A rosszindulatú program több esetben is átterjedhet a virtuális gépről a gazdagépre:
- Ha a virtuális gép szoftverében hiba van. Ez nem túl gyakori, de lehetséges.
- Ha hiba van a gazdagép operációs rendszerében. Az a hiba, amely kifejezetten lehetővé teszi a rosszindulatú programok kibontását a virtuális gépből, valószínűtlen, de ismét lehetséges.
- Ha van hiba a processzorban. Ez még valószínűtlenebb, de matematikailag mégsem lehetetlen.
- Ha a rosszindulatú programnak módja van információcserére a gazdával. Ez történhet a hálózaton keresztül; ebben a tekintetben nincs különbség a virtuális gép és egy külön fizikai gép használata között, ezért megfelelően tűzfalra kell tennie a virtuális gépet (csak a minimumot engedje meg, ne tegyen semmit, ami lehetővé teheti a kiszolgáló számára az ügyfél eltérítését, például SSH-t) X továbbítással). Egy másik vektor a virtuális gép eszközein keresztül történik, például a fájlok és a vágólap megosztása révén: a virtuális gépben futó szoftver olvashat és írhat megosztott fájlokat, hozzáférhet a gazdagép vágólapjához stb. Tehát ha rosszindulatú programokat futtat virtuális gépen, tiltsa le ezeket a kényelmi eszközöket (tiltsa le őket a virtuális gép konfigurációjában, nem elég tartózkodni a vendégszoftver telepítésétől, mivel a rosszindulatú program a sajátjával is járhat.
A témáról további információt a https: / /security.stackexchange.com/questions/9011/does-a-virtual-machine-stop-malware-from-doing-harm és https://security.stackexchange.com/questions/12546/ is-to-install-malware-in-a-vm
Összességében elmondható, hogy a legtöbb rosszindulatú program biztonságosan elemezhető egy megfelelően konfigurált virtuális gépen. Tiltsa le az összes vendégfunkciót, és ne csatlakozzon a virtuális géphez olyan protokollal, amely lehetővé teszi a kiszolgáló számára az ügyfél befolyásolását. Tűzfal a virtuális gép, mintha ellenséges lenne (az); csak gazdagép-hálózatot kell használnia, hogy könnyedén ellenőrizhesse, mi megy oda.
Van egy másik oka annak, hogy a fizikai gépet részesítheti előnyben a virtuális gép helyett. Van egy csomó rosszindulatú program, amely megpróbálja felismerni, elemzik-e, és nem viselkedik rosszindulatúan, amikor van. Nyilvánvaló, hogy a rosszindulatú programok megpróbálják észlelni, annak jele, hogy hibakereső alatt fut: ellenőrizze, hogy nyomon követik-e (vagy a Windows megfelelője), ellenőrizze, hogy nincs-e hirtelen szünet a végrehajtás során, és néhány rosszindulatú program a virtuális gép árulkodó jeleit keresi, mint például a közös virtuálisgép-szoftverek által emulált hardver-illesztőprogramok, vagy a CPU-furcsaságok, amelyek nem léteznek vagy ritkák az emulált CPU-k kívül. Ez nem azt jelenti, hogy nem lehet elemezni a rosszindulatú programokat egy virtuális gépen: néha igen, néha nem, ez a rosszindulatú programtól függ. Ha virtuális gépen indul, és nem talál semmit, akkor fel kell készülnie arra, hogy fizikai gépre költözzön.
Ne feledje, hogy a fizikai gépekkel is fennállnak kockázatok: a rosszindulatú programok megpróbálhatják magát telepíteni az alaplap és a perifériák egyik firmware-jének egyikébe. Ehhez kezdenek megjelenni az eszközkészletek, például a Rakshasa és a Mebromi. Tehát, ha egy kifinomult rosszindulatú programot elemez egy fizikai gépen, ne bízzon többet ebben a fizikai gépben.