在VM关闭后，VM中的恶意软件是否仍在运行？

Question

假设VMWare或VirtualBox正在运行Debian的最新版本。我不确定客户机中的任何程序是否可以继续运行，从主机窃取数据，即使在来宾系统关闭之后也是如此。

Answer 1

如果您的恶意软件设法逃脱VM以在主机操作系统下运行，则有可能。它被俗称为VM逃逸或客栈逃逸。大多数(如果不是所有的话)虚拟机监控程序都有一些bug，这给攻击者提供了一种在历史上这样做的方法。

举几个例子，非详尽无遗的列表(更长的列表可以在前面链接的维基百科文章中找到)：

• VMware CVE-2018-6981
• HyperV CVE-2017-0075
• Xen CVE-2008-1943

因此，如果允许在VM上运行任意代码(例如，您是一个IaaS提供程序)，那么保持系统管理程序补丁非常重要，如果攻击者首先需要破坏VM，那么就稍微少了一点。

Answer 2

“运行”意味着由CPU执行(通常是从RAM)。

当关闭客户操作系统时，它将停止执行，从RAM中卸载，其RAM区域被释放，客户操作系统成为大容量存储中的位和字节，因此它不再由CPU执行，因此答案是“这是不可能的”。

Answer 3

只有当恶意软件设法将自己从VM传播到主机时，这是非常不可能的。