mình có thói quen dùng máy ảo để test virut và xài soft có keygen hay patch. thế nhưng thỉnh thoảng vẫn thấy anti virut của mình báo là có virut dc phát hiện ở máy ảo. mình xài virturl box. cấu hình mạng xài nat, không share bất cứ folder nào ở máy chính cho máy ảo và ngược lại. mình nghĩ nếu virut mà bị phát hiện như thế thì các con virut mới hơn , qua mặt dc anti virut thì khả năng máy chính bị nhiễm khá cao. có pác nào có cao kiến gì để có thể test virut an toàn trong máy ảo không 

khang0001 wrote:

mình có thói quen dùng máy ảo để test virut và xài soft có keygen hay patch. thế nhưng thỉnh thoảng vẫn thấy anti virut của mình báo là có virut dc phát hiện ở máy ảo. mình xài virturl box. cấu hình mạng xài nat, không share bất cứ folder nào ở máy chính cho máy ảo và ngược lại. mình nghĩ nếu virut mà bị phát hiện như thế thì các con virut mới hơn , qua mặt dc anti virut thì khả năng máy chính bị nhiễm khá cao. có pác nào có cao kiến gì để có thể test virut an toàn trong máy ảo không 

Bạn có thể mô tả chi tiếp phần màu đỏ không ? Mình chưa hình dung được ? 

Thực ra các antivirus quét vùng nhớ được cấp phát cho máy ảo nên phát hiện ra thôi!
Nguy cơ nhiễm virus từ máy ảo khá cao, và thực tế đã có vài loại virus đã lây lan từ máy ảo qua máy thật. Tốt nhất nên dùng Ollydebug hoặc một tool nào đó khác chạy chương trình step by step phân tích thì hay hơn

- Ky0 -  

TheShinichi wrote:

khang0001 wrote:

mình có thói quen dùng máy ảo để test virut và xài soft có keygen hay patch. thế nhưng thỉnh thoảng vẫn thấy anti virut của mình báo là có virut dc phát hiện ở máy ảo. mình xài virturl box. cấu hình mạng xài nat, không share bất cứ folder nào ở máy chính cho máy ảo và ngược lại. mình nghĩ nếu virut mà bị phát hiện như thế thì các con virut mới hơn , qua mặt dc anti virut thì khả năng máy chính bị nhiễm khá cao. có pác nào có cao kiến gì để có thể test virut an toàn trong máy ảo không 

Bạn có thể mô tả chi tiếp phần màu đỏ không ? Mình chưa hình dung được ? 

có nghĩa là khi mình sữ dụng soft có crack hoặc lướt web thì trình anti virut của mình cảnh báo có 1 con virut abc gì gì đó ở trong máy ảo. và nó đã block . theo mình hiểu thì có thể con virut đó đã thoát ra khỏi máy ảo xâm nhập vào máy thật nên anti virut đã cảnh báo .
hình nè

 

Thực ra các antivirus quét vùng nhớ được cấp phát cho máy ảo nên phát hiện ra thôi!
Nguy cơ nhiễm virus từ máy ảo khá cao, và thực tế đã có vài loại virus đã lây lan từ máy ảo qua máy thật. Tốt nhất nên dùng Ollydebug hoặc một tool nào đó khác chạy chương trình step by step phân tích thì hay hơn

- Ky0 -  

khang0001 wrote:

TheShinichi wrote:

khang0001 wrote:

mình có thói quen dùng máy ảo để test virut và xài soft có keygen hay patch. thế nhưng thỉnh thoảng vẫn thấy anti virut của mình báo là có virut dc phát hiện ở máy ảo. mình xài virturl box. cấu hình mạng xài nat, không share bất cứ folder nào ở máy chính cho máy ảo và ngược lại. mình nghĩ nếu virut mà bị phát hiện như thế thì các con virut mới hơn , qua mặt dc anti virut thì khả năng máy chính bị nhiễm khá cao. có pác nào có cao kiến gì để có thể test virut an toàn trong máy ảo không 

Bạn có thể mô tả chi tiếp phần màu đỏ không ? Mình chưa hình dung được ? 

có nghĩa là khi mình sữ dụng soft có crack hoặc lướt web thì trình anti virut của mình cảnh báo có 1 con virut abc gì gì đó ở trong máy ảo. và nó đã block . theo mình hiểu thì có thể con virut đó đã thoát ra khỏi máy ảo xâm nhập vào máy thật nên anti virut đã cảnh báo .
hình nè

 

Theo mình đọc mô tả, và quan trọng nhất là hình bạn đưa, mình cho rằng bạn vẫn An toàn khi dùng máy ảo, không cần phải lo lắng.

Lý do có thông báo của KIS: mình đoán bạn dùng máy ảo, thiết lập ở chế độ NAT khi truy cập mạng, khi đó mọi luồng dữ liệu của máy ảo trước tiên phải đi qua máy thật rồi mới ra ngoài. Địa chỉ kết nối tới chứa mã độc, do KIS phát hiện ra, nên KIS thông báo. Tiến trình kết nối là máy ảo.

Cách khắc phục: Bạn thiết lập Network Adapter của máy ảo là Bridge. Máy ảo của bạn sẽ tương đương 1 máy tính khác trong LAN, ngang hàng với máy thật. Trong chế độ này, bạn hãy tắt chế độ chia sẻ file của máy thật và cập nhật các bản vá cho máy thật, đề phòng bị tấn công khi máy thật có lỗ hổng.
Ngoài ra để an toàn cho bạn, bạn thiết lập 1 VLAN, sau đó đặt chế độ Bridge cho máy ảo, sử dụng dải VLAN khác với máy thật. Điều này sẽ là tốt nhất cho bạn, hạn chế các tấn công kiểu Zero-day.

Về việc quét bộ nhớ của máy ảo: theo mình là có khả năng này, nhưng cực thấp vì những lý do sau:

- Bộ nhớ máy ảo được mã hoá và tổ chức khác với dữ liệu bình thường, do đó nếu không sử dụng các API do máy ảo cung cấp, bạn không thể truy cập được dữ liệu này. Theo mình biết, hiện tại VMware cung cấp API cho phép quét các file và bộ nhớ bên trong máy ảo, VirtualBox thì không biết thế nào
- Nếu AV quét cả nội dung dữ liệu bên trong máy ảo, thường AV đó hay đặt tại các server hoặc các máy host cho thuê. Trong các version cho người dùng thông thường, họ sẽ bỏ tính năng này vì không cần thiết. 

Theo mình đọc mô tả, và quan trọng nhất là hình bạn đưa, mình cho rằng bạn vẫn An toàn khi dùng máy ảo, không cần phải lo lắng.

Lý do có thông báo của KIS: mình đoán bạn dùng máy ảo, thiết lập ở chế độ NAT khi truy cập mạng, khi đó mọi luồng dữ liệu của máy ảo trước tiên phải đi qua máy thật rồi mới ra ngoài. Địa chỉ kết nối tới chứa mã độc, do KIS phát hiện ra, nên KIS thông báo. Tiến trình kết nối là máy ảo.

Cách khắc phục: Bạn thiết lập Network Adapter của máy ảo là Bridge. Máy ảo của bạn sẽ tương đương 1 máy tính khác trong LAN, ngang hàng với máy thật. Trong chế độ này, bạn hãy tắt chế độ chia sẻ file của máy thật và cập nhật các bản vá cho máy thật, đề phòng bị tấn công khi máy thật có lỗ hổng.
Ngoài ra để an toàn cho bạn, bạn thiết lập 1 VLAN, sau đó đặt chế độ Bridge cho máy ảo, sử dụng dải VLAN khác với máy thật. Điều này sẽ là tốt nhất cho bạn, hạn chế các tấn công kiểu Zero-day.

Về việc quét bộ nhớ của máy ảo: theo mình là có khả năng này, nhưng cực thấp vì những lý do sau:

- Bộ nhớ máy ảo được mã hoá và tổ chức khác với dữ liệu bình thường, do đó nếu không sử dụng các API do máy ảo cung cấp, bạn không thể truy cập được dữ liệu này. Theo mình biết, hiện tại VMware cung cấp API cho phép quét các file và bộ nhớ bên trong máy ảo, VirtualBox thì không biết thế nào
- Nếu AV quét cả nội dung dữ liệu bên trong máy ảo, thường AV đó hay đặt tại các server hoặc các máy host cho thuê. Trong các version cho người dùng thông thường, họ sẽ bỏ tính năng này vì không cần thiết. 

Không biết mình hiểu bài viết của bạn như vầy có đúng không.

Khi cấu hình máy ảo xài card bridge như bạn thì máy ảo gần như là 1 máy client chạy song song với máy thật ( về khía cạnh mạng Lan). Nếu mình hiểu như thế là đúng, vậy làm sao đỡ được trường hợp Virus flood mạng Lan ? Dạng kiểu như các dòng misa.exe hoặc Kavo. Mình cũng gặp tình trạng 1 máy nào đó trong mạng lan thường xuyên broad cast các gói tin để truyền các mã độc trong môi trường Lan. Không biết anh em có ai rành loại này và cách khắc phục