我正在玩虚拟机,不知怎么就发现自己进入了一个恶意网站(在虚拟机中 → Ubuntu、Firefox)。我绝对没有想到的是Avast 防病毒软件在我的主机上发送常见的“威胁已阻止”通知。
Avast 表示,威胁的来源是我在虚拟机上访问的网站。这怎么可能?我以为虚拟机应该与主机完全隔离。事实上,我想在主机上运行潜在的恶意软件之前,先在虚拟机上测试一下。这是怎么回事?
答案1
虚拟机无法完全隔离,因为它没有自己的硬件。它使用主机的硬件资源,例如磁盘、CPU、GPU 和网络适配器。
所有这些硬件均由 VM 通过 VirtualBox 及其虚拟驱动程序使用。
Avast Antivirus 正在监控主机的网络适配器,因此它可以监控来自主机或虚拟机的所有请求和响应。由于它在主机上运行,而不是在虚拟机中运行,您将在主机上看到它的通知和操作。
答案2
正如@harrymc 所说,这是由于网络配置造成的。
您可能已将 VirtualBox 中的网络适配器配置为 NAT。根据 Avast 的工作方式(免责声明:我没有运行它),您可以尝试:
- 将适配器配置为“桥接”适配器。
- 使用USB网络适配器并将USB设备导入虚拟机。
我在网络测试中使用了后者,主机无法干扰网络流量。
答案3
我自己也见过这种情况。部分问题在于虚拟机在主机硬件上运行,是的,但正如所提到的,杀毒软件不应该能够看到 HTTPS 流量(如果受感染的网站不仅仅是 HTTP 网站)。
有趣的部分就在这里。特别是 Avast Antivirus,以及其他一些此类工具实际上都安装了一个中间人代理,以便在出现病毒时读取您的加密网络流量。(Avast 还使用这些信息对人们如何使用互联网进行调查。)这也适用于整个网络连接,而不仅仅是您的浏览器(如果您想检查其他协议或服务,这是有意义的)。
一个很大的警告(除了隐私问题之外)是,在许多此类实施中,如果原始站点的证书不存在或已过期,则防病毒程序自己的证书会导致该站点仍然看起来“安全”,即使您通过更广泛的互联网建立的连接并不安全。
不过,关于沙盒逃逸,我之前曾多次在 Virtualbox 中遇到过各种操作导致整个操作系统崩溃的情况。这还不是沙盒逃逸(目前还不是),但这种 BSoD 可能表明正在运行一些设计有问题的代码,这些代码可能被利用来逃逸沙盒。
答案4
另一个可能的解决方案是从 VM 设置 VPN 连接。许多现代路由器都可以配置为 VPN 服务器。