【TechTarget中国原创】问:虚拟产品在防御恶意软件方面有什么作用?
答:如果使用得当,他们可以产生很好的效果。使用现在的攻击技术,只要主机和客户机经过了仔细地修补和强化,受感染的客户机不可能感染基本的主机操作系统和其它客户机。
因此,举例来说,如果需要调查某个特定的恶意软件样本或者浏览某个可能不可信的网站时,可能就会想要使用客户机。首先,在原始的客户机操作系统上设置一个恢复点(也称之为还原点)。然后,再上网或者运行恶意软件进行分析。这样,病毒感染基本系统的可能性很小。运行完恶意软件之后,可以单击虚拟化产品中的恢复按钮,并且恢复到原始系统。为了完成所有这些操作,你甚至可以使用运行免费VMware Player 产品的VMware公司的免费虚拟浏览器应用。然而,限制相当大。要再次恢复到原始的客户机,可以使用VMware Player,并且只要从原像中导入到客户机应用中即可。
但是这个方法并非万无一失。越来越多的恶意软件都在设法检测其是否在虚拟机中运行。如果精明的恶意软件认出所处在这样的环境中,它就会改变功能,并且隐藏或者改变一些最引人注意的功能。因此,如果你喜欢分析恶意软件,那么可能想要确认恶意软件是否在检测虚拟机。欲了解关于这个问题的更多信息,请查阅我和同事Tom Liston共同编写的相关文章(pdf格式)。在本文中,我们介绍了一些技术,可以缓解对Vmware的检测。
要关注的另外一点是也许有一天,恶意代码会跳离虚拟机,从一台客户机转入另一台,甚至进入主机本身。这些攻击很难实现,而且到本文为止,还没有公布可以进行此类攻击的代码。虽然这是个多变的研究领域,但是目前还处于理论阶段。