VirtualBox 不是完全沙盒化的吗？

Question

我在玩虚拟机，不知何故发现自己在一个恶意网站上（在虚拟机中？Ubuntu、Firefox）。我绝对没想到的是，我的主机上的Avast Antivirus 会发送通常的“威胁阻止”通知。

根据 Avast 的说法，威胁的来源是我在 VM 上访问的网站。这怎么可能？我认为虚拟机应该与主机完全沙箱化。事实上，在我的主机上运行之前，我曾想在虚拟机上测试潜在的恶意软件。这里发生了什么？

Answer 1

VM 不能完全隔离，因为它没有自己的硬件。它使用主机的硬件资源，例如磁盘、CPU、GPU 和网络适配器。

所有这些硬件都由 VM 通过 VirtualBox 及其虚拟驱动程序使用。

Avast Antivirus 正在监控主机的网络适配器，因此它可以监控来自主机或 VM 的所有请求和响应。由于它在主机上运行，而不是在 VM 中运行，因此您将在主机上看到它的通知和操作。

主机应该只能看到未加密的网络通信。从虚拟机内部访问任何 https 站点都不会被主机注意到和拦截，除非主机使用自己的根证书“感染”了来宾虚拟机。 (19认同)
@RolandIllig 尽管如此，仍然可以使用 DNS 阻止许多恶意域。Firefox 现在使用加密的 DNS，但 Avast 阻止 EDNS 以强制 FF 回退到未加密的 DNS 的可能性不大。 (9认同)
即使所有 DNS 流量都已加密，avast 仍然可以仅通过其 IP 地址检测您连接到的服务器，并在数据包级别阻止该流量。 (4认同)
关于“没有自己的硬件”这一点，请参阅 [行锤](https://en.wikipedia.org/wiki/Row_hammer) 了解各种沙箱逃逸。 (3认同)
@James_pic 在 CDN 上托管一个需要您的个人详细信息进行注册的恶意网站并不是最明智的主意。小型几乎匿名的虚拟主机通常会被防病毒软件阻止，即使这意味着地毯式轰炸无辜的网站。 (2认同)

Answer 2

正如@harrymc 所说，这是由于网络配置造成的。

您可能将 VirtualBox 中的网络适配器配置为 NAT。根据 Avast 的工作方式（免责声明：我不运行它），您可以尝试：

我在网络测试中使用了后者，主机无法干扰网络流量。