必须首先考虑恶意软件为什么要进行这种区分。

某些恶意软件不会在 VM 中运行，因为大多数普通用户不使用 VM，因此该 VM 被用于检查恶意软件（即某些安全研究人员）的机会很高。但是，如果每个人都在使用 VM，那么VM 用于检查的机会就很低。这意味着不再有真正的理由使用这种简单的启发式方法来区分潜在的安全研究人员和受害者。因此，这种启发式将被认为是无用的，并且将来会使用不同的启发式。这意味着未来的恶意软件也将在虚拟机内运行。

请注意，还有其他启发式方法，例如检查研究人员经常使用的特定工具是否安装在系统上。现在，为什么不让每个人都安装这样的工具来禁用恶意软件呢？同样的原因：恶意软件作者将不再使用启发式算法，因为它不再足够可靠地工作。

事实上，类似的事情正在实践中。首先，请注意以下几点：

• 并非所有恶意软件都会检查虚拟机，还有其他常见的不运行标准，例如研究或监控工具。

• 您不需要在 VM 中运行。你只需要让恶意软件像你一样思考。

使用这种技术的一家公司是Minerva。他们称之为敌对环境模拟：

攻击者投入巨大精力来开发和测试逃避现有防御的恶意程序，并且只会在它认为安全的环境中启动。规避型恶意软件会检查各种安全工具，例如沙箱、调试器、防病毒软件等，然后才决定是否进行攻击。

Minerva Labs 的敌对环境模拟模拟了规避恶意软件旨在绕过的安全产品的存在。当高级恶意软件遇到属于以下类别的工件时，它会自行关闭而不是展示其真实性质：

• 用于恶意软件检测的防病毒和其他安全解决方案。
• 虚拟机和模拟器，用于手动和自动恶意软件分析。
• 沙盒产品，用于通过在受控环境中引爆可疑程序来了解它们的行为。
• 取证工具包，分析人员用来剖析恶意软件样本，作为取证调查的一部分。

因为恶意软件在虚拟机中运行。

它不能感染主机或其他虚拟机。

将所有东西都放在虚拟机中仍然是提高安全性的可行方法，并且正在这样做。

虚拟机保护免受恶意软件的概念是基于您在虚拟机中运行不受信任的程序的想法，这些程序没有恶意软件可以破坏或窃取的有价值信息。

如果你把所有东西都放在一个虚拟机中，这个虚拟机就会像原来的系统一样对恶意软件敏感。

在虚拟机中处于非活动状态的恶意软件并不是一项保护功能：恶意软件预计感染虚拟机几乎没有什么好处，因此它会尽量保持低调，直到它在真实硬件上运行，从而最大限度地发挥影响。一旦人们开始在虚拟机中保存有价值的信息，恶意软件就会开始感染这些虚拟机。

从主文件夹中窃取用户个人数据的病毒没有兴趣感染 VM 中的 AWS 实例，所以是的，从这个意义上说，VM 对它免疫。就像 SIP 用户对专门窃取 Skype 密码的病毒免疫一样。