虚拟机运行国产软件真的安全吗?

2020-08-15 03:17:30 +08:00
 0x6c696e71696e67
国产软件大家都懂的,通常会在后台扫硬盘,但是工作,生活上也脱离不了这些软件,大多数有安全意识的都不会在实体机上安装,通常把这些软件放在虚拟机上运行,但是虚拟机也不是 100%安全的,如果软件检测到虚拟机环境,会不会利用已知的虚拟机漏洞入侵宿主机?或者是软件厂商发现了漏洞,也不上报给虚拟机厂商,而是偷偷使用这些漏洞,目前本人所知的虚拟机最出名的漏洞是虚拟机逃逸
8330 次点击
所在节点    问与答
56 条回复
xcstream
2020-08-15 19:29:58 +08:00
虚拟机逃逸有这个可能性 但是低于被楼上花盆砸中的几率
yzkcy
2020-08-15 19:32:20 +08:00
这帖子感觉是故意引战的吧?
Cooky
2020-08-15 19:34:46 +08:00
你要是担心就在虚拟机里再套一层虚拟机(
Jirajine
2020-08-15 19:51:54 +08:00
@al0ne 这个有点厉害,这种手法直到今天依旧有效,尤其是考虑到国家可能掌握了一些可用于中间人的 CA 证书。
起码做到一些比较容易的防御措施:
1. 绝对不在宿主机上运行任何国产软件。
2. TLS 不完全可信,软件不自动更新并且下载内容额外校验(很多包管理工具已经自动这么做了)
3. 在自己网络部署 dns 劫持,丢弃无法识别的流量。
limuyan44
2020-08-15 19:54:34 +08:00
这些虚拟机漏洞一定是外国人故意留得!!
maskerTUI
2020-08-15 20:22:23 +08:00
绝大多数的软件都会收集它想要的信息,不论是国内国外的软件。至于利用虚拟机逃逸这种漏洞来收集你的物理机信息,很明确的告诉你正常软件都不会这么做。
baobao1270
2020-08-16 00:01:03 +08:00
大多数人并没有使用这种大杀器的价值

从楼主用户名和发言语气来看,可能是从事敏感行业或活动的人员,建议使用物理断网隔离设备、网闸等专业设备,另外请特别注意社会工程学攻击
x86
2020-08-16 00:19:33 +08:00
0day 就这么廉价了?
crab
2020-08-16 01:34:31 +08:00
这类漏洞便宜都要十几万美金。
Dvel
2020-08-16 02:04:40 +08:00
虚拟机逃逸漏洞又名别天神,是宇智波家族万花筒写轮眼的最强幻术,可以逃脱秽土转生的限制。
zy8848
2020-08-16 02:14:01 +08:00
处理器和操作系统的漏洞你怎么防?

@baobao1270 估计就是个被洗脑的应届生
msg7086
2020-08-16 08:47:55 +08:00
如果能私底下发现这种级别的 0day 漏洞,那就应该有能力干掉国内外各种大型云主机厂商。这么高危的漏洞已经是国家战略武器级的东西了,别说拿来收集你的个人信息了,放在军方或者国防部那都是绝密信息,泄露出来怕是要掉脑袋的。

至于已知漏洞,倒也是有可能的,但是研发成本和用户基数不成比例。比如说国产软件装机量 1 亿台,其中用虚拟机装的只有 1 万台。你为了这 0.01%的用户,专门去写了模块试探漏洞,还要逃逸,真当程序员不要钱啊。

今天你做老板,你让程序员研发,一万块钱研发成本可以在 1 亿电脑上偷数据,再加十万块钱可以在剩下的 1 万电脑上偷数据,这十万你花吗。
oneoy
2020-08-16 11:33:45 +08:00
我一般会放到 vps 上
ipixeloldc
2020-08-16 11:34:42 +08:00
话说腾讯系的用 TP 的那种,在虚拟机里面跑,小心封号....
594duck
2020-08-16 15:41:54 +08:00
虚拟机逃逸比 docker 难多了。所以 docker 的安全一大方法就是先开个 qemu,在 qemu 里开 docker 。

但是土楼上所说虚拟机会自己表示自己是虚拟机。但是要攻击还是很有难度的。

所以你要看你怎么定义这个安全,以及隔离
mbv2e
2021-09-24 19:10:53 +08:00
@delectate 检测到是虚拟机?这个一般软件都不自带,特别是 web 访问的时候,也不需要安装。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/698386

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX