虚拟机和病毒

我有一个要求，我必须不加保护地上网（防火墙，防病毒）。同时，我不想冒被病毒感染的风险。

如果我安装了虚拟机（VirtualBox）进行测试，但确实感染了病毒，是否还会感染主机系统？换句话说，我可以使用虚拟机进行测试而不必担心虚拟机上的病毒会感染主机吗？

如果我安装了虚拟机（VirtualBox）进行测试，但确实感染了病毒，是否还会感染主机系统？换句话说，我可以使用虚拟机进行测试而不必担心虚拟机上的病毒会感染主机吗？

对于虚拟机环境中的NAT和网桥连接，似乎存在一些误解。这些不允许您的主机被感染。VM操作系统将无法访问主机操作系统，并且将完全不知道它正在作为客户端虚拟机运行。在该操作系统中运行的软件将变得更不明智。

正是通过客户端与主机之间的直接关系，才有可能被感染。如果您允许客户端和主机共享文件夹，则会发生这种情况。有史以来发现的最大的VMware（仅举一个流行产品）漏洞就是直接或间接标记了此功能的。通过关闭共享文件夹可以实现完全隔离。当VM引擎本身的漏洞可能使潜在的攻击者通过主机连接并获得对任何客户端的访问权或运行自己的代码时，在主机端也发现了任何其他漏洞。

如果运行的是大型虚拟机结构（例如通过VMware Server拓扑结构提出的虚拟机结构），则确实可能会涉及更多安全问题。但是，如果运行单计算机VMware Workstation解决方案，则NAT或网桥连接下不会存在安全问题。只要您不使用共享文件夹，您就很安全。

编辑：要明确，当我说到NAT或网桥连接时，我只说说VM具有与其客户端共享主机网络连接的功能。如果关闭了诸如VM Shared Folders之类的功能，这不会给客户端提供对主机的任何访问权限，并且它将保持完全隔离。自然地，如果用户决定连接主机和客户端，则该用户明确决定连接两台计算机，并以此来传递固有的VM安全性。因此，这与任何其他专用网络环境都没有什么不同，并且需要解决相同的证券问题。

这取决于。

如果您的虚拟机（来宾）无法访问主机，则您的主机不会受到来宾操作系统中任何病毒的影响。

我的2分钱

简而言之，在来宾操作系统的上下文中执行的恶意软件将无法感染主机操作系统，甚至可能不知道存在主机操作系统（尽管有可能突破虚拟环境） ，我怀疑它在一段时间内不会变得很普遍）。

一些例外：

总体而言，在VM上下文中进行网络冲浪可能是最安全的冲浪，放手的方式（考虑到AV s / w的不良记录以及其他保护途径）。实际上，使用单独的受限帐户可能就足够了，但是VM一定会提供额外的隔离。

不，如果您没有在主机和来宾操作系统之间设置任何网络连接（例如NAT或网桥）。如果要确保两个世界之间完全分开，请选择“桥接”连接，并将一个NIC映射到主机PC，将另一个NIC映射到VM-ed Guest。

就像有两个隔离的网络仅共享供电总线（实际上是您的实际PC）一样。

VirtualBox，以及VMWare或Xen或Parallels，都可​​以轻松地为您设置这种环境

是的，如果您有共享文件夹...

通过VM共享文件夹，或通过标准网络。

我不确定，并且很长一段时间都没有看到任何病毒会像这样传播并通过网络编辑文件，但是有可能。

仅仅因为它是VM并不意味着它是安全的，您只需要将其像网络上的另一台物理计算机一样对待。

因此，如果您的主机（以及网络上的其他计算机）上装有防病毒软件，则可以像现在一样安全。

运行VM的唯一安全方法是禁用网络功能（或VLAN将其与网络完全隔离...并且在该VLAN上没有任何管理接口。）并禁用所有涉及共享文件的主机/来宾集成。

从技术上讲，即使网络是隔离的并且不共享文件夹，也可以100％确定。

除非病毒开发人员知道主机OS和来宾VM的组合存在缺陷并将其分别作为目标，否则这是极不可能的。如果您想制造一种病毒，那么您就想制造一种可能影响最大数量计算机的病毒，并且不会在某些罕见的经常使用的应用程序中发现漏洞。

沙盒或两者之间的任何解释层都具有相同的答案。我认为，如果您可以运行32位来宾OS和64位主机，则将是最安全的，因为针对您的来宾OS进行溢出攻击然后触发vm / sandbox中溢出的漏洞将更具挑战性，因为您必须以4种组合来编译有效载荷-但是同样，这通常是在攻击者和单个操作系统层上完成的-有效载荷是为OS或可利用的服务版本准备的，而每个32和64则准备一个只是把它们都扔到了机器上。

就像之前在BSD上发表的评论一样，您的设置越不常见，病毒就越不可能针对它。

如果我们所有人都运行VM来测试我们怀疑的软件或浏览网络，那么它在VM中的事实就不再重要了，再次明确地说，您很容易受到病毒感染。

此外，更新的虚拟化技术还具有特殊的硬件考虑因素，我主要是在谈论软件虚拟化，其中来宾计算机代码由主机中的软件运行，因此对软件指令指针的溢出在我看来是极具挑战性的浪费时间。我完全不确定当我们处理启用了BIOS的hyper V或Xen等时，情况将如何改变-可能是虚拟机更孤立，或者由于vm在实际硬件中运行其代码而使情况更糟管道-实际上取决于“ BIOS虚拟化”的工作方式。

如果在VirtualBox中没有共享文件夹或使用任何设备功能，并且想要进一步确定，请查看VirtualBox窗口的底部：

您应该能够运行任何病毒，而不能在主机上感染任何病毒，尽管可以确保使防病毒软件保持运行状态。

您应该尝试使用Sandboxie（或任何其他沙盒工具）

完成后，它将隔离您的浏览器并删除所有内容。这样，即使您感染了病毒，也无法离开沙箱。

隔离沙箱的好处

• 安全的Web浏览：在Sandboxie的保护下运行Web浏览器意味着，浏览器下载的所有恶意软件都被捕获在沙箱中，并且可以被轻易丢弃。
• 增强的隐私性：在Web浏览时收集的浏览历史记录，Cookie和缓存的临时文件保留在沙箱中，不会泄漏到Windows中。
• 安全的电子邮件：可能隐藏在电子邮件中的病毒和其他恶意软件无法脱离沙盒，也无法感染您的真实系统。
• Windows保持精益：通过将软件安装到隔离的沙箱中，防止Windows磨损。