VMware驱动与后门造成的系统故障详解

2009-09-22 13:54:57本文说明通过调节VMware驱动、VMware Tools和hypervisor之间的交互阻止VMware错误和对VMware后门程序的误用，通过这些手段可以有效地避免VMware造成的系统故障。

尽管有大量的受访信息显示，运行VMware ESX和ESXi的操作系统是非常安全的；仍不排除一些由于VMware管理程序（hypervisor）和子操作系统之前的交互机制所带来的系统故障隐患。这些隐患是由于VMware驱动、VMware后门问题造成的。这种交互通常由三种渠道实现：半虚拟化驱动程序、常规驱动程序和VMware工具。这样，当系统管理员希望构建一个安全的VMware环境时，有两个部分需要关注。

***部分是管理程序（hypervisor）和虚拟机（VM）之间的交互。虚拟化层通过组成VMware工具的半虚拟化驱动延伸到子操作系统（guest OS）之中，对于之前不太关注这部分内容的人，这是一个全新的命题；第二部分就是子操作系统本身。每个子操作系统都有需要遵循的安全加固脚本、向导和基准。然而这些脚本、向导和基准事实上都无法完全取代虚拟化层和子操作系统之间的交互，所以一般来讲***个部分会直接影响到第二个部分。总之，您可以参考下面的这些设置，来确保VMware管理程序和建立在它之上的虚拟机之间的交互更加安全：

加固子操作系统

请在您的虚拟机环境中遵循其中的一项或者所有的基准和向导。同时谨记vSwitch并不包含内置的防火墙，所以一旦子操作系统接入网络环境，它就需要加强自身的防护工作。

管理程序和虚拟机之间的交互

管理程序和虚拟机之间的交互通过三种渠道：半虚拟化驱动、常规驱动和VMware后门程序。

半虚拟化驱动程序知晓自身运行于虚拟机中，通过带外通讯机制和硬件设备交互（也可能是通过VMware 后门程序），或者利用虚拟主机使用的特殊的指令交互。例如，在VMware子系统中，vmxnet驱动就是半虚拟化驱动程序。因为虚拟机界面（VMI）可以在Linux下几乎透明地写入半虚拟化驱动，所有它有很好的性能优势。如果写入半虚拟化程序的过程很困难，程序会试图避开虚拟机直接跟管理程序交互，这个过程可能会直接导致系统崩溃。因此，为了避免这种情况发生，***的办法就是在使用半虚拟化程序之前确保他们它们都是经过验证的。通常我们只使用那些来自已知来源（如：VMware）的半虚拟化驱动。

常规驱动程序并不知道自身运行于虚拟机管理程序之上，它和底层硬件之间的交互通常需要管理程序的转发。这些驱动程序仅仅和子操作系统内核之间交互，然后子操作系统内核通过普通方式和虚拟机管理程序之间交互。在某些情况下，管理程序可能并不能识别驱动所发出的（或者是发往驱动）指令。这种结果下，程序会返回错误值写入到每个虚拟机内部的vmware.log中，程序所需的功能将无法实现，这个过程多数时候对虚拟机的影响并不明显。有些时候，这种情形会直接导致虚拟机的崩溃。例如，VMware的管理程序vmkernel，并不能有效执行每个SCSI指令，一些特殊的指令将导致在VMware.log中写入错误日志。或在一些情况下，虚拟机会瘫痪。

VMware后门程序

关于VMware的后门程序是一个让人困惑和，并被许多人诟病的问题。一般来说，通过一些虚拟机内部的简单设置就可以保护VMware后门程序安全。后门程序是一种旁路通讯方式，提供了管理程序和虚拟机之间的另外一条交互通路，通常情况下VMware后门程序是供给VMware工具来使用的。

VMware工具可以在所有的用户权限下运行，因此每个用户都可以通过虚拟机后门程序运行一些VMware工具命令行。通常普通用户并不需要经常通过VMware工具来执行命令行指令，所以在VMware ESX环境中，VMware工具应该被严格限制给系统管理员使用。不幸的是，VMware后门程序是对所有用户开放的，并且不能在子操作系统内通过设置来关闭。

确保VMware后门程序的安全性

通常用来保护VMware后门程序的方式是在VMware 高级设置来配置更改一些选项。现在通用的安全标准都不建议使用最小化配置，而是通过建立一些不同配置的子集来管理。这里提供了一些设置方式，可以在Advanced Options下设置虚拟机配置来保证VMware后门程序更高的安全性（或直接添加到每个虚拟机的.vmx 文件中）：

DISA STIG for ESX

禁止从虚拟机的远程控制端向工作站拷贝：isolation.tools.copy.enable => false

禁止从工作站向虚拟机远程控制端粘贴：isolation.tools.paste.enable => false

禁止改变屏幕分辨率和色度：isolation.tools.setguioptions.enable => false

CISecurity ESX Benchmark

禁止从虚拟机的远程控制端向工作站拷贝：isolation.tools.copy.enable => false

禁止从工作站向虚拟机远程控制端粘贴：isolation.tools.paste.enable => false

禁止改变屏幕分辨率和色度：isolation.tools.setguioptions.enable => false

禁止VMware工具进行配置更改的功能：isolation.tools.setinfo.disable => true

VMware VI3.5加固指导

禁止某些情况下对vmware.log文件的访问登陆。在允许访问的情况下极大减少了访问量，可以减轻磁盘的I/O压力：isolation.tools.log.disable => true

使vmware.log文件按照设定的字节循环滚动保存，避免vmware.log文件变得非常的庞大：log.rotatesize => 100000

只保存设定数量的历史vmware.log文件，避免重复保存的该文件占用大量磁盘空间。在VMFS系统中，这个文件可以迅速达到32K的文件大小上限。log.keepold => 10

限制可以发送给VMware后门程序的数据量：tools.setinfo.sizeLimit => 1048576

禁止通过后门程序直接对虚拟机内部的一些配置信息做修改：isolation.tools.setInfo.disable => true

禁止虚拟机通过VMware后门程序直接设置虚拟机硬件设备（软驱、光驱、网卡等）的连接状态（断开或连接）：isolation.tools.connectable.disable => trueisolation.tools.diskshrink.disable => true

禁止虚拟机通过VMware后门程序直接调用diskwiper功能：isolation.tools.diskwiper.disable => true

根据安全需求的不同，所有的选项可以被设置用来保证子系统和VMware远程控制主机之间以及在虚拟机、管理程序及文件系统之间交互的安全。这些设置可以防止一些非常有趣的（有时是让人迷茫的）由于缺少空间导致的管理程序故障。

对VMware后门程序的保护是非常重要的，必须强调的一点是***适当限制使用VMware工具，而不是对驱动的访问。或者，执行集成在子操作系统内部的，像Window UAC（User Access Control）或SElinux这样的强制访问控制工具也是一样的效果。通过这些来限制什么时候可以访问VMware的后门程序。

虚拟机安全最主要的部分是在子操作系统之内，但是虚拟硬件设置也会起到作用。尝试去掌握和练习那些用于加固虚拟机的指导方针、基准和检查清单，帮助您更加合理地保护您的虚拟机。

【编辑推荐】

这电脑病毒有什么危害

32　病毒名称 中 文 名:“顽梯”变种 病毒长度:可变 病毒类型:恶意驱动程序 危害等级:★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 “顽梯”变种d是一个恶意驱动程序，开启被感染计算机的后门，未经授权访问用户计算机。 “顽梯”运行后，在系统目录下或Windows目录下创建病毒副本。 修改注册表，实现开机自启。 开启被感染计算机的后门，未经授权访问用户计算机。 用户第一次运行该程序，屏幕显示虚假错误信息，隐藏自我，在后台感染用户计算机。 32病毒怎样查杀手动通杀办法（建议在安全模式下操作）：一、显示所有文件。 断开网络连接，打开“我的电脑”，依次打开菜单“工具/文件夹选项”，然后在弹出的“文件夹选项”对话框中切换到“查看”页，去掉“隐藏受保护的操作系统文件（推荐）”前面的对钩，让它变为不选状态，在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项，去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态，最后点击“确定”。 二、寻找病毒注册表信息。 打开“开始/运行”，输入“regedit”后“确定”以打开注册表编辑器，进入到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run键下，在右边列中，找到一个名为“；Rundll”的值，如果找到请双击打开看，查看并记下“数值数据”中指示的文件及路径名，一般为“C:\WINNT\System32\”的形式（但并不固定，这要根据具体的环境而变化），注意其中的“”代表的是任意值，并不固定，而不是4个X，所以这时一定要记清这个“”所代表的文件名，记下后然后从注册表中删除这个“；Rundll”值；三、结束病毒进程。 按Ctrl+Alt+Del键弹出任务管理器，找到在上面第二步中记下的“”的进程（注意这里的是具体的名称而不是4个X）。 找到有相同的进程后选中它并点击“结束进程”以结束掉木马进程；四、删除病毒文件。 打开资源管理器进入到系统目录\Winnt\System32下（如果您的win2000/nt/安装在C盘则就是 C:\Winnt\System32）。 找到和文件然后直接删除它们（当然，这里的XXXX所代表的仍然不是4个X，而是具体的名称）；如果在删除过程中发现删除不掉，而是报告“文件正在使用中无法删除”，则可以注销或重启一下电脑，然后再按此方法找到并删除它就可以了。

流氓软件与正规软件,有什么不同

正规软件指的是：为方便用户使用计算机工作、娱乐而开发，面向社会公开发布的软件。 “流氓软件”介于两者之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害。 流氓软件的分类根据不同的特征和危害，困扰广大计算机用户的流氓软件主要有如下几类：1、广告软件（Adware）定义：广告软件是指未经用户允许，下载并安装在用户电脑上；或与其他软件捆绑，通过弹出式广告等形式牟取商业利益的程序。 危害：此类软件往往会强制安装并无法卸载；在后台收集用户信息牟利，危及用户隐私；频繁弹出广告，消耗系统资源，使其运行变慢等。 例如：用户安装了某下载软件后，会一直弹出带有广告内容的窗口，干扰正常使用。 还有一些软件安装后，会在IE浏览器的工具栏位置添加与其功能不相干的广告图标，普通用户很难清除。 2、间谍软件定义：间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。 危害：用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等。 这些“后门程序”甚至能使用户的电脑被远程操纵，组成庞大的“僵尸网络”，这是目前网络安全的重要隐患之一。 例如：某些软件会获取用户的软硬件配置，并发送出去用于商业目的。 3、浏览器劫持定义：浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、Winsock LSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。 危害：用户在浏览网站时会被强行安装此类插件，普通用户根本无法将其卸载，被劫持后，用户只要上网就会被强行引导到其指定的网站，严重影响正常上网浏览。 例如：一些不良站点会频繁弹出安装窗口，迫使用户安装某浏览器插件，甚至根本不征求用户意见，利用系统漏洞在后台强制安装到用户电脑中。 这种插件还采用了不规范的软件编写技术（此技术通常被病毒使用）来逃避用户卸载，往往会造成浏览器错误、系统异常重启等。 4、行为记录软件（Track Ware）定义：行为记录软件是指未经用户许可，窃取并分析用户隐私数据，记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。 危害：危及用户隐私，可能被黑客利用来进行网络诈骗。 例如：一些软件会在后台记录用户访问过的网站并加以分析，有的甚至会发送给专门的商业公司或机构，此类机构会据此窥测用户的爱好，并进行相应的广告推广或商业活动。 5、恶意共享软件定义：恶意共享软件是指某些共享软件为了获取利益，采用诱骗手段、试用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许即将其安装到用户机器里。 危害：使用“试用陷阱”强迫用户进行注册，否则可能会丢失个人资料等数据。 软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。 例如：用户安装某款媒体播放软件后，会被强迫安装与播放功能毫不相干的软件（搜索插件、下载软件）而不给出明确提示；并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。 又比如某加密软件，试用期过后所有被加密的资料都会丢失，只有交费购买该软件才能找回丢失的数据。 随着网络的发展，“流氓软件”的分类也越来越细，一些新种类的流氓软件在不断出现，分类标准必然会随之调整。

机器狗病毒特性是什么？？

病毒名称：“AV终结者”病毒与熊猫烧香过于“张扬”的特点不同，“AV终结者”的攻击手段更为隐蔽，用户如果感染了该病毒，所有杀毒软件将被禁用；想用搜索引擎去查找一些解决办法，输入“杀毒”字样，浏览器窗口遂被关掉；安全模式也会遭破坏，甚至格式化系统盘重装后很容易被再次感染；更为严重的是，该病毒可在用户电脑安全性丧失殆尽的情况下下载大量盗号木马、风险程序，给用户的网络资产带来严峻威胁。 附“AV终结者”病毒八大病毒特征：1. 生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。 2. 绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。 即使手动删除了病毒程序，下次启动这些软件时，还会报错。 3. 不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。 4. 禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。 为该病毒的下一步破坏打开方便之门。 5. 破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复6. 当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。 假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。 7. 在本地硬盘、U盘或移动硬盘生成和相应的病毒程序文件，通过自动播放功能进行传播。 这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。 8. 病毒程序的最终目的是下载更多木马、后门程序。 用户最后受损失的情况取决于这些木马和后门程序。