在有毒的电脑上运行虚拟机安全吗

qazplm321

最近头痛，为了能在单位电脑上操作网银，大家都知道公用电脑病毒太多。

所以我有二个方案来安全操作：winpe或虚拟机

现在winpe经过很多高手修改，已经能在其中使用网银。

那么请教各位：在有毒的电脑上（假设已经存在盗网银的木马）运行虚拟机，然后在虚拟机里操作网银，电脑里木马能盗走虚拟机里上网时的账号和密码吗？

[ 本帖最后由 qazplm321 于 2008-11-18 17:10 编辑 ]

xiaolongkun0kf

你这种情况用PE合适点，因为电脑本身中毒了，就算虚拟机安全，但那中了毒的机子的速度。。。。。。。

ghjkjh123

还是安全的！

qazplm321

原帖由 ghjkjh123 于 2008-11-18 17:52 发表
还是安全的！

给点实例

qazplm321

为什么大家都答非所问

按道理，虚拟机和主机，其实就是局域网二台机子一样，在虚拟机里配置好防火墙和杀软或hips，主机要想传木马或病毒给虚拟机是有很大困难的。但关键点是，虚拟机和主机共用一个键盘和鼠标，如果主机本身已经中木马，木马通过记录键盘或鼠标或截图等手段，不是没办法盗走虚拟机里账号和密码的。

以上是我的菜见，请高手指正。

因此，我赞成用PE

SONGBOWEN

先说木马工作原理，他们大多会通过FindWindow和FindWindowEx等函数，寻找游戏或者网银的窗口以及输入框，找到以后才会记录键盘鼠标操作，平时是不会记录的（不然如果用户在打字的话，木马会记录下来上百KB甚至几MB大的数据，不方便发给hacker）。而虚拟机（以VMware为例）的标题是虚拟机名称 - VMWare Workstation，并不是“中国xxx银行 - 浏览器名”，所以木马不会注意到虚拟机。
另外，有些网银或者游戏保护了窗口标题，此时木马会EnumWindow，然后根据Style判断窗口是不是自己在找的登录窗口（大多数盗QQ的木马采用此手段），虚拟机的Style与登录框也是不同的，所以对于采用EnumWindow的病毒，虚拟机也可以躲过去。
再就是根据进程名寻找目标（也就是网银、游戏的登录窗口）的了，这类病毒对虚拟机的杀伤力等于零。

综上所述，虚拟机可以躲过使用FindWindow(Ex)或EnumWindow函数寻找窗口，或使用CreateToolhelp32Snapshot、Process32First、Process32Next枚举进程的盗号类木马。
而目前为止，我见过的盗号木马，都是采用这三种方式中的一种或多种来寻找他们的目标的！

SONGBOWEN

再说PE，网银的证书、安全控件等的安装都很成问题，另外，很多PE也不支持https连接（也就是加密连接），这种情况下，使用PE将我发正常进行支付操作。

qazplm321

原帖由 SONGBOWEN 于 2008-11-19 16:58 发表
先说木马工作原理，他们大多会通过FindWindow和FindWindowEx等函数，寻找游戏或者网银的窗口以及输入框，找到以后才会记录键盘鼠标操作，平时是不会记录的（不然如果用户在打字的话，木马会记录下来上百KB甚至几MB大 ...

有做过实验吗

SONGBOWEN

原帖由 qazplm321 于 2008-11-19 20:18 发表


有做过实验吗

对木马脱壳、反汇编就可以说明一切了……

cceettaall

好 学习了