Comments 5
Существует мнение, что использование виртуальной машины может спасти от многих новых неизвестных антивирусам вирусов. А в статье (если правильно понял) противоположное решение. Почему? В Microsoft считают, что ВМ не спасает?
Я не настоящий сварщик, но вроде бы уже давно все мало-мальски серьезные вирусы научились определять, что их запустили в виртуальной среде и ничего плохого при этом не делать.
И отлично! Если они не будут пытаться делать и таких плохих вещей, как на хост пересесть (а это возможно?), то и пусть себе на ВМ (т.е. в гостевой ОС) ничего плохого не делают. А после перезагрузки эту ВМ с вирусами сотру и новую запущу: скопировать ВМ — мгновенное дело, каждый запуск можно свежую копию ставить.
Вы, наверное, хотите https://www.qubes-os.org/.
Но учитите, что в системах виртуализации тоже бывают дыры, из свежего: https://ruxcon.org.au/assets/2016/slides/Breaking%20out%20of%20QEMU_v3.pdf
Учитите, что самое ценное сейчас — данные пользователя, затем идут вычислительные или сетевые ресурсы (кто-то их переставит местами, впрочем). Хост может и не быть никому особо нужен.
Так что чтобы только виртуалка вас спасла, у вас в ней не должно быть ничего ценного (ни в какой момент времени) и она должна чистится (как вы и сказали).
Перехваты API-вызовов в системной таблице вызовов KiServiceTable позволяли антивирусам блокировать создание процесса. А новый механизм callback-функций может уведомить только о уже свершившемся факте. Вирус уже запустился и вот хэндл его процесса.
Если антивирусные компании перешли на новый механизм, то очень зря.
Если антивирусные компании перешли на новый механизм, то очень зря.
Sign up to leave a comment.
Microsoft предоставит антивирусам возможность контроля за активностью подсистемы Linux на Windows 10