问如果恶意软件不在VM中运行，为什么不将一切都变成VM呢？

EN

首先，我们必须考虑为什么恶意软件会做出这种区分。

有些恶意软件在VM中不运行，因为这个VM很有可能用于检查恶意软件(即一些安全研究员)，因为大多数普通用户不使用VM。但是，如果每个人都在使用VM，那么VM用于检查的可能性就很低。这意味着不再有真正的理由使用这种简单的启发式来区分潜在的安全研究人员和受害者。因此，这种启发式将被认为是无用的，并将在未来使用另一种。这意味着将来的恶意软件也会在VM中运行。

请注意，还有其他启发式方法，比如检查研究人员经常使用的特定工具是否安装在系统上。现在，为什么不让大家安装这样的工具来禁用恶意软件呢？同样的原因:该启发将不再被恶意软件作者使用，因为它不再足够可靠地工作。

事实上，也有类似的做法。首先，请注意以下几点：

• 并非所有针对VM的恶意软件检查，还有其他不运行的通用标准，如研究或监视工具。
• 您不需要在VM中运行。你只需要让恶意软件以为你这么做了。

使用这种技术的一家公司是密涅瓦。他们称它为敌对环境模拟：

攻击者投入巨大的精力来开发和测试恶意程序，这些程序避开了您现有的防御系统，并且只会在它认为安全的环境中启动。规避恶意软件检查各种安全工具，如沙箱，调试器，防病毒和其他，然后才决定是否攻击。Minerva实验室的敌对环境模拟模仿安全产品的存在，这些安全产品被设计用来绕过恶意软件。当高级恶意软件遇到属于以下类别的工件时，它会关闭自己，而不是展示它的真实性质：

• 用于恶意软件检测的防病毒和其他安全解决方案。
• 虚拟机和仿真器，用于手动和自动恶意软件分析。
• 沙箱产品，用于在受控环境中引爆可疑程序的行为。
• 法医工具包，用于分析分析恶意软件样本，作为取证调查的一部分。

因为恶意软件运行在VM中。

它不能感染主机或其他VM。

将所有内容都放入VM中仍然是提高安全性的可行方法，并且正在这样做。