微点交流论坛

标题: 主动防御VS系统虚拟化 [打印本页]

作者: zhaojh117 时间: 2008-4-16 22:09 标题: 主动防御VS系统虚拟化

近期在关注系统虚拟化，并且试用了几款系统虚拟工具－－影子系统和Returnil VS，感觉不错，在此请教大家一个问题，系统虚拟化与主动防御比怎么样，还希望大家畅所欲言，晚辈权当抛砖引玉！

作者: Rokit 时间: 2008-4-16 22:49
我认为这是面对危害的两种处理态度,虚拟化是消极的,主动防御是积极的
从对社会的贡献来看,虚拟化不会从根本上来净化网络上的威胁,只是一味的回避;而主动防御不仅保护了使用者的电脑,而且对病毒等的危害进行有效的遏制,避免大面积扩散

作者: ballpointpen 时间: 2008-4-17 09:37
虚拟化可以还原系统，因此能够解除病毒木马对系统的伤害（理想情形下）；但无法防范病毒木马的小偷大盗行为，而且在虚拟还原之后，证据即被销毁。

作者: hellen 时间: 2008-4-17 14:21
普通老百姓，虚拟化也行，只要起到杀毒的效果就好？
不过如上所说，木马解决不了，还是主动防御好！

作者: zhaojh117 时间: 2008-4-17 19:51
大家继续发表看法啊，下面就我了解的一些东西先说一下，先是影子系统的说明。
影子系统可以生成现有操作系统的虚拟影像，它具有真实系统完全一样的功能。进入影子系统后，所有操作都是虚拟的，不会对真正的系统产生任何影响。因此所有的病毒和流氓软件都无法侵害真正的操作系统，因为侵害的只是原来系统的影子而已。安装影子系统后不降低电脑的性能，启动影子系统也不需要等待的时间。此外影子系统的应用非常广泛，如果你想安装一个软件作测试, 如果你打算浏览很多网页, 又不想网址被记录,如果你想阅读一封可疑的邮件或者打开一个可疑的网站链接，影子系统将是您系统安全的放心选择
虚拟机是一种通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件，你可以在一台物理计算机上模拟出一台或多台虚拟的计算机，这些虚拟机完全就像真正的计算机那样进行工作，例如你可以安装操作系统、安装应用程序、访问网络资源等等。对于你而言，它只是运行在你物理计算机上的一个应用程序，但是对于在虚拟机中运行的应用程序而言，它就像是在真正的计算机中进行工作。因此，当我在虚拟机中进行软件评测时，可能系统一样会崩溃，但是，崩溃的只是虚拟机上的操作系统，而不是物理计算机上的操作系统，并且，使用虚拟机的“Undo”（恢复）功能，我可以马上恢复虚拟机到安装软件之前的状态。
如此看来虚拟系统在系统安全方面似乎比主动防御更有优势。

作者: 小鱼儿 时间: 2008-4-18 11:18

Quote:

Originally posted by zhaojh117 at 2008-4-17 19:51:
大家继续发表看法啊，下面就我了解的一些东西先说一下，先是影子系统的说明。
影子系统可以生成现有操作系统的虚拟影像，它具有真实系统完全一样的功能。进入影子系统后，所有操作都是虚拟的，不会对真正的系统产 ...

　　看来你还是不了解别人的意思，你用影子系统：　重新启动后，OK，什么木马病毒统统没有了，但你想过没有，在你重新启动前刚刚不小心中的木马或病毒，把你的网银帐户、游戏帐户、QQ 号等等都盗窃走了，甚至电脑中的机密资料被盗泄密。或者利用你的电脑向局域网中的其它电脑大肆传播病毒木马、向你的亲朋好友乱发病毒邮件等等……，这些，你重新启动系统后能挽回吗？　　个人意见，影子只是可以使用的一种工具，但不能寄予太大期望。

作者: 小小刀 时间: 2008-4-18 11:51
我同意2楼的观点，虚拟技术只是在消极等待，病毒入侵－》系统瘫痪－》恢复系统－》再次入侵－》再次瘫痪－》再次恢复－》再次入侵－》再次瘫痪。。。。周而复始，永远处于被动挨打的地位，永远也无法主动出击，永远在做恢复，不管这个病毒有多老，有多落后。。。。。。
主动防御就不同了，来一个杀一个，来两个杀一双，不管你是变种还是未知，主动出击，通通干掉！当然主动防御也不是万能的，现在还有不尽人意之处，病毒是查杀了，但对少数病毒对系统所做的修改无法恢复，这是主防技术以后要增强的地方，做到主动查杀，完全修复，那就完美了。
虚拟技术做做测试还行，用在用户机子上替代杀毒软件使就差点劲了，杀毒还是主动防御，未来的趋势

作者: zheng363663 时间: 2008-4-18 19:31
等你密码被盗后看你还对影子报希望吗

作者: zhaojh117 时间: 2008-4-18 21:11
我想这是两种思路，虚拟化肯定有不完善的地方，但还是可以发展的，有没有那位能从技术的角度给分析一下系统虚拟化的利弊

作者: threeswords 时间: 2008-4-19 12:56
虚拟技术的好处就是可以不对真实系统造成破坏，但是对于病毒和木马来说，虚拟技术没有判别能力，它只能提供一个虚拟的平台，尽管重启了，又还原到初始状态，但是对于盗号木马来说，它需要窃取的信息已经传送出去，任务已经完成，重启消失也无所谓。这也是平时我们使用虚拟机最大的弊端了。

在目前木马泛滥的情况下，只靠虚拟机来保护系统安全显然是不明智的，一款带有强大的实时监控的杀毒软件才是重点。

作者: nasdaq 时间: 2008-4-20 17:46
虚拟化对于工业来讲可以提高硬件资源利用率，从而降低成本，这一点应该是最重要的意义。

但是虚拟化对于反病毒来说，我个人感觉局限性太大了。很多人都在说一种所谓的完美病毒分析方案——在杀毒软件里面用虚拟机先把病毒虚拟执行然后根据行为的总体记录来判断是否病毒，这样既保证实体机安全又可以高效查杀。我个人不大能认同这种观念，结构上的缺陷太大，缺乏实用意义，太容易被人绕过。

随便举两个例子：
1.延时发作，虚拟机检测毕竟是有时间限制的，随便一个病毒延时10分钟发作，应该可以轻易躲过所有的虚拟机行为分析吧。
2.改变病毒行为流程，盗号木马运行后先检测是否存在QQ或网游进程，进程存在才去执行盗号行为。虚拟机里面可能模拟有大量的QQ和网游进程么？我不敢说不可能，但是现实是实现的难度几乎不可想象。所以既然没有网游进程，那么盗号木马不做病毒行为，自然就可以轻易躲过所有的虚拟机行为分析吧。

主动防御的一个优点就是完全利用了病毒作者的心理，一个病毒之所以称之为病毒，就意味着这个病毒程序必须要在实体机中实现破坏行为。所以主动防御根本就不用去考虑虚拟机所面临的所谓行为真实性的难题。

作者: 苹果小柚子 时间: 2008-4-24 14:14
微点+影子

你可以鄙视现在的病毒了！

作者: micropen 时间: 2008-4-24 17:58

Quote:

Originally posted by ballpointpen at 2008-4-17 09:37:
虚拟化可以还原系统，因此能够解除病毒木马对系统的伤害（理想情形下）；但无法防范病毒木马的小偷大盗行为，而且在虚拟还原之后，证据即被[color=Red ...

你可以把安全日志转移到另一个地方,不就安全了吗?

我在一个公司一直用影子+微点,效果不错,大家可以试试.

作者: rainsun 时间: 2008-4-25 09:25
当虚拟化遇上GHOST,我会选择GHOST,虚拟化毕竞是不能防毒的,在个人电脑上用虚拟化没那个必要.

作者: 林克 时间: 2008-4-25 10:35
好东西啊~~看看

作者: zhaojh117 时间: 2008-4-25 20:24
虚拟化对硬件的危害有多大啊，还请赐教

作者: asdsdl 时间: 2008-4-26 00:35
影子系统用这很烦啊，我用过一段时间，更新的时候要关，要重启，
装程序的时候也是，这样，安全性也降低了，因为软件里面可能会捆绑些东西，所以个人认为主动防御好点，而且就向楼上说的，对木马没防御，盗号一样盗，还销毁信息。。。。
恐怖

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn