मैं यह कहकर शुरू करूंगा कि यह प्रश्न बहुत व्यापक है और बहुत कम मूल शोध दिखाता है, और इस उत्तर को उस प्रकार के प्रश्न के प्रोत्साहन के रूप में नहीं देखा जाना चाहिए। इसके बजाय, यह उत्तर लोगों के लिए कुछ अत्यंत बुनियादी सुरक्षा युक्तियां प्रदान करने की उम्मीद करता है, जो केवल मैलवेयर विश्लेषण से शुरू होती हैं।
इस धारणा के तहत काम करना कि आप पहले से ज्ञात मैलवेयर के बारे में जान रहे हैं, आप अपने पर्यावरण को कैसे अलग करते हैं, यह इस बात पर बहुत अधिक निर्भर करता है कि मालवेयर सक्षम है या नहीं। कुछ सामान्य नियम जो सबसे आधुनिक मैलवेयर पर लागू होते हैं :
इंटरनेट से अपने वीएम को अलग करें। यह अतिथि मशीन में इंटरफ़ेस फ़ॉरवर्डिंग स्थापित नहीं करने के रूप में सरल हो सकता है, और मैलवेयर को किसी भी संभावित कमांड-एंड-कंट्रोल नोड्स के साथ संचार करने से रोकता है जो इसे अप्रत्याशित रूप से कार्य करने के लिए निर्देशित कर सकता है।
एक उपयुक्त हाइपरविजर का उपयोग करें। कुछ Hypervisor.frameworkनाम रखने के लिए VirtualBox, HyperV, QEMU और macOS सहित बाज़ार में कुछ प्रमुख हैं ; इनमें से कुछ सक्रिय रूप से मैलवेयर द्वारा लक्षित होते हैं, और संस्करण के आधार पर, अतिथि मशीन से बाहर निकलने वाले मैलवेयर के लिए असुरक्षित हो सकते हैं।
निश्चित रूप से अतिथि परिवर्धन , या कुछ अन्य मंच के एनालॉग को स्थापित नहीं करते हैं । इस तरह के सॉफ्टवेयर का शाब्दिक लक्ष्य अतिथि और मेजबान के बीच एकीकरण स्थापित करना है, उनके बीच प्रभावी रूप से अलगाव को कमजोर करना है। मैं एक मैलवेयर शोधकर्ता नहीं हूं, लेकिन मुझे आश्चर्य होगा कि अगर कोई मैलवेयर नहीं था जो विशेष रूप से इस तरह की सतह को लक्षित करता है।
अपने कुछ बिंदुओं को सीधे संबोधित करने के लिए:
वर्चुअल मशीन को होस्ट से कितना अलग किया जा सकता है?
इस बिंदु पर, एक वीएम को पूरी तरह से अलग-थलग किया जा सकता है, लेकिन कुछ कार्यों को अभी भी मेजबान को कम-से-कम सुरक्षा के साथ अधिक-या-कम से सीधे गुजरना पड़ता है। बल्ले से सही, अधिकांश गैर-केवीएम वर्चुअल मशीन (जैसे वर्चुअलबॉक्स) होस्ट ओएस के साथ कर्नेल साझा नहीं करेंगे । यह अकेले कई शोषक वर्गों के खिलाफ अवरोधक के रूप में कार्य करता है, सबसे विशेष रूप से आपके मेजबान कर्नेल के खिलाफ मनमाने ढंग से सिस्कोल चलाने की क्षमता को अवरुद्ध करता है (उल्लेखनीय तार के साथ कि टूटी हुई वीएम परत कार्यान्वयन मैलवेयर के लिए कम स्पष्ट तरीकों से इसे प्राप्त करने की अनुमति दे सकता है)।
आपके VM के पास अभी भी आपके होस्ट मशीन के हार्डवेयर के भीतर एक प्रक्रिया स्थान है, हालांकि - और जबकि यह आम तौर पर एक जोखिम नहीं है क्योंकि आधुनिक OSes सभ्य प्रक्रिया को अलग-थलग करते हैं, यह अभी भी एक बहुत ही निम्न स्तर के हमलों का फायदा उठाने के लिए इस्तेमाल किया जा सकता है , जैसे कि एक किन्नर , जहां एक प्रक्रिया क्रमिक रूप से मेमोरी को एक विशिष्ट तरीके से लिखती है, जब तक कि यह आसन्न मेमोरी ब्लॉकों को नहीं पढ़ सकता है कि यह स्वयं नहीं है - प्रभावी रूप से प्रक्रियाओं के बीच स्मृति के रिसाव की अनुमति देता है।
यह भी ध्यान देने योग्य है कि अलगाव कुछ हद तक दूर चला जाता है जब आप अनिवार्य रूप से किसी भी प्रकार का I / O करना चाहते हैं: इनपुट और आउटपुट का मतलब जरूरी है कि pststhrough, जो एक हमले की सतह को उजागर करता है जिसे मेजबान कार्रवाई करने के लिए लीवरेज किया जा सकता है। इसमें एक माउस और कीबोर्ड की तरह HID pststhrough और साथ ही नेटवर्क passthrough जैसी चीजें शामिल हैं - हालाँकि यह आमतौर पर इस बात पर निर्भर करता है कि I / O passthrough को आपके VM में कितनी अच्छी तरह लागू किया गया है।
क्या मुझे (या मैं?) अतिथि और मेजबान के बीच एक फ़ायरवॉल स्थापित कर सकता हूं?
यह निर्भर करता है, लेकिन यह आमतौर पर एक बुरा विचार नहीं है । अधिकांश प्रमुख प्लेटफॉर्म हाइपरविजर-स्तर के फायरवॉल का समर्थन करते हैं। ये आपके मेजबान मशीन पर फ़ायरवॉल के रूप में सबसे अधिक अनुमेय हैं, जो आपके लैन या वीएलएएन पर फ़ायरवॉल के रूप में अधिकतम अनुमति के रूप में है। यदि आप वर्चुअल नेटवर्क इंटरफेस को डिस्कनेक्ट करके नेटवर्क एक्सेस को पूरी तरह से काटने के बजाय इसका लाभ उठाना चाहते हैं, तो मैं आपको उन बंदरगाहों में शोध करने की सलाह दूंगा जो आपके चयनित मालवेयर लक्ष्य को होस्ट करते हैं और वहां से जा रहे हैं।
क्या अतिथि ऐड-ऑन एक सुरक्षा जोखिम हैं?
जी हां । वे आपके मेजबान मशीन और अतिथि मशीन के बीच सभी प्रकार के एकीकरण की अनुमति देते हैं, और हमेशा खुले चश्मे की सुविधा नहीं देते हैं जहां आप देख सकते हैं कि क्या खोला जा रहा है; ऊपर देखो।
साझा निर्देशिका के बारे में क्या?
यह इस बात पर निर्भर करता है कि आप इसे कैसे कर रहे हैं, लेकिन यह अक्सर एक बुरा विचार है । कई हाइपरवेस्टर्स अतिथि मशीन के भीतर मुहिम चलाकर एक वर्चुअल ड्राइव बनाते हैं, जिसकी जड़ उस डायरेक्टरी में होती है। उस तंत्र के कार्यान्वयन पर निर्भर करता है, जो चौखटे के बीच थोड़ा भिन्न हो सकता है, आप सुरक्षित हो सकते हैं या नहीं, इस बात पर निर्भर करता है कि आप किस मैलवेयर का परीक्षण कर रहे हैं।
मेरी चिंता यह है कि आपने इसमें बहुत कम शोध किया है, और आप अपनी मशीन या अपने डेटा को नुकसान पहुंचा सकते हैं। इससे पहले कि आप जारी रखें, मैं आपको सामान्य OSes (KVMs) पर अलग-अलग अलगाव तंत्र में देखने की सलाह दूंगा, कि वे उच्च-स्तरीय वर्चुअलाइजेशन फ्रेमवर्क ( वर्चुअल-मशीन ), कंटेनर ( कंटेनर ), और chrootतंत्र ( chroot ) को कैसे नाम दें कुछ), जब प्रत्येक उपयुक्त हो, और वे क्या कर सकते हैं और क्या नहीं कर सकते। उस समय, आप बेहतर तरीके से न्याय कर पाएंगे कि आप उचित रूप से अलग-थलग वातावरण में मैलवेयर के साथ सुरक्षित रूप से खेल सकते हैं या नहीं।
अंत में, आपको नए या अल्प-ज्ञात मालवेयर के साथ काम करने की कोशिश में संलग्न नहीं होना चाहिए (जब तक कि आप एक अनुभवी सुरक्षा शोधकर्ता नहीं हैं, लेकिन यह उत्तर अनुभवी सुरक्षा शोधकर्ताओं के उद्देश्य से नहीं है)। दुर्भावनापूर्ण अभिनेता बेहद रचनात्मक होते हैं जब यह आता है कि वे क्या शोषण करते हैं और कैसे वे इसका शोषण करते हैं। इसका अंदाजा लगाने के लिए, किसी भी हाल में DEFCON वार्ता पर एक नज़र डालें, जो सोशल इंजीनियरिंग के इर्द-गिर्द केंद्रित नहीं है या यांत्रिक साधनों के माध्यम से भौतिक पहुँच प्राप्त कर रही है।