¿Es posible evitar que VirtualBox (u otra VM) deje rastros en el host?

1

El contexto: ya uso FDE en la unidad de mi sistema (cifrado seguro, contraseña larga e indiscutible, etc.), pero en caso de que me roben la contraseña o mi computadora arranque en frío, quiero evitar cualquier adversario potencial (supongamos que es un experto e ingenioso, como un pirata informático con conocimientos de informática forense) de aprender sobre mis actividades más privadas en mi computadora: registros de visitas a ciertos sitios web, manejo de archivos confidenciales (como documentos de trabajo protegidos), comunicaciones privadas , y así sucesivamente.

La configuración: tengo VirtualBox instalado en mi máquina (Host) usando el instalador estándar y la configuración. Tengo un sistema operativo VM / Guest para las actividades privadas mencionadas anteriormente, por lo que no quedan rastros en el Host (o al menos no son evidentes de inmediato, no hay entradas de "Archivos recientes", historial del navegador, etc.). El Guest VDI (disco duro virtual) se almacena en una partición cifrada separada (que utiliza una contraseña diferente de la unidad de mi Host).

(En caso de que sea relevante, el sistema operativo host es Windows 8.1 Pro; el sistema operativo invitado es Windows 7 Ultimate.)

Como lo entiendo, esta configuración significa que cuando VirtualBox se apaga, el sistema operativo invitado es inaccesible sin la contraseña de su partición cifrada; sin embargo, VirtualBox puede dejar rastros de su funcionamiento y mis actividades dentro del SO Host (como archivos de registro, archivos temporales, entradas de registro, etc.). No sé qué información almacena VirtualBox sobre el contenido de sus máquinas virtuales o qué hacen los usuarios con ellos, por lo que asumo el peor de los casos: registros de archivos abiertos y modificados, sitios web visitados, personas comunicadas, etc. ( Sé que esto es probablemente paranoico, pero preferiría estar seguro que lamentarlo.

Mi pregunta: ¿Es posible instalar o configurar VirtualBox de tal manera que no deje ningún rastro antes mencionado (registros, archivos temporales, entradas de registro, etc.) en la unidad del SO Host? Para ser claros, me preocupa menos ocultar la existencia de VirtualBox o la VM, y más de ocultar lo que hago dentro de esa VM cuando se está ejecutando. Si puedo lograr esto último, estaré satisfecho.

Una idea que tuve fue usar Portable-VirtualBox , que pretende forzar a VirtualBox a usar rutas relativas para sus archivos para que Todos están almacenados en el mismo directorio en el que se instala Portable-VirtualBox (en lugar de "< User > \ AppData", etc.). Usar esto en un volumen de VeraCrypt sería ideal para mí, pero todavía no lo he probado y, al menos, no sé qué rastros de Portable-VirtualBox aún pueden quedar atrás en el SO Host.

(En cuanto a por qué no uso un sistema de arranque en vivo como Tails, prefiero poder usar mi sistema operativo normal al mismo tiempo sin necesidad de apagar uno para arrancar el otro; Quiero usar una VM si es posible. Planeo comprar una computadora por separado en el futuro para todo esto, momento en el cual una VM ya no será necesaria, pero no por un tiempo.)

Por favor, avíseme si algo sobre mi pregunta no está claro. Gracias por cualquier idea o consejo.

    
pregunta Walter 29.05.2017 - 02:38
fuente

1 respuesta

1

La mera presencia de un archivo VDI (o vmdk) es una evidencia de que el host contiene una máquina virtual. Peor aún, dependiendo de la configuración de la red, es posible que tenga controladores especiales que indiquen claramente que utiliza la virtualización en este host.

Solo puedo imaginar 2 formas para ocultar que:

  • el estándar es tener un VM normal y un partición oculta del Sistema Operativo en esa VM. Demuestra que usa VirtualBox pero oculta lo que hace con él ...
  • como alternativa, puede usar una instalación portátil en un medio extraíble. Cuando el medio extraíble no está conectado, puede fingir que ha usado VirtualBox, pero ya no lo usa.

El sistema de registro de Windows es una herramienta bastante buena, y la virtualización puede requerir controladores de red especiales. Por lo tanto, excepto si lo conoce bien y analiza cuidadosamente todos los rastros posibles, no confiaría en la posibilidad de ocultar ningún rastro, sino más bien en simular los datos que desea no están allí .

    
respondido por el Serge Ballesta 29.05.2017 - 08:06
fuente

Lea otras preguntas en las etiquetas