逃避Virtualbox类型的入侵检测？

Question

是否有一种方法可以运行入侵检测，如果有任何东西试图逃离Virtualbox？

谢谢。

Answer 1

在一般意义上，您可以使用标准的安全工具来完成这一任务。注意:在发生这样的攻击之前，很难知道从VM中检测到这一点的所有方法，而在访问到Host之后则要容易得多。

要在程序试图逃避时检测到它，您必须监视VM。

要检测已经逃脱的东西，您需要监视Host。因此，工具的放置是很重要的，并且与你提出问题的方式有关。

尽管如此，假设您对Host的使用非常严格，只用于托管Virtualbox VM，那么在Host上设置许多系统监视以查找异常行为是很容易的。您还可以大大提高日志记录级别，因为在VirtualBox软件中，主机操作系统上唯一真正活跃的东西应该是软件。这使得用户/系统访问和其他类型的活动非常容易发现，如果您没有在Host上运行其他东西。

理论上，如果您对基本操作系统没有做太多工作，那么如果有人开始访问Host，就很容易发现异常的使用模式。这就是说，如果这是你的主要笔记本电脑，你会在日志中产生很多噪音，这将使你很难做到这一点。

IDS/IPS/其他和安全工具，特别是监视系统调用的操作系统安全工具，可以很容易地放在VM OS和Host上，因此，如果您正在考虑的攻击能够被检测到，并且不是真正的零天攻击，那么当使用适当配置的入侵检测/预防系统时，它们应该可以检测到。