Программ виртуальных машин существует несколько.

Мы подробно рассмотрим две самые распространенные VirtualPC vs VMWare.
Проведём сравнительный тест VirtualPC и VMWare и оценим их пригодность для выполнения различных задач.

1) Совместимость.

Принцип работы виртуалок таков. Нам требуется исходная(хостовая\основная) операционная система, в которой нам собственно удобно работать и от которой мы ещё не готовы отказаться =]

- Соответственно, сам инсталятор виртуалки должен поддерживать нашу хостовую ОС.


VMWare - Windows\Linux
VirtualPC - Windows


Ага! Итак, на самом начальном этапе выясняется, что если вы заядлый линуксоид - ваш выбор очевиден, и вам полезно лишь ознакомится с особенностями ВМвари, описанными ниже.
А поклонники винды могут выбирать виртуалку своей мечты =]

- Операционная система, устанавливаемая в виртуальной среде, называется гостевой. И опять же, здесь есть ограничения.

VMWare - офф. поддержка любой ОС: 32\64 разрядная, i386 архитектуры.

VirtualPC - офф. поддержка Win систем, неофициальная - всех остальных i386.

То есть, по сути одно и тоже, что несколько радует. Правда не факт, что какой-нибудь новейший дистрибутив вдруг встанет на одну и не встанет на другую.



Для совместимости драйверов ОС виртуалка эмулирует самые распространённые девайсы, потому как правило проблем и глюков не возникает.
Есть два отличия:
- эмуляция в VMWare позволяет сымитировать двух- четырёх-процессорную мат-плату. VirtualPC на такое не способен.
- для работы VirtualPC НЕОБХОДИМА файловая система NTFS на хостовой системе.



В линейке дистрибутивов виртуалок есть некоторое разнообразие, однако не будем углубляться на ненужных нам различиях, просто учтём, что:

VMware:
- Player - только запуск готового образа
- Workstation - создание\запуск\настройка образа
- Virtual Server - как Workstation+серверные фичи

VirtualPC:
- Virtual PC - создание\запуск\настройка образа
- Virtual Server - как Virtual PC+серверные фичи
- Windows Scripting Host - удалённое управление(раб.стол!) через WEB


Оба продукта имеют одинаковые возможности по поддержке сетевых интерфейсов:

- "Use bridged" - непосредственный доступ к сетевому интерфейсу:
виртуалка юзает одну и туже сетевую карту с хостовой никак не мешая, имея свой собственый айпи-мак(!).
Я реально оценил такую возможность, и долго прикалывался в болталке над юзерами, разговаривая с ними и сам с собой =]
Это очень интересная особенность поскольку можно держать сколь угодно много(кол-во виртуалок) айпи-маков на одном интерфейсе без применения спуфинга и сниферов в локальных сетях на свичах.

- "Use NAT" - трансляция сетевых адресов.
При использовании ната гостевая машина может общаться с внешней сетью, имеет тот же IP, что и ваша машина, к гостевой системе НЕЛЬЗЯ обратиться из вне напрямую.
Помните, что некоторые провайдеры не допускают использование NAT'a и могут обнаружить вашу гостевую ОС, так как при прохождении пакетов через вас размер TTL уменьшается на единицу, что может быть зафиксировано.
Кроме того, в NAT'e ВМвари была недавно найдена уязвимость, позволяющая выполнить произвольный код на основной системе.


Переполнение динамической памяти в реализации NAT в продуктах VMWare | информационный портал по безопасности


Публичного сплоита пока нет, но долго ли не будет?

- "Use NAT host-only" - отдельное изолированное подключение между хостовой и гостевой ОС.

- "Do not use networking" - нет сетевых подключений.



Интересной особенностью является динамическое расширение дискового пространства. Те оно не резервируется, а увеличивается в процессе надобности, хотя гостевая думает, что его всегда много.
Впрочем, можно сделать статическое выделение места, но нужно ли? Если так сделать, то лишь для профилактики дефрагментации.


Разумеется, производительность гостевой системы не на высоте, потому не стоит пытаться запускать ресурсоемкие приложения\игры и прочее - ничего хорошего из этого не выйдет.

2) Анонимность.

А можно ли определить использование виртуальной среды? Ещё как!
Есть множество способов, и ни отнюдь не теоретические. Механизмы детектирования виртуалок давно реализованы.
Вот несколько сорсов, используемых в продвинутых вирусах и червях(например, Agobot'e).

Механизмы обнаружения VMWare:

- специфическое оборудование
видеокарта VMware Inc [VMware SVGA II] PCI Display Adapter;
сетевая карта Advanced Micro Devices [AMD] 79c970 [PCnet 32 LANCE] (rev 10);
жесткие диски VMware Virtual IDE Hard Drive и VMware SCSI Controller;


00:05:69:**:**:** VMWARE, Inc.
00:0C:29:**:**:** VMware, Inc.
00:50:56:**:**:** VMWare, Inc.


- механизм управления
Так называемый бэкдор для служебных целей, через который происходит управление ВМварей через порт ввода\вывода.
При выполнении определённых операций с регистрами произойдёт исключение на реальном компе, но не на ВМвари - она будет обнаружена.
Если вирус поинтересуется конфигурацией вашего железа - приехали.
Более того, виртуальную среду можно элементарно определить удалённо: сетевая карточка ВМвари имеет специфический мак-адрес:

Механизмы обнаружения VirtualPC:
В принципе много схожего с VMware.

- специфическое оборудование
видеокарта S3 Trio32\64
сетевуха Intel 21140
По идее можно встроить в вирус защиту на не активацию при нахождении этих двух железяк. Думаю, количество ложных срабатываний будет близко к нулю.

- механизм управления
ВиртуалРС использует инвалидные инструкции процессора, которые также можно детектировать. Изменяющих заплаток нет.


Трудно сказать, какой из продуктов более защищён от обнаружения. Наверняка у каждого из них есть отличительные особенности, известные узкому кругу разработчиков\хакеров, позволяющие их идентифицировать.


Пожалуй самый интересный и оригинальный вариант - хакерить на MacOS Ни VMWare, ни VirtualPC не позволяют его установить, поскольку не поддерживают эмуляцию PowerPC.
Для эмуляции и установки Мака используют PearPC(есть и под Windows и под Linux)


Использованы материалы:
"Виртуалкины" пакости и заподлостроительство:
VMWARE. Клонируем компы. Делаем из одного компа много разных

Захват чужого ботнета:
Смена командования

Методы обхода виртуальных машин:
Побег из VMWare (Хакер 03.2006)