Answers:
到目前为止,每个答案都缺少的是,除了网络连接和文件共享之外,还有更多的攻击媒介,但与虚拟机的所有其他部分相关 - 尤其是在虚拟化硬件方面。下面显示了一个很好的示例(参考文献2),其中客户操作系统可以使用模拟的虚拟COM端口突破VMware容器。
在几乎所有现代处理器上,通常包含并且有时默认启用的另一个攻击向量是 x86虚拟化 。虽然你可以说在虚拟机上启用网络是最大的安全风险(实际上,这是一个必须考虑的风险),但这只能阻止病毒通过网络传输它们在其他每台计算机上的传输方式。这是您的防病毒和防火墙软件的用途。话虽如此...
已经爆发了病毒,这些病毒实际上可以“爆发”虚拟机 具有 过去已记录在案(详见下文参考文献1和2)。虽然有争议的解决方案是禁用x86虚拟化(并使运行虚拟机的性能受到影响),但任何现代(体面)反病毒软件 应该 能够在有限的原因内保护您免受这些病毒的侵害。甚至 DEP 将在一定程度上提供保护,但只有在您的实际操作系统(而不是VM)上执行病毒时才会提供保护。同样,注意下面的参考文献,除了网络适配器或指令虚拟化/转换(例如,虚拟COM端口或其他模拟硬件驱动程序)之外,还有许多其他方式可以使虚拟机脱离虚拟机。
更近期是增加 I / O MMU虚拟化 到大多数新的处理器,允许 DMA 。除了能够直接在CPU上运行代码之外,计算机科学家不需要考虑允许具有病毒直接内存和硬件访问的虚拟机的风险。
我提出这个答案只是因为所有其他人都暗示你相信你只需要保护自己 档 ,但在我看来,允许病毒代码直接在你的处理器上运行是一个更大的风险。某些主板默认禁用这些功能,但有些则没有。减轻这些风险的最佳方法是禁用虚拟化,除非您确实需要它。如果您不确定是否需要, 禁用它 。
虽然某些病毒确实可以针对虚拟机软件中的漏洞,但考虑到处理器或硬件虚拟化时,这些威胁的严重程度会大幅增加,尤其是需要额外主机端仿真的情况。
如何通过Themida恢复虚拟化的x86指令 (Zhenxiang Jim Wang,微软)
通过COM1转发VMware Workstation (Kostya Kortchinsky,谷歌安全团队)
如果您正在使用共享文件夹或在VM和主机之间进行任何类型的网络交互,那么您可能会担心一些问题。可能,我的意思是它取决于恶意代码实际上做了什么。
如果您不使用共享文件夹并且没有启用任何类型的网络,那么您应该没问题。
除非您共享内容,否则主机上的防病毒软件不会在您的VM中进行任何类型的扫描。
如果虚拟机感染了一种旨在利用虚拟机软件(如VMWare Tools)的病毒,它可能会被淘汰出局,但我认为目前还没有任何能力。如果主机易受攻击,它还可以通过网络利用主机。
主机系统上的防病毒不应该在VM中看到病毒,除非它们位于共享文件夹中。
应该没问题,只需关闭文件共享访问权限,并在初始感染期后杀死VM内的nic。