“存储”并找到“空”存储设备,将其添加到虚拟机。
单击“空”以查看其属性,然后单击光驱选择器旁边的 CD 图标以打开文件资源管理器。
文件资源管理器打开后,您可以找到您的 ISO 并选择它。单击“确定”确认选择。
接下来,您需要启动虚拟机。当它启动 Windows ISO 时,您需要回答基本的设置提示。
确保您没有激活 Windows,因为许多病毒都能够窃取产品密钥。也不要安装 Guest Additions,因为许多病毒可以利用它作为攻击点。
3. 准备 Windows 虚拟机以进行恶意软件分析
当 Windows 安装完成后,您仍然需要执行一些额外的步骤,然后虚拟机才能准备好进行恶意软件分析。
您应该首先拍摄虚拟机的快照,因为如果出现任何问题,这将为您提供一个恢复点。您可以通过导航到Machine > Take Snapshot 来拍摄快照。
接下来,您应该确保您的主机和网络上的任何其他设备受到充分保护,免受任何潜在病毒的侵害。
您应该验证每台设备都安装了防病毒程序。防病毒程序应该是完全最新的。
确保计算机的防火墙和主动恶意软件扫描等功能已启用。
最后,您需要安装您想要与恶意软件一起使用的任何软件 – 并找到恶意软件本身!
请务必注意,在使用虚拟机时应始终保持良好的网络安全实践。
即使您小心翼翼地正确安装了虚拟机,只要一个疏忽的错误就会给病毒提供传播媒介。
4. 保持最佳实践以保护您的主机免受恶意软件侵害
为了防止病毒从虚拟机中逸出,您需要确保始终以安全的方式使用虚拟机。
以下是一些可用于保护主机并减少病毒从虚拟机逸出的可能性的最佳实践。
- 避免将 USB 设备插入虚拟机。如果可能,您应该完全禁用 USB 和串行端口功能。如前所述,病毒从虚拟机逃逸到主机的最常见方式之一是通过共享文件,而 USB 设备代表了直接的传播途径。
- 当虚拟机连接到 Internet 时,切勿在虚拟机上运行病毒。当您在虚拟系统上使用病毒时,您需要担心的不仅仅是病毒感染您的主机。如果它们从您的网络运行,您的虚拟机可能会被用作严重数字犯罪的主机。
- 避免将任何安全文件放在虚拟机上。虚拟机上的任何内容都很容易被黑客访问。如果您打算在虚拟机上处理病毒,那么您应该避免登录您的银行帐户或保存任何私人文档。
- 不要使用共享文件夹、共享拖放或共享剪贴板等功能。这些功能将主机连接到虚拟机,并创建病毒可用来传播的潜在攻击面。
最后的想法
无论您是对研究病毒感兴趣还是只是想打开可疑文件,虚拟机似乎很有用的原因有很多。
然而,当谈到危险的计算机病毒时,很难不怀疑它们是否能够突破虚拟机并感染您的计算机。
不幸的是,病毒有可能逃脱虚拟机并损害您的计算机。
不过,只要正确配置虚拟机并使用良好的网络安全实践,病毒逃离虚拟机的风险就可以忽略不计。