V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
0x6c696e71696e67
V2EX  ›  问与答

虚拟机运行国产软件真的安全吗?

  •  1
     
  •   0x6c696e71696e67 · 2020-08-15 03:17:30 +08:00 · 8330 次点击
    这是一个创建于 1593 天前的主题,其中的信息可能已经有所发展或是发生改变。
    国产软件大家都懂的,通常会在后台扫硬盘,但是工作,生活上也脱离不了这些软件,大多数有安全意识的都不会在实体机上安装,通常把这些软件放在虚拟机上运行,但是虚拟机也不是 100%安全的,如果软件检测到虚拟机环境,会不会利用已知的虚拟机漏洞入侵宿主机?或者是软件厂商发现了漏洞,也不上报给虚拟机厂商,而是偷偷使用这些漏洞,目前本人所知的虚拟机最出名的漏洞是虚拟机逃逸
    56 条回复    2021-09-24 19:10:53 +08:00
    kaiki
        1
    kaiki  
       2020-08-15 03:37:30 +08:00
    明目张胆搞这种事和木马就没什么区别了吧
    vk42
        2
    vk42  
       2020-08-15 03:38:38 +08:00
    虚机逃逸没有那么简单,主要是概念验证,只要你的虚拟机软件来源正经而且保持更新,基本可以不用考虑这个。不然云主机厂商早都破产了……
    wafm
        3
    wafm  
       2020-08-15 03:42:30 +08:00
    虚拟机逃逸的这种洞一般不会拿来做这种收益与成本不相符的事情
    0x6c696e71696e67
        4
    0x6c696e71696e67  
    OP
       2020-08-15 03:53:39 +08:00
    @kaiki 以“如何防止虚拟机被检测到”作关键词搜一下,都会出现好多案例,都是被检测出虚拟机环境被禁止使用的,有的软件发现是虚拟环境而乖乖的不敢做其它事,说明一些厂商是会检测环境的,至于作不作恶,真的看不出
    0x6c696e71696e67
        5
    0x6c696e71696e67  
    OP
       2020-08-15 03:56:26 +08:00
    @wafm 如果国内这些厂商是“奉旨”收集数据的,很难相信他们不会利用这些漏洞,而我们用虚拟机就是防止被他们收集数据的
    0x6c696e71696e67
        6
    0x6c696e71696e67  
    OP
       2020-08-15 04:01:28 +08:00
    @vk42 官网下载的虚拟机,用第三方的密钥激活,这种算不算正经的?好多个人都是用这种方法的吧
    fline
        7
    fline  
       2020-08-15 04:21:35 +08:00   ❤️ 1
    从解决问题的角度考虑,你能给出比虚拟机更安全的解决方案吗,如果不能的话,就算虚拟机不够安全,那也得用。
    vk42
        8
    vk42  
       2020-08-15 04:45:32 +08:00 via Android
    @0x6c696e71696e67
    正经不正经看官方用户协议
    另外你说的虚拟检测不算什么歪门邪道,大多数软件也是出于自我保护的目的。而且像 VMware 这类虚拟机是要刻意提供虚拟机特征字段用来检测的,可以参考 VMware 自己的官方 KB
    ysc3839
        9
    ysc3839  
       2020-08-15 04:53:00 +08:00 via Android
    当然是有这种风险的。如果你无法接受这种风险,那还是建议物理隔离。
    WebKit
        10
    WebKit  
       2020-08-15 07:11:19 +08:00 via Android
    @0x6c696e71696e67 虚拟机被检测比虚拟机逃逸不是一个难度的。虚拟机利用一些特征很容易检测的
    jim9606
        11
    jim9606  
       2020-08-15 07:17:17 +08:00
    基本上不是盯着你黑或者你有极高的攻击价值,都不值得动用虚拟机逃逸漏洞。

    也不要觉得漏洞是万能的,没你想象中那么强大。

    至于奉旨收集信息的问题,我不知道奉什么旨,以及收集啥?真要跟踪用户都用不着偷偷摸摸,明示不就行了,例如要求登录账户什么的,你用物理隔离都没用。

    至于虚拟机来源问题,微软有提供专用镜像,实际上按照微软的 EULA 完全可以不激活。
    avrillavigne
        12
    avrillavigne  
       2020-08-15 07:23:20 +08:00
    想太多系列。。
    delectate
        13
    delectate  
       2020-08-15 07:30:18 +08:00
    一般会有两个可能:
    检测到是虚拟机,不运行恶意代码,乖巧温顺的像个小恶魔;
    或者,利用 0day 漏洞逃逸,进而攻击 host 。这个可能性不太大,因为太明显了,但是不要小瞧,国内很多厂商,比如三个数字组的“派”厂就肯定能做。
    snnn
        14
    snnn  
       2020-08-15 08:36:43 +08:00
    那你直接运行 hyper-v 呗
    nosmile
        15
    nosmile  
       2020-08-15 09:01:14 +08:00   ❤️ 2
    手里有虚拟机逃逸级别的漏洞,就为了偷你点个人信息? naive
    opengps
        16
    opengps  
       2020-08-15 09:20:04 +08:00   ❤️ 1
    安全不安全另说,我知道非国产软件同样有问题
    hakono
        17
    hakono  
       2020-08-15 09:20:40 +08:00 via Android   ❤️ 8
    看这标题本来还以为开玩笑,结果看下来楼主你这简直是被害妄想症
    先不说国内大部分软件公司有没有能力发现虚拟机逃逸漏洞,就当真发现了,发现了个逃逸漏洞然后广泛分发,目的就是为了收集信息??“暴殄天物”也不带你这么做的。虚拟机作为现在所有云服务的基础,一个可以简单广泛大范围实用的逃逸漏洞,被你拿来收集信息,黑产听到可能得被你气到吐血吧。
    Kiriya
        18
    Kiriya  
       2020-08-15 09:22:14 +08:00
    用 win10 自带沙盒
    yujiang
        19
    yujiang  
       2020-08-15 10:42:01 +08:00 via Android
    那就物理隔离,专门装台小一千的机器来运行这些流氓软件
    whypool
        20
    whypool  
       2020-08-15 11:43:36 +08:00
    就你那点个人信息真不值得,还上漏洞,高风险 0 收益真当公司是开慈善的
    felixcode
        21
    felixcode  
       2020-08-15 12:09:36 +08:00 via Android
    还是别用的,怎么用都风险太高
    uqf0663
        22
    uqf0663  
       2020-08-15 12:41:46 +08:00 via Android
    @0x6c696e71696e67 #5 我一个现实的美吹朋友就是阴谋论传播者+想太多,把自己过得那么辛苦,何必呢?
    hoyixi
        23
    hoyixi  
       2020-08-15 13:01:02 +08:00
    想得挺多。不过,至少作起恶来,比你直接安装,要概率小,费劲不是
    0x6c696e71696e67
        24
    0x6c696e71696e67  
    OP
       2020-08-15 15:06:04 +08:00
    @yujiang 目前还真有这打算,准备收一台没屏幕的笔记本或 NUC,然后通过远程桌面控制
    0x6c696e71696e67
        25
    0x6c696e71696e67  
    OP
       2020-08-15 15:12:38 +08:00
    @hakono 这个还真不是被害妄想症,之前就试过被收集过科学软件的节点信息,IP 被封过几次,所以现在我安装国产软件都特别小心
    yngzij
        26
    yngzij  
       2020-08-15 15:53:44 +08:00 via iPhone
    之前工作的公司做软件的,的确会搜集用户信息,楼主的考虑很有必要。
    LifStge
        27
    LifStge  
       2020-08-15 16:39:11 +08:00
    @yngzij 这种软件做的恶大家都知道 关键是楼主的标题是 能否越过虚拟机的隔离继续作恶呢 这是问题....
    SM2U
        28
    SM2U  
       2020-08-15 16:47:08 +08:00
    看编程随想的博客吧。总之,国产软件都是木马,须要慎重地处理。
    mtrec
        29
    mtrec  
       2020-08-15 16:59:03 +08:00 via Android
    @0x6c696e71696e67 没别的意思 就好奇问问 你有石锤是因为装了哪个国产软件然后被国产软件收集了节点信息导致被封吗?因为太多可能导致被封的原因了 没数据支持怎么说都行
    nevin47
        30
    nevin47  
       2020-08-15 17:08:11 +08:00
    IP 被封根本不需要本地采集,流量分析太容易了……

    另外虚机逃逸如果是 0day 漏洞,那直接上云去分分钟就是千万黑产了,不会用来干这事儿的。话说最近几年主流虚拟层已经没有怎么出现能简单利用的逃逸漏洞了(理论上也越发困难了)
    0x6c696e71696e67
        31
    0x6c696e71696e67  
    OP
       2020-08-15 17:09:05 +08:00   ❤️ 1
    @mtrec 老实说,你要我实锤是哪个软件收集的,我真做不到,那时候电脑上有很多国产软件的,当时被封 IP 也没怀疑到,后来接触到“逗比”这个网站,逗比说国产软件会收集数据,那时候逗比也公开共享几个节点,也明确说明不准在有国产软件的机器上用这些节点,之后我重装系统,没装过国产软件,IP 被封几率也少了,都是在一些敏感期出问题
    jdgui
        32
    jdgui  
       2020-08-15 17:31:50 +08:00
    你掌握了瞬移技术,会拿他来送快递嘛?
    人家有那个技术拿来收集你的信息?你觉得这可能吗?
    虚机逃逸被发现了虚拟机就升级了,人家有必要为了你的信息那几毛几块的暴露一个价值不可计量的 0Day 漏洞吗
    love
        33
    love  
       2020-08-15 17:34:37 +08:00
    大规模使用==公开漏洞利用
    可以虚机逃逸的漏洞就这么公开让人看然后很快被修复,成本收益呢
    Cielsky
        34
    Cielsky  
       2020-08-15 17:48:16 +08:00 via Android
    被害妄想症
    waterboy
        35
    waterboy  
       2020-08-15 18:25:54 +08:00
    楼主是神盾局特工?
    你有神马秘密值得用这么昂贵的在野漏洞,说句不怕你生气的话,你配得上?
    shanks
        36
    shanks  
       2020-08-15 18:33:22 +08:00
    被害妄想症。。。
    宿主机跑 Linux,虚机跑 win,够不够?
    delectate
        37
    delectate  
       2020-08-15 18:46:08 +08:00
    都觉得自己的软件是白莲花,没有恶意行为吗?

    难道忘记了暴风影音导致全国断网的黑历史了?这种情况现如今只会更多!
    云端控制+刷广告+盗取隐私,没发案只是因为没有“利用”而已,不然你觉得为什么广告如此“精准”?输入法和 qq 、微信就得把锅背起来!

    国产软件,就是木马,无一例外。
    yuange1975
        38
    yuange1975  
       2020-08-15 19:01:36 +08:00
    虚拟机系统也有指纹的
    al0ne
        39
    al0ne  
       2020-08-15 19:05:04 +08:00
    nicevar
        40
    nicevar  
       2020-08-15 19:22:49 +08:00
    @0x6c696e71696e67 你被封估计是自己太作了,自己往炮口上撞那种,我的梯子 10 来年都没被封过,国产软件随便用,你连被封的原因都分析不清楚,还上升到虚拟机有啥意义
    xcstream
        41
    xcstream  
       2020-08-15 19:29:58 +08:00
    虚拟机逃逸有这个可能性 但是低于被楼上花盆砸中的几率
    yzkcy
        42
    yzkcy  
       2020-08-15 19:32:20 +08:00
    这帖子感觉是故意引战的吧?
    Cooky
        43
    Cooky  
       2020-08-15 19:34:46 +08:00
    你要是担心就在虚拟机里再套一层虚拟机(
    Jirajine
        44
    Jirajine  
       2020-08-15 19:51:54 +08:00 via Android
    @al0ne 这个有点厉害,这种手法直到今天依旧有效,尤其是考虑到国家可能掌握了一些可用于中间人的 CA 证书。
    起码做到一些比较容易的防御措施:
    1. 绝对不在宿主机上运行任何国产软件。
    2. TLS 不完全可信,软件不自动更新并且下载内容额外校验(很多包管理工具已经自动这么做了)
    3. 在自己网络部署 dns 劫持,丢弃无法识别的流量。
    limuyan44
        45
    limuyan44  
       2020-08-15 19:54:34 +08:00
    这些虚拟机漏洞一定是外国人故意留得!!
    maskerTUI
        46
    maskerTUI  
       2020-08-15 20:22:23 +08:00
    绝大多数的软件都会收集它想要的信息,不论是国内国外的软件。至于利用虚拟机逃逸这种漏洞来收集你的物理机信息,很明确的告诉你正常软件都不会这么做。
    baobao1270
        47
    baobao1270  
       2020-08-16 00:01:03 +08:00
    大多数人并没有使用这种大杀器的价值

    从楼主用户名和发言语气来看,可能是从事敏感行业或活动的人员,建议使用物理断网隔离设备、网闸等专业设备,另外请特别注意社会工程学攻击
    x86
        48
    x86  
       2020-08-16 00:19:33 +08:00 via iPhone
    0day 就这么廉价了?
    crab
        49
    crab  
       2020-08-16 01:34:31 +08:00
    这类漏洞便宜都要十几万美金。
    Dvel
        50
    Dvel  
       2020-08-16 02:04:40 +08:00
    虚拟机逃逸漏洞又名别天神,是宇智波家族万花筒写轮眼的最强幻术,可以逃脱秽土转生的限制。
    zy8848
        51
    zy8848  
       2020-08-16 02:14:01 +08:00
    处理器和操作系统的漏洞你怎么防?

    @baobao1270 估计就是个被洗脑的应届生
    msg7086
        52
    msg7086  
       2020-08-16 08:47:55 +08:00
    如果能私底下发现这种级别的 0day 漏洞,那就应该有能力干掉国内外各种大型云主机厂商。这么高危的漏洞已经是国家战略武器级的东西了,别说拿来收集你的个人信息了,放在军方或者国防部那都是绝密信息,泄露出来怕是要掉脑袋的。

    至于已知漏洞,倒也是有可能的,但是研发成本和用户基数不成比例。比如说国产软件装机量 1 亿台,其中用虚拟机装的只有 1 万台。你为了这 0.01%的用户,专门去写了模块试探漏洞,还要逃逸,真当程序员不要钱啊。

    今天你做老板,你让程序员研发,一万块钱研发成本可以在 1 亿电脑上偷数据,再加十万块钱可以在剩下的 1 万电脑上偷数据,这十万你花吗。
    oneoy
        53
    oneoy  
       2020-08-16 11:33:45 +08:00 via Android
    我一般会放到 vps 上
    ipixeloldc
        54
    ipixeloldc  
       2020-08-16 11:34:42 +08:00 via iPhone
    话说腾讯系的用 TP 的那种,在虚拟机里面跑,小心封号....
    594duck
        55
    594duck  
       2020-08-16 15:41:54 +08:00 via iPhone
    虚拟机逃逸比 docker 难多了。所以 docker 的安全一大方法就是先开个 qemu,在 qemu 里开 docker 。

    但是土楼上所说虚拟机会自己表示自己是虚拟机。但是要攻击还是很有难度的。

    所以你要看你怎么定义这个安全,以及隔离
    mbv2e
        56
    mbv2e  
       2021-09-24 19:10:53 +08:00
    @delectate 检测到是虚拟机?这个一般软件都不自带,特别是 web 访问的时候,也不需要安装。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1147 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 18:36 · PVG 02:36 · LAX 10:36 · JFK 13:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.