我可以在 VM 与其备份之间运行 Diff 吗？

你有两个问题，所以我会分解答案：

那么，如果我要创建一个新的虚拟机，然后运行感染程序，有没有办法查明它感染了哪些文件？

如果您执行了 Windows 更新或安装新软件（也可以考虑 Web 浏览器或版本更新）之类的操作，那么由于修改文件的数量，此任务可能会变得非常困难。然而，即使你这样做了，复制了所有你认为没有被感染的文件，然后构建了一个新系统，只需要一个被感染的文件，你就完蛋了。

虚拟机与外部系统完全隔离，对吗？

仅当他们不在网络上或以任何方式共享文件时。例如，使用 VMware Fusion，您可以在主机和来宾之间自动设置文件共享，从而允许来宾写入您的配置文件目录。使文档共享变得更加容易，但也增加了传播病毒的可能性。

另外，您是否曾经通过电子邮件将文件从 VM 来宾发送到主机？繁荣，如果病毒在那个文件中，你就完蛋了。

我完全支持这种方法，如果你这样做是为了取证目的，了解更多关于病毒的信息，也许可以作为一个练习来确定检查虚拟机中的增量的方法。

如果您是从“我想在不重新安装的情况下从该病毒中恢复我的服务器”的角度来执行此操作的，那么您应该重新检查您的目标。

我不知道更好的方法，所以我会以艰难的方式来做，在引入病毒之前让系统达到你想要的程度。然后你使用 Linux cd 启动并使用 'dd' 制作文件系统的映像。

然后重新启动机器，引入病毒，再次将其关闭，用 CD 重新启动，再次 dd 到另一个映像，然后使用 noexec 挂载选项以只读方式挂载映像，然后编写将在文件系统之间运行 diff 的 find 命令之一一次文件和不同的输出文件。

现在，一些警告。首先，因为这个方法太糟糕太慢了，所以必须有更好的方法，但我不知道它是什么。其次，会有一些误报。Windows 一直在写入注册表，因此注册表文件会有所不同。任何已更改的配置文件、任何开始自行下载的更新等也会如此。

实际上，您可能可以使用 find -mtime 来获取相同的数据，然后对那些已更改的文件运行 diff 。由于您使用的是 Linux，因此 clamav 也可能会为您节省一些时间。

只是想添加一个警告：从技术上讲，病毒有可能从 VM 中逃脱！（特别是如果编写了病毒以感染虚拟机及其主机。）任何应用程序都可以检测它是否在虚拟机中运行，因此可以添加代码以打破常规。但是，很少会发现会以这种方式感染 VM 主机的病毒。

另一方面，VM 可能会与其主机共享其网络连接。这创造了第二种感染方式。如果您在同一主机上运行多个虚拟机，它甚至可能通过网络连接感染其他虚拟机！

当然，也可能发生您的主机被感染并将病毒转发到您的虚拟机的情况。

因此，请确保其安全：在您的虚拟机上安装病毒扫描程序，并确保病毒扫描程序和操作系统本身保持最新。

不确定您的 VM 平台是什么，但 VMware 提供了一个名为 mountvm.exe 的实用程序，它允许您将 VMDK 文件挂载到文件系统并查看虚拟磁盘的内容。然后，您可以使用 windiff（或类似的东西）来比较已安装 VM 中的文件。我确信其他管理程序也提供类似的工具

关于你的第二个问题，虽然我不知道是否存在通过管理程序攻击的漏洞，但我认为有一些 PoC 表明它可能是可能的（当然，有些人对此提出异议）。搜索“Blue Pill”，看看你找到了什么。正如其他人所提到的，在主机和来宾之间复制文件，并允许主机和来宾之间的直接网络连接肯定会增加相互感染的机会。