Если я использую виртуальную машину Windows 7 на хосте Windows 7 с использованием VMWare или VirtualBox (или чего-либо еще), и виртуальная машина полностью перегружена вирусами и другим вредоносным программным обеспечением, следует ли мне беспокоиться о своей машине?
Если на хост-компьютере установлена антивирусная программа, обнаружит ли она какие-либо проблемы?
До сих пор каждый ответ упускался из-за того, что существует больше векторов атак, чем просто сетевые соединения и общий доступ к файлам, но со всеми другими частями виртуальной машины - особенно в отношении виртуализации оборудования. Хороший пример этого показан ниже (ссылка 2), где гостевая ОС может выйти из контейнера VMware с помощью эмулируемого виртуального COM-порта.
Другим вектором атаки, обычно включаемым и иногда включаемым по умолчанию практически на всех современных процессорах, является виртуализация x86. Хотя вы можете утверждать, что включение сети на виртуальной машине является самой большой угрозой безопасности (и, действительно, это риск, который необходимо учитывать), это только предотвращает передачу вирусов, как они передаются на любой другой компьютер - по сети. Это то, для чего используется ваша антивирусная программа и брандмауэр. Что, как говорится...
Там были вспышки вирусов , которые на самом деле могут "вырваться" из виртуальных машин, которые были задокументированы в прошлом (ссылки 1 и 2 ниже для деталей / примеров). Хотя спорным решением является отключение виртуализации x86 (и снижение производительности при работе виртуальной машины), любое современное (достойное) антивирусное программное обеспечение должно быть способно защитить вас от этих вирусов в рамках ограниченной причины. Даже DEP обеспечит защиту в определенной степени, но не более того, когда вирус будет запущен в вашей реальной ОС (а не в виртуальной машине). Опять же, отмечая ссылки ниже, существует много других способов, которыми вредоносное ПО может вырваться из виртуальной машины, кроме сетевых адаптеров или виртуализации / трансляции команд (например, виртуальных COM-портов или других эмулируемых драйверов оборудования).
Еще недавно появилось добавление виртуализации ввода-вывода MMU к большинству новых процессоров, что позволяет использовать DMA. Специалистам по компьютерам не нужно видеть риск того, что виртуальной машине с вирусом будет предоставлен прямой доступ к памяти и оборудованию, а также возможность запускать код непосредственно на процессоре.
Я представляю этот ответ просто потому, что все остальные намекают вам на то, что вы просто должны защитить себя от файлов, но, по моему мнению, позволить вирусному коду напрямую запускаться на вашем процессоре - гораздо больший риск. Некоторые материнские платы отключают эти функции по умолчанию, но некоторые этого не делают. Лучший способ уменьшить эти риски - отключить виртуализацию, если она вам действительно не нужна. Если вы не уверены, нужно ли вам это или нет, отключите его.
Хотя верно, что некоторые вирусы могут быть направлены на уязвимости в программном обеспечении вашей виртуальной машины, серьезность этих угроз резко возрастает, если принять во внимание виртуализацию процессора или оборудования, особенно те, которые требуют дополнительной эмуляции на стороне хоста.
Как восстановить виртуализированные инструкции x86 от Themida (Zhenxiang Jim Wang, Microsoft)
Выход из VMware Workstation через COM1 (Костя Кортчинский, команда безопасности Google)
Если вы используете общие папки или имеете какое-либо сетевое взаимодействие между виртуальной машиной и хостом, у вас есть что-то, о чем можно беспокоиться. Потенциально я имею в виду, что это зависит от того, что на самом деле делает вредоносный код.
Если вы не используете общие папки и не имеете никакой сетевой поддержки, все будет в порядке.
Антивирус на вашем хост-компьютере не будет сканировать вашу виртуальную машину, если у вас нет общих ресурсов.
Если виртуальная машина заражена вирусом, нацеленным на использование программного обеспечения виртуальной машины, такого как VMWare Tools, она может выйти из строя, но я не думаю, что что-то на данный момент способно на это. Он также может использовать хост по сети, если хост уязвим.
Антивирус на хост-системе не должен видеть вирусы на виртуальной машине, если они не находятся в общей папке.
Все должно быть в порядке, просто отключите доступ к файлообменнику и уничтожьте нишу внутри ВМ после начального периода заражения.
