A rosszindulatú program több esetben is átterjedhet a virtuális gépről a gazdagépre:

• Ha a virtuális gép szoftverében hiba van. Ez nem túl gyakori, de lehetséges.
• Ha hiba van a gazdagép operációs rendszerében. Az a hiba, amely kifejezetten lehetővé teszi a rosszindulatú programok kibontását a virtuális gépből, valószínűtlen, de ismét lehetséges.
• Ha van hiba a processzorban. Ez még valószínűtlenebb, de matematikailag mégsem lehetetlen.
• Ha a rosszindulatú programnak módja van információcserére a gazdával. Ez történhet a hálózaton keresztül; ebben a tekintetben nincs különbség a virtuális gép és egy külön fizikai gép használata között, ezért megfelelően tűzfalra kell tennie a virtuális gépet (csak a minimumot engedje meg, ne tegyen semmit, ami lehetővé teheti a kiszolgáló számára az ügyfél eltérítését, például SSH-t) X továbbítással). Egy másik vektor a virtuális gép eszközein keresztül történik, például a fájlok és a vágólap megosztása révén: a virtuális gépben futó szoftver olvashat és írhat megosztott fájlokat, hozzáférhet a gazdagép vágólapjához stb. Tehát ha rosszindulatú programokat futtat virtuális gépen, tiltsa le ezeket a kényelmi eszközöket (tiltsa le őket a virtuális gép konfigurációjában, nem elég tartózkodni a vendégszoftver telepítésétől, mivel a rosszindulatú program a sajátjával is járhat.

A témáról további információt a https: / /security.stackexchange.com/questions/9011/does-a-virtual-machine-stop-malware-from-doing-harm és https://security.stackexchange.com/questions/12546/ is-to-install-malware-in-a-vm

Összességében elmondható, hogy a legtöbb rosszindulatú program biztonságosan elemezhető egy megfelelően konfigurált virtuális gépen. Tiltsa le az összes vendégfunkciót, és ne csatlakozzon a virtuális géphez olyan protokollal, amely lehetővé teszi a kiszolgáló számára az ügyfél befolyásolását. Tűzfal a virtuális gép, mintha ellenséges lenne (az); csak gazdagép-hálózatot kell használnia, hogy könnyedén ellenőrizhesse, mi megy oda.

Van egy másik oka annak, hogy a fizikai gépet részesítheti előnyben a virtuális gép helyett. Van egy csomó rosszindulatú program, amely megpróbálja felismerni, elemzik-e, és nem viselkedik rosszindulatúan, amikor van. Nyilvánvaló, hogy a rosszindulatú programok megpróbálják észlelni, annak jele, hogy hibakereső alatt fut: ellenőrizze, hogy nyomon követik-e (vagy a Windows megfelelője), ellenőrizze, hogy nincs-e hirtelen szünet a végrehajtás során, és néhány rosszindulatú program a virtuális gép árulkodó jeleit keresi, mint például a közös virtuálisgép-szoftverek által emulált hardver-illesztőprogramok, vagy a CPU-furcsaságok, amelyek nem léteznek vagy ritkák az emulált CPU-k kívül. Ez nem azt jelenti, hogy nem lehet elemezni a rosszindulatú programokat egy virtuális gépen: néha igen, néha nem, ez a rosszindulatú programtól függ. Ha virtuális gépen indul, és nem talál semmit, akkor fel kell készülnie arra, hogy fizikai gépre költözzön.

Ne feledje, hogy a fizikai gépekkel is fennállnak kockázatok: a rosszindulatú programok megpróbálhatják magát telepíteni az alaplap és a perifériák egyik firmware-jének egyikébe. Ehhez kezdenek megjelenni az eszközkészletek, például a Rakshasa és a Mebromi. Tehát, ha egy kifinomult rosszindulatú programot elemez egy fizikai gépen, ne bízzon többet ebben a fizikai gépben.

Sokszor elhangzott a visszajátszás, de szeretnék hangsúlyozni néhány választ gyakorlati szempontból:

• hálózati kapcsolat - egy míg régebben egyetértek azzal, hogy a vm egyszerű leválasztása megoldja a hálózaton keresztüli terjedés problémáját. Ma egyre több olyan rosszindulatú program működik, amelyek csak akkor működnek, ha létrejön a kapcsolat a CnC-vel, vagy legalábbis pingelhet a külvilág felé, ezért azt javaslom, hogy gondoljon komolyabb megoldásra, nem csak a kábel leválasztására:
  • állítson be egy másik vm-t, amely átjáróként fog működni, ez segít a forgalom naplózásában is.
  • használjon olyan hálózati szimulációs szoftvert, mint az iNetSim, amely bizonyos esetekben segíthet, ha hamisítani kell a eredményt adta vissza a CnC
  • telepítő tűzfal, és próbáljon meg ne használni hálózati megosztásokat, vagy legalábbis csak olvashatóvá tenni őket
• Virtuálisgép-beállítás erős> - a vm eszközök nem telepítése egy módja annak, hogy elrejtse a vm-t a rosszindulatú programok elől, de nagyon nehéz ilyen vm-en dolgozni. A legkevesebb, amit meg kell tennie, a virtuális gép lopakodóbb módon történő beállítása. Találtam pár linket, amelyek segíthetnek ebben, de még sok más megoldás létezik:
  • a virtuális gépészlelés megkerülése a VMWare munkaállomáson - itt találja a vmware konfigurációs beállításait lopakodóbb munkákért és egyéb dolgokért.
  • Rosszindulatú programok VM-ellenes technikái - néhány magyarázat arról, hogy mi segíti a rosszindulatú programokat a vm felderítésében
  • a következő lépés dolgozzon ki különböző saját fejlesztésű eszközöket, amelyek segítséget nyújthatnak a kutatásban és a fejlettebb anti-vm technikákban.
  • Ilyen módon próbálja meg beállítani a környezetét, hogy a gazdagép és a vendég különböző operációs rendszerek legyenek - a gazdagép linux / unix / osx és a vendég a windows. Ez tovább minimalizálja a gazdafertőzés kockázatát.
• fizikai gépek - gyakorlati szempontból a fizikai gépek használata elég bosszantó, időigényes és nagy pontosságot igényel, különösen ismeretlen rosszindulatú programok esetén, és nem a visszaállítási rezsiről beszélek miután a gépek megfertőződtek.

Remélem, ez segít :)

ha VMWare-t használsz, azt javaslom, hogy csak hosztkapcsolatot használj. Általában egy virtuális gép létrehozásakor NAT-ot vagy hidat használ, megosztva a gazdagépek IP-címét és / vagy hálózati adapterét. A Csak hoszt használata lehetővé teszi, hogy a virtuális gép csak helyileg csatlakozzon az adott adapterhez, internetkapcsolat nélkül (saját helyi IP-t rendelt hozzá, és saját átjárót használ).

Általában élőben futó rosszindulatú programok esetén ezt szeretné használni beállít. Más megoldásai olyan homokozó szoftvereket használnak, mint a kakukkos homokozó vagy a homokozó. Ezenkívül képesek naplózni, hogy mit csinál a kártevő, és homokozóban tartani ( általában nem érinti a rendszerfájlokat, vagy bármilyen módon megfertőzi a rendszert)

Ha a virtuális gép szoftverének hibája van, akkor egy rosszindulatú program is terjedhet a virtuális gépből, és megfertőzheti a gazdagépet.

Az a lehetőség is fennáll, hogy az alapul szolgáló processzor (ha hardveres virtualizációt használ) olyan hiba, amely lehetővé teszi a rosszindulatú programok elkerülését a virtuális gépből.

Ha hálózati kapcsolata van, akkor előfordulhat, hogy a rosszindulatú program átterjedhet a hálózaton. Ezért ennek elkerülése érdekében olyan beállítást kell választania, amely soha nem rendelkezik hálózati kapcsolattal. Még a hálózat kikapcsolása sem elegendő a vendégben. A virtuális gépet úgy kell beállítani, hogy ne lehessen hálózati kapcsolat.

A rosszindulatú programok terjedésének megakadályozása érdekében le kell választania a tesztelő eszközt (a gazdagépet) a hálózatról, és minden újonnan telepített rosszindulatú programra be kell állítania. Ne feledje, hogy a rosszindulatú programok az MBR vagy a BIOS segítségével beágyazódhatnak a számítógépbe.

Használja a VMWare legújabb és legjobb verzióját. Figyelje a valódi rendszerét. :)Miért? Nos, láttam rosszindulatú programokat, amelyek „kitörnek” a Vmware-ből. Hogyan? Ring -1 kizsákmányolás. Ez nem valami, amit általában látni fog. De megtörténhet , a mintájával valószínűtlen , de előfordulhat.

Tehát figyelje a saját rendszerét (ProcMon). Ne telepítse a VMware eszközöket (a minta könnyebben felismeri, és lehet, hogy csak szunnyad). És próbáljon ki számos VirtualSystems-t, a Qemu-t, a VirtualBox-ot.

Jó szórakozást :)