Антивирусы и виртуальные машины.

[amcenter]

Наслышавшись об эпидемии вирусов, которые или удаляют или шифруют файлы, в настоящий момент для выхода в интернет использую виртуальную машину VirtualBox (win XP Prof 3SP и антивирус G Data, есть общая папка с полным доступом). Хотелось бы уточнить у пользователей кто давно использует систему виртуальных машин для обеспечения безопасности от вирусов, насколько вообще это действительно безопасно по личному опыту, существует ли возможность каким образом вирусу перехватить работу и хост машины, например через общую папку с полным доступом для виртуальной системы? На хост машине тоже антивирус другого производителя.

[mikh]

Присоединяюсь к вопросу

[SDA]

Виртуальная машина практически изолированна от основной, поэтому вероятность того, что вирус выползет за рамки отведенного ему пространства, очень мала. Так же, из гостевой ОС можно просматривать подозрительные сайты, практически не опасаясь за сохранность ПО на основной машине.
Но тут следует сделать небольшую поправку. Вероятность заражения все-таки есть. Вирус может выйти за пределы адресного пространства гостевой машины и начать заражать файлы основной. Всего у него есть три пути бегства из виртуальной машины: через back-door’ы, встроенные разработчиками, через виртуальную сеть, которую создает сама виртуальная машина, и через общие файлы, доступ к которым открывает пользователь. От первого случая мы защититься не можем (можем только надеяться, что вирус не знает о том, что находится на виртуальной машине), от второго может спасти хороший брандмауэр, а от третьего только наша бдительность.
Если не включена эмуляция локальной сети между хостом и виртуальной машиной (выход виртуалки в инет не в счет), а сама виртуалка поставлена на образ диска, у вируса вообще нет никакого доступа в "родную" ось. Однако установка антивиря-фаерволла и т.п. на виртуальной машине все равно необходима. Хотя... поставьте там Ubuntu (элементарно!) - и серфьте по насквозь провирусованным сайтам хоть круглые сутки - ничего не поймаете.

Добавлено через 12 минут

Добавлю:
Руткиты уже давно научились распознавать виртуальные машины, отказываясь от заражения в их присутствии, что ломает весь концепт. Мы устанавливаем программное обеспечение с руткитом на виртуальную машину, сравниваем образы, ничего не находим и, довольные собой, запускаем руткита в основную систему. Выходит, гарантировано обнаружить современных руткитов при помощи виртуальных машин невозможно!А если еще учесть большое количество дыр в эмуляторах, то руткит имеет все шансы заразить основную систему из гостевой машины. Выход? Либо использовать выделенную живую машину, либо надежную виртуальную машину с полной эмуляцией (например, Bochs). Это предотвратит вирусное вторжение, но, увы, не спасет от детекции виртуальной машины руткитом. Bochs содержит множество мелких дефектов эмуляции (ведет себя не как настоящий процессор), которые не препятствуют работе нормальных программ, но могут быть использованы для детекта эмулятора. К тому же, ЛЮБОЙ эмулятор несет на своем борту довольно специфический набор виртуального железа, по которому его легко опознать. И хотя при наличии исходных текстов мы можем воспрепятствовать этому — купить живой компьютер намного дешевле, чем корежить виртуальное железо.

Резюмируя вышесказанное, делаем вывод: виртуальные машины – не слишком-то надежный загон для вирусов, хотя если не быть параноиком, то (с учетом низкого качества подавляющего большинства вирусов и руткитов) лучше использовать виртуальную машину, чем всецело полагаться на антивирусы.

[mikh]

Большое спасибо за развернутый ответ. Не могли бы Вы уточнить некоторые детали?

>back-door’ы, встроенные разработчиками

Что из VM посоветуете в плане надежности производителя (понятно, что 100% гарантии никто не даст)? Например, каково Ваше мнение о VirtualBox от Sun?

>эмуляция локальной сети между хостом и виртуальной машиной (выход виртуалки в инет не в счет)

Правильно ли я понял, что сам по себе доступ виртуальной машины в сеть для основной системы опасности не представляет, если между основной и гостевой системой не эмулируется локальная сеть?

>и серфьте по насквозь провирусованным сайтам хоть круглые сутки - ничего не поймаете.

Т.е. если речь идет о простом серфинге, а не об экспериментах с неизвестным программным обеспечением, то виртуалка - это надежное решение?

[SDA]

1. Backdoor нужен для того, что определяет его название – back door – незаметный проход, задняя дверь. Программы, обеспечивающие вход в систему или получение привилегированной функции (режима работы) в обход существующей системы
полномочий, называют люками (back door). Люки часто оставляются разработчиками соответствующих компонент операционной системы для
того, чтобы завершить тестирование или исправить какую-то ошибку, но нередко продолжают существовать и после того, как то, для чего они планировались, завершено или необходимость в нем отпала.
2. Неплохая виртуалка, система виртуализации для Windows, Linux и Mac OS хостов, поддерживает операционные системы Windows, Linux, OS/2 Warp, OpenBSD и FreeBSD в качестве гостевых. На мой взгляд это производительная и простая в развертывании и эксплуатации платформа виртуализации с открытым исходным кодом.
3. Лучше почитать http://wiki.archlinux.org/index.php/...BA%D0%B8%D0%B9)
http://www.citforum.ru/operating_systems/seven/
4. Да
5. Убунта это не Windows http://www.openkazan.info/node/1219
6. На мой взгляд да, хотя мне предпочтительнее Акронис, где, кроме основной функции резервного копирования есть функция TryDecide которая позволяет создать безопасное, контролируемое временное рабочее пространство (виртуальный диск) на компьютере без необходимости установки специальных программ виртуализации. Можно выполнять различные операции в системе, не беспокоясь о том, что они могут привести к повреждению операционной системы, программ или данных. С использованием данной функции можно пробовать такие операции, как открытие вложений в письма электронной почты от незнакомых отправителей, установка и запуск новых программ или посещение Web-сайтов с потенциально небезопасным контентом и т.д. Можно хоть весь реестр удалить, до следующей перезагрузки

[santy]

Я использую VMWare. Перед тестированием нового (бета-версий) софта, обязательно создаю (если нет ранее созданного чистого образа) снэпшот (Take Snapshot) текущего состояния виртуальной машины, чтобы после завершения можно было выполнить откат. (Revert to Snapshot). Для анализа действий запускаемого вируса можно запустить Process Monitor из набора SysinternalsSuite чтобы определить его влияние в системы: создаваемые файлы, записи реестра и проч. Далее, можно практиковать антивирусные инструменты для лечения системы + revert to snapshot. ЗАражений основной системы не было.

[mikh]

А я полагал, что функция Акрониса TryDecide - это только к установке нового программного обеспечения относится. А оказывается в этом виртуальном пространстве еще и серфить можно. Большое спасибо за подсказку. Давно к Акронису присматриваюсь.

[SDA]

А я полагал, что функция Акрониса TryDecide - это только к установке нового программного обеспечения относится. А оказывается в этом виртуальном пространстве еще и серфить можно. Большое спасибо за подсказку. Давно к Акронису присматриваюсь.

Там есть еще интересные фичи - Acronis Drive Cleanser, Шредер файлов и Очистка системы, которые помогают защитить конфиденциальную информацию путем гарантированного удаления данных, очистки системы или даже полного уничтожения всех данных на жестком диске.
Функция клонирования дисков и перехода на новое оборудование -облегчает добавление в систему новых жестких дисков и переход на новое оборудование, избавляет от необходимости полной переустановки и настройки системы и программ.
И все удовольствие 500 рублей Окупиться на 100%

[mikh]

А как насчет надежности производителя (тех же самых бэкдоров)? Просто в последнее время я стараюсь устанавливать open source программы как более надежные в этом отношении (хотя, возможно, это заблуждение).

[SDA]

А как насчет надежности производителя (тех же самых бэкдоров)? Просто в последнее время я стараюсь устанавливать open source программы как более надежные в этом отношении (хотя, возможно, это заблуждение).

А кто даст такую надежность? Даже Microsoft в этом обвиняют и доказательств обратного пока нет