如何在绕过主机的同时将USB设备连接到虚拟机？

Question

不时地将不受信任的USB设备连接到我的计算机上是有用的.如果我能把它直接连接到虚拟机，绕过主机。那对我来说就足够安全了。我意识到这不是零风险，但这已经足够了。

然而，在VirtualBox中，没有明显的方法可以做到这一点。如果设备连接到主机，则可以将其重新连接到VM。但是到那时已经太晚了-- USB键盘可能已经输入了恶意的按键，或者USB CD可能有自动运行的恶意软件。

有没有一种直接连接到VM的方法？我对使用任何虚拟化软件的答案都很满意。

Answer 1

你这里有鸡和蛋的问题。为了让虚拟机管理程序直接将USB设备提供给VM，它必须首先能够识别它，方法是将其供应商id和产品id与为客户声明的标识进行比较。

因此，您可以(在Windows主机上的最新VirtualBox版本上)直接将一个USB设备传递给客户，只需要主机(*)的最小操作(只读取id，但不要挂载设备)，前提是您可以确定供应商id和产品id。但你不能知道在你安装这个装置之前.而且我只在Windows上使用VBox，所以对于其他主机OSs，我不能说得更多。

(*)根据其文档，VirtualBox声明

在Windows主机上，内核模式设备驱动程序提供USB代理支持。它实现了一个USB监视器(它允许VirtualBox在插入设备时捕获设备)和一个USB设备驱动程序( USB设备驱动程序)来声明一个特定虚拟机的USB设备。

Answer 2

您是正确的--当USB设备到达Guest时，几乎总是太晚了--特别是如果您没有使用裸金属管理程序(例如，与VirtualBox一样)。

这里有更多信息：https://security.stackexchange.com/a/167206/149485