问：虚拟化产品如何帮你抵御恶意软件？

　　答：在合理使用虚拟化产品的时候，它们的表现非常好。在现有的攻击技术下，一个感染的客户机不可能感染下伏的主机或其他客户机，只要主机和客户机都更新了补丁，经过了加固。
　　
　　所以，例如，如果你需要研究给定的恶意软件样本，或者登录可能不可信的站点，你可能会想使用客户机。首先，在原始的客户机操作系统上设置一个还原点。然后，运行恶意软件，进行分析。下伏系统从这里受到感染的可能性很小。运行了恶意软件之后，就可以点击虚拟产品上面的还原按钮，这样原始的系统就恢复了。要实现这一点，可以使用免费的VMware Player产品的免费虚拟浏览器。Player的还原按钮是非常有限的。为得到原始的客户机，只需使用VMware Player，并从原始的图像中导入客户机应用程序。

　　作为弃权者，这个方法不是很好。越来越多的恶意软件企图检测他是不是在虚拟机上运行。如果恶意软件识别到了这样的位置，可能会改变它的功能，并且隐藏或改变它的大部分有趣的功能。如果你喜欢分析恶意软件，你可能想要确定恶意软件是否正在检测虚拟机。关于该话题的更多题目，请查阅我和同事Tom Liston合写的文章（.pdf格式）。这篇文章中，我们探讨了预防VMware探测的平衡技术。

　　受到关注的第二个点涉及到恶意代码从虚拟机上溢出的可能性，恶意代码可能从一台客户机进入另一台，或者甚至进入下伏主机。这样的攻击不容易实现，而且到这篇文章发表时，还没有发生公共代码有这样的情况。这是研究的热门话题，但是目前还只是处在理论领域。