这是一个创建于 1560 天前的主题,其中的信息可能已经有所发展或是发生改变。
国产软件大家都懂的,通常会在后台扫硬盘,但是工作,生活上也脱离不了这些软件,大多数有安全意识的都不会在实体机上安装,通常把这些软件放在虚拟机上运行,但是虚拟机也不是 100%安全的,如果软件检测到虚拟机环境,会不会利用已知的虚拟机漏洞入侵宿主机?或者是软件厂商发现了漏洞,也不上报给虚拟机厂商,而是偷偷使用这些漏洞,目前本人所知的虚拟机最出名的漏洞是虚拟机逃逸
 |
1
kaiki 2020-08-15 03:37:30 +08:00
明目张胆搞这种事和木马就没什么区别了吧
|
 |
2
vk42 2020-08-15 03:38:38 +08:00
虚机逃逸没有那么简单,主要是概念验证,只要你的虚拟机软件来源正经而且保持更新,基本可以不用考虑这个。不然云主机厂商早都破产了……
|
 |
3
wafm 2020-08-15 03:42:30 +08:00
虚拟机逃逸的这种洞一般不会拿来做这种收益与成本不相符的事情
|
 |
4
0x6c696e71696e67 OP @kaiki 以“如何防止虚拟机被检测到”作关键词搜一下,都会出现好多案例,都是被检测出虚拟机环境被禁止使用的,有的软件发现是虚拟环境而乖乖的不敢做其它事,说明一些厂商是会检测环境的,至于作不作恶,真的看不出
|
|
5
0x6c696e71696e67 OP @wafm 如果国内这些厂商是“奉旨”收集数据的,很难相信他们不会利用这些漏洞,而我们用虚拟机就是防止被他们收集数据的
|
|
6
0x6c696e71696e67 OP @vk42 官网下载的虚拟机,用第三方的密钥激活,这种算不算正经的?好多个人都是用这种方法的吧
|
 |
7
fline 2020-08-15 04:21:35 +08:00  1
从解决问题的角度考虑,你能给出比虚拟机更安全的解决方案吗,如果不能的话,就算虚拟机不够安全,那也得用。
|
|
8
vk42 2020-08-15 04:45:32 +08:00 via Android
@0x6c696e71696e67
正经不正经看官方用户协议 另外你说的虚拟检测不算什么歪门邪道,大多数软件也是出于自我保护的目的。而且像 VMware 这类虚拟机是要刻意提供虚拟机特征字段用来检测的,可以参考 VMware 自己的官方 KB |
 |
9
ysc3839 2020-08-15 04:53:00 +08:00 via Android
当然是有这种风险的。如果你无法接受这种风险,那还是建议物理隔离。
|
 |
10
WebKit 2020-08-15 07:11:19 +08:00 via Android
@0x6c696e71696e67 虚拟机被检测比虚拟机逃逸不是一个难度的。虚拟机利用一些特征很容易检测的
|
 |
11
jim9606 2020-08-15 07:17:17 +08:00
基本上不是盯着你黑或者你有极高的攻击价值,都不值得动用虚拟机逃逸漏洞。
也不要觉得漏洞是万能的,没你想象中那么强大。 至于奉旨收集信息的问题,我不知道奉什么旨,以及收集啥?真要跟踪用户都用不着偷偷摸摸,明示不就行了,例如要求登录账户什么的,你用物理隔离都没用。 至于虚拟机来源问题,微软有提供专用镜像,实际上按照微软的 EULA 完全可以不激活。 |
 |
12
avrillavigne 2020-08-15 07:23:20 +08:00
想太多系列。。
|
 |
13
delectate 2020-08-15 07:30:18 +08:00
一般会有两个可能:
检测到是虚拟机,不运行恶意代码,乖巧温顺的像个小恶魔; 或者,利用 0day 漏洞逃逸,进而攻击 host 。这个可能性不太大,因为太明显了,但是不要小瞧,国内很多厂商,比如三个数字组的“派”厂就肯定能做。 |
 |
14
snnn 2020-08-15 08:36:43 +08:00
那你直接运行 hyper-v 呗
|
 |
15
nosmile 2020-08-15 09:01:14 +08:00 2
手里有虚拟机逃逸级别的漏洞,就为了偷你点个人信息? naive
|
 |
16
opengps 2020-08-15 09:20:04 +08:00 1
安全不安全另说,我知道非国产软件同样有问题
|
 |
17
hakono 2020-08-15 09:20:40 +08:00 via Android 8
看这标题本来还以为开玩笑,结果看下来楼主你这简直是被害妄想症
先不说国内大部分软件公司有没有能力发现虚拟机逃逸漏洞,就当真发现了,发现了个逃逸漏洞然后广泛分发,目的就是为了收集信息??“暴殄天物”也不带你这么做的。虚拟机作为现在所有云服务的基础,一个可以简单广泛大范围实用的逃逸漏洞,被你拿来收集信息,黑产听到可能得被你气到吐血吧。 |
 |
18
Kiriya 2020-08-15 09:22:14 +08:00
用 win10 自带沙盒
|
 |
19
yujiang 2020-08-15 10:42:01 +08:00 via Android
那就物理隔离,专门装台小一千的机器来运行这些流氓软件
|
 |
20
whypool 2020-08-15 11:43:36 +08:00
就你那点个人信息真不值得,还上漏洞,高风险 0 收益真当公司是开慈善的
|
 |
21
felixcode 2020-08-15 12:09:36 +08:00 via Android
还是别用的,怎么用都风险太高
|
 |
22
uqf0663 2020-08-15 12:41:46 +08:00 via Android
@0x6c696e71696e67 #5 我一个现实的美吹朋友就是阴谋论传播者+想太多,把自己过得那么辛苦,何必呢?
|
 |
23
hoyixi 2020-08-15 13:01:02 +08:00
想得挺多。不过,至少作起恶来,比你直接安装,要概率小,费劲不是
|
|
24
0x6c696e71696e67 OP @yujiang 目前还真有这打算,准备收一台没屏幕的笔记本或 NUC,然后通过远程桌面控制
|
|
25
0x6c696e71696e67 OP @hakono 这个还真不是被害妄想症,之前就试过被收集过科学软件的节点信息,IP 被封过几次,所以现在我安装国产软件都特别小心
|
 |
26
yngzij 2020-08-15 15:53:44 +08:00 via iPhone
之前工作的公司做软件的,的确会搜集用户信息,楼主的考虑很有必要。
|
 |
28
SM2U 2020-08-15 16:47:08 +08:00
看编程随想的博客吧。总之,国产软件都是木马,须要慎重地处理。
|
 |
29
mtrec 2020-08-15 16:59:03 +08:00 via Android
@0x6c696e71696e67 没别的意思 就好奇问问 你有石锤是因为装了哪个国产软件然后被国产软件收集了节点信息导致被封吗?因为太多可能导致被封的原因了 没数据支持怎么说都行
|
 |
30
nevin47 2020-08-15 17:08:11 +08:00
IP 被封根本不需要本地采集,流量分析太容易了……
另外虚机逃逸如果是 0day 漏洞,那直接上云去分分钟就是千万黑产了,不会用来干这事儿的。话说最近几年主流虚拟层已经没有怎么出现能简单利用的逃逸漏洞了(理论上也越发困难了) |
|
31
0x6c696e71696e67 OP 1
@mtrec 老实说,你要我实锤是哪个软件收集的,我真做不到,那时候电脑上有很多国产软件的,当时被封 IP 也没怀疑到,后来接触到“逗比”这个网站,逗比说国产软件会收集数据,那时候逗比也公开共享几个节点,也明确说明不准在有国产软件的机器上用这些节点,之后我重装系统,没装过国产软件,IP 被封几率也少了,都是在一些敏感期出问题
|
 |
32
jdgui 2020-08-15 17:31:50 +08:00
你掌握了瞬移技术,会拿他来送快递嘛?
人家有那个技术拿来收集你的信息?你觉得这可能吗? 虚机逃逸被发现了虚拟机就升级了,人家有必要为了你的信息那几毛几块的暴露一个价值不可计量的 0Day 漏洞吗 |
 |
33
love 2020-08-15 17:34:37 +08:00
大规模使用==公开漏洞利用
可以虚机逃逸的漏洞就这么公开让人看然后很快被修复,成本收益呢 |
 |
34
Cielsky 2020-08-15 17:48:16 +08:00 via Android
被害妄想症
|
 |
35
waterboy 2020-08-15 18:25:54 +08:00
楼主是神盾局特工?
你有神马秘密值得用这么昂贵的在野漏洞,说句不怕你生气的话,你配得上? |
 |
36
shanks 2020-08-15 18:33:22 +08:00
被害妄想症。。。
宿主机跑 Linux,虚机跑 win,够不够? |
|
37
delectate 2020-08-15 18:46:08 +08:00
都觉得自己的软件是白莲花,没有恶意行为吗?
难道忘记了暴风影音导致全国断网的黑历史了?这种情况现如今只会更多! 云端控制+刷广告+盗取隐私,没发案只是因为没有“利用”而已,不然你觉得为什么广告如此“精准”?输入法和 qq 、微信就得把锅背起来! 国产软件,就是木马,无一例外。 |
 |
38
yuange1975 2020-08-15 19:01:36 +08:00
虚拟机系统也有指纹的
|
 |
39
al0ne 2020-08-15 19:05:04 +08:00
|
 |
40
nicevar 2020-08-15 19:22:49 +08:00
@0x6c696e71696e67 你被封估计是自己太作了,自己往炮口上撞那种,我的梯子 10 来年都没被封过,国产软件随便用,你连被封的原因都分析不清楚,还上升到虚拟机有啥意义
|
 |
41
xcstream 2020-08-15 19:29:58 +08:00
虚拟机逃逸有这个可能性 但是低于被楼上花盆砸中的几率
|
 |
42
yzkcy 2020-08-15 19:32:20 +08:00
这帖子感觉是故意引战的吧?
|
 |
43
Cooky 2020-08-15 19:34:46 +08:00
你要是担心就在虚拟机里再套一层虚拟机(
|
 |
44
Jirajine 2020-08-15 19:51:54 +08:00 via Android
@al0ne 这个有点厉害,这种手法直到今天依旧有效,尤其是考虑到国家可能掌握了一些可用于中间人的 CA 证书。
起码做到一些比较容易的防御措施: 1. 绝对不在宿主机上运行任何国产软件。 2. TLS 不完全可信,软件不自动更新并且下载内容额外校验(很多包管理工具已经自动这么做了) 3. 在自己网络部署 dns 劫持,丢弃无法识别的流量。 |
 |
45
limuyan44 2020-08-15 19:54:34 +08:00
这些虚拟机漏洞一定是外国人故意留得!!
|
 |
46
maskerTUI 2020-08-15 20:22:23 +08:00
绝大多数的软件都会收集它想要的信息,不论是国内国外的软件。至于利用虚拟机逃逸这种漏洞来收集你的物理机信息,很明确的告诉你正常软件都不会这么做。
|
 |
47
baobao1270 2020-08-16 00:01:03 +08:00
大多数人并没有使用这种大杀器的价值
从楼主用户名和发言语气来看,可能是从事敏感行业或活动的人员,建议使用物理断网隔离设备、网闸等专业设备,另外请特别注意社会工程学攻击 |
 |
48
x86 2020-08-16 00:19:33 +08:00 via iPhone
0day 就这么廉价了?
|
 |
49
crab 2020-08-16 01:34:31 +08:00
这类漏洞便宜都要十几万美金。
|
 |
50
Dvel 2020-08-16 02:04:40 +08:00
虚拟机逃逸漏洞又名别天神,是宇智波家族万花筒写轮眼的最强幻术,可以逃脱秽土转生的限制。
|
 |
51
zy8848 2020-08-16 02:14:01 +08:00
|
 |
52
msg7086 2020-08-16 08:47:55 +08:00
如果能私底下发现这种级别的 0day 漏洞,那就应该有能力干掉国内外各种大型云主机厂商。这么高危的漏洞已经是国家战略武器级的东西了,别说拿来收集你的个人信息了,放在军方或者国防部那都是绝密信息,泄露出来怕是要掉脑袋的。
至于已知漏洞,倒也是有可能的,但是研发成本和用户基数不成比例。比如说国产软件装机量 1 亿台,其中用虚拟机装的只有 1 万台。你为了这 0.01%的用户,专门去写了模块试探漏洞,还要逃逸,真当程序员不要钱啊。 今天你做老板,你让程序员研发,一万块钱研发成本可以在 1 亿电脑上偷数据,再加十万块钱可以在剩下的 1 万电脑上偷数据,这十万你花吗。 |
 |
53
oneoy 2020-08-16 11:33:45 +08:00 via Android
我一般会放到 vps 上
|
 |
54
ipixeloldc 2020-08-16 11:34:42 +08:00 via iPhone
话说腾讯系的用 TP 的那种,在虚拟机里面跑,小心封号....
|
 |
55
594duck 2020-08-16 15:41:54 +08:00 via iPhone
虚拟机逃逸比 docker 难多了。所以 docker 的安全一大方法就是先开个 qemu,在 qemu 里开 docker 。
但是土楼上所说虚拟机会自己表示自己是虚拟机。但是要攻击还是很有难度的。 所以你要看你怎么定义这个安全,以及隔离 |
Select Language