一个典型的研究人员如何才能防止VM越狱呢？

Question

我在这里读到了一个关于大公司如何保护自己的相似问题，并对如何将其转移到不太重要的操作(即安全研究人员、小公司等)产生了兴趣。

我认识到，恶意软件分析不应该在有价值信息的机器上进行，而且现实地说，如果消费者设备受到攻击，它们必须拥有相当有价值的信息，否则漏洞就会被公开发布，届时补丁可能也会被公开发布。关于VM的一般信息 共识似乎是在“现实生活”中逃逸的，这是因为它们太罕见/太难被利用，不会构成威胁。

所以这更像是一个理论问题。有什么方法可以防止逃避，而不工程严重硬化的管理程序？我的第一个解决方案(也是现在唯一的)是VM中的VM (这显然会带来性能差、根据这个有点过时的服务器错误线程、不稳定的缺点)，所以不太理想，我想知道是否有一种“更好”的方法。

Answer 1

你真的不需要担心你想要分析的恶意软件，逃离虚拟机监控程序。事实上，如果检出虚拟化，恶意软件实际上拒绝运行并不少见。写得好的恶意软件将具有反调试和反逆向工程的功能，因为作者想要减缓任何针对它的攻击。如果恶意软件知道它很可能是由恶意软件分析师运行，那么作者就会愚蠢地燃烧一天可能很有价值的一天。

对于您作为恶意软件分析师来说，这不是一个问题的另一个原因是，最复杂的恶意软件(可以合理地期望它能够执行虚拟机管理程序转义)将受到行刑护栏的保护。恶意软件只会下载第二阶段的有效载荷，如果它认为它是它的预定目标，这不太可能是一个虚拟机。

不，嵌套虚拟机不会提高安全性。相反，由于嵌套的VT要求在CPU和内核中都启用额外的功能，因此增加了攻击的表面积。