在以下幾種情況下，惡意軟件可以從VM傳播到主機：

• 如果VM軟件中存在錯誤。這不是很常見，但是有可能。
• 如果主機操作系統中存在錯誤。專門允許惡意軟​​件從VM爆發的錯誤是不太可能的，但再次可能。
• 如果處理器中存在錯誤。
• 這是不太可能的，但在數學上仍然不是不可能的。
• 該惡意軟件是否可以與主機交換信息。這可以通過網絡進行；在這方面，使用VM和使用單獨的物理計算機之間沒有什麼區別，因此您需要對VM進行適當的防火牆保護（僅允許最低限度，不要做任何可能使服務器劫持客戶端的操作，例如SSH） X轉發）。另一個障礙是通過VM工具，例如文件和剪貼板共享：VM中運行的軟件可能讀寫共享文件，訪問主機剪貼板等。因此，在VM中運行惡意軟件時，應禁用所有這些便利工具（禁用只能在VM配置中進行安裝，因為僅安裝惡意軟件是不夠的，因為僅安裝惡意軟件即可）。

有關該主題的更多信息，請閱讀 https：/ /security.stackexchange.com/questions/9011/does-a-virtual-machine-stop-malware-from-doing-harm和 https://security.stackexchange.com/questions/12546/可以安全地在a-vm中安裝惡意軟件

總而言之，大多數惡意軟件都可以在正確配置的虛擬機中進行安全分析。禁用所有來賓功能，並且不要使用任何允許服務器影響客戶端的協議連接到VM。對VM進行防火牆防護，好像它是敵對的一樣；您應該使用僅主機網絡，以便可以輕鬆控制那裡的運行。

還有另一個原因，您可能更喜歡物理機而不是虛擬機。有相當多的惡意軟件試圖檢測是否正在對其進行分析，並且在被檢測時不會表現出惡意。惡意軟件試圖檢測的顯而易見的常見現像是它正在調試器下運行的跡象：檢查是否正在跟踪（或Windows等效），檢查執行中是否突然停頓…………某些惡意軟件會尋找VM的明顯跡象，例如常見的VM軟件可模擬的硬件驅動程序，或在模擬的CPU外部不存在或罕見的CPU異常。這並不是說您無法分析VM中的惡意軟件：有時可以，有時不能，這取決於惡意軟件。如果您在VM中啟動卻找不到任何內容，則無需準備轉移到物理計算機。

請注意，物理計算機也存在風險：惡意軟件可能會嘗試自行植入放入主板上的許多固件之一和外圍設備中。用於此目的的工具箱開始出現，例如 Rakshasa和 Mebromi。因此，如果您在物理計算機上分析某些複雜的惡意軟件，請永遠不要再信任該物理計算機。

重播中有很多說法，但是我想從實際角度強調一些答案：

• 網絡連接-一個不久前，我同意將虛擬機與網絡斷開連接將解決通過網絡傳播的問題。如今，越來越多的惡意軟件僅在建立與CnC的連接或至少可以與外部世界建立連接時才起作用，因此，我建議您應該考慮更嚴肅的解決方案，而不僅僅是斷開電纜連接：
  • 設置另一個將充當網關的虛擬機，這也將幫助您使用iNetSim之類的網絡模擬軟件記錄流量
  • ，在某些情況下，當您需要偽造CnC
  • 設置防火牆返回的結果，並嘗試不使用網絡共享或至少使它們成為只讀
• VM設置強>-不安裝虛擬機工具是一種將虛擬機隱藏在惡意軟件中的方法，但是在這種虛擬機上確實很難工作。您至少應該做的是以更隱蔽的方式設置VM。我發現了幾個鏈接可能對此有幫助，但是還有更多其他解決方案：
  • 在VMWare工作站上繞過虛擬機檢測-您可以在此處找到vmware配置選項
  • 惡意軟件反VM技術-有關如何幫助惡意軟件檢測vm的一些解釋
  • 下一步是開發不同的專有工具來幫助您進行研究和更高級的反VM技術。
  • 嘗試設置您的環境就是這樣一種方式，以便主機和客戶機是不同的操作系統-主機是linux / UNIX / OSX和來賓是Windows。這將進一步降低宿主感染的風險。
• 物理機-從實際的角度來看，物理機的使用非常煩人，並且會浪費時間並且要求很高的準確性，尤其是在處理未知惡意軟件時，我不會談論恢復開銷機器被感染後。

希望這會有所幫助：）

如果您使用VMWare，我建議使用僅主機連接。通常，創建虛擬機時，它將使用NAT或橋接，共享主機IP和/或網絡適配器。使用僅主機可讓VM僅在沒有Internet連接的情況下僅本地連接到該特定適配器（它已分配了自己的本地IP並使用了自己的網關）

典型地，當實時運行惡意軟件時，您想要與此建立。您的其他解決方案正在使用沙箱軟件，例如布穀鳥沙箱或沙箱。他們具有記錄惡意軟件正在執行的操作並將其沙盒保留的附加功能（通常 不會觸摸系統文件或以任何方式感染系統）

如果VM軟件存在錯誤，則惡意軟件也可能從VM中傳播出去並感染主機。

底層處理器（如果您使用的是硬件虛擬化）也可能具有惡意軟件。一個使惡意軟件逃逸到VM的錯誤。因此，為避免這種情況，您必須選擇一個可能永遠無法建立網絡連接的設置。即使禁用來賓中的網絡也是不夠的。必須設置VM，以便無法建立網絡連接。

為防止惡意軟件傳播，您必須斷開測試設備（主機）與網絡的連接，並為每個惡意軟件重新設置。另外請注意，惡意軟件可能會使用MBR或BIOS嵌套在您的計算機中。

使用最新和最好的VMWare版本。監視您的真實係統。 ：）為什麼？好吧，我已經看到“突破” Vmware的惡意軟件。怎麼樣？環-1開發。這不是您通常看到的東西。但是它會可能發生，是否可能與您的示例 一起出現，但是可能會發生。

因此，請監視您自己的系統（ProcMon）。不要安裝VMware工具（此示例更容易發現它可能處於休眠狀態）。並嘗試一些VirtualSystems，Qemu，VirtualBox的作品。

玩得開心：）