问：虚拟可可以保护杀毒工具和入侵防护系统不受攻击吗？恶意黑客要攻破虚拟机的防御的难度有多大？

　　答：最好的程度是虚拟机可以使子系统同拥有和真正系统相同的安全措施。也就是虚拟化不能对在子机上运行的软件增加保护，如果，软件的特定不分在真正的操作系统中受到攻击，那么在VM中也会被攻击。这是因为虚拟技术的目标是使虚拟机表现得和真实计算机一样。所以，需要向在真正操作系统上一样对子机进行加固和补丁配置。

　　现在，虚拟化可以被用于完成一些隔离——就是使用软件的特定不分，并在子机上运行，并和主机或者其他子机上的功能分别开。虽然继续谨慎地处理，聪明的攻击者可能可以攻击虚拟机提供的隔离。它不是没有价值的，而是可能的。如果攻击者可以取得代码，在主机和子机上运行，他或她就可以创建贯穿虚拟家的虚拟隧道。我的团队已经创建了一个小工具，叫做VMcat，它可以创建自己的通信渠道，在主机和子机之间传送数据。现在，Vmcat要求攻击者在主机和子机上都安装被运行一些设备，这样它就不是单纯的游戏escape了。真正的escape可以允许子机上攻击者开始直接在主机上运行软件，突出子机的隔离。

　　虽然在写这篇文章时，没有公开的真正的escape软件的发布，但是在这个领域中有一些有趣的动向。在2007年7月，我的团队演示了使用没有打补丁的VMware Workstation 系统是如何escape的。在不相关的开发中，2007年8月，微软发布了MS07-049，这是它的Virtual Server和Virtual PC中的漏洞的补丁，据微软称，“可以允许子机操作系统用户在主机上或者其他自操作系统上运行代码。”这是对虚拟机escape的教科书版的定义。还有，到写这篇文章时，还没有和VMware或Microsoft相关的攻击。

　　对于这些问题你应该做些什么呢？不断给虚拟化产品打补丁。VMware发布的补丁是定时的，和微软一样。确保已经配置了。还有，加固子机和主机，使攻击者攻击虚拟分区的任何一个的可能性最小化。最后，谨慎架构你的虚拟机配置，减少escape造成的伤害。区分弱计算机——没有重要数据的——和带有有价值信息的强大计算机，并可以是用不同下行主机。不要像对防火墙一样对待你的虚拟机。应该使用真正的防火墙。