> Forums > Allgemeines Security Forum

T

Testumgebungen für Malware

Erstellt
Okt. '08
letzte Antwort Antworten
5
Aufrufe
2.6T
6
„Gefällt mir“
Abos
Noch keine
Di., 21. Oktober, 2008 um 10:16
#1

Ich gehe davon aus das die Malware unter WXP oder ähnlichem läuft/laufen soll, daher bezieht sich meine Antwort mal auf dieses Szenario.

Beste lösung wäre ein Linux auf dem du eine Windows-VM wie wine etc. laufen lässt.

Vorteil: Es ist kein "überspringen" auf das host-OS möglich.
Nachteil: Evtl. Kompatibilitäts-probleme.

Eine Sandbox ist immer nur so gut wie die programmierer diese entwickelt haben, 100%tigen Schutz bietet dieses Konzept auf jeden fall nicht. Auf einem Produktivsystem ist das nicht zu empfehlen.

Eine Windows-VM auf einem Windows-OS anzulegen birgt im übrigen die gleichen Gefahren als wenn man eine Sandbox benutzen würde, auf einem Produktiv-System also auch nicht zu empfehlen.



C&M distanziert sich konkret und ausdrücklich vom Inhalt dieses Postings.
Der Ersteller des Postings haftet für seine Äußerungen.
Inhalte, die nicht den Forumsregeln entsprechen sind bitte vom Leser zu melden ...

Di., 21. Oktober, 2008 um 10:29
#2

Nachdem ich mich mal im Inet umgeschaut hab, wie man Malware aller Art sicher ausführen könnte, bin ich auf verschiedene Möglichkeiten gestoßen. Leider hat anscheinend jede Methode ihre Nachteile und ich wollte einfach mal wissen was ihr so dazu zu sagen habt (eventuell Erfahrung mit der jeweiligen Methode).
Ich möchte keine Rootkits, sondern "Standard-Malware" en; z.B. die Gefahr die von "Constructor-Kits" ausgeht.

1. Sandbox - Programme
Die Sandbox Proggis sollen Anwendungen in einer geschützten Umgebung ausführen die vom Host-OS getrennt ist.
Nachteil ist anscheinend die direkte Schnittstelle die zwischen der Sandbox und dem Host-OS existieren muss.
Hat schon jemand von euch Erfahrungen mit solchen Programmen?
Mir sind Joebox und Sandboxie aufgefallen. Zu Sandboxie fand ich hier im Forum auch mehrere Threads aber leider sind diese nicht aktuell und liefern keine Infos über die aktuelle Sandboxie Version.


2. Virtual PC
Dazu hab ich hier im Forum wenig gefunden (liegt unter Umsänden daran, dass ich nicht nach "PC" suchen konnte ). Wie siehts damit aus? Können die Viren leichter oder schwerer "ausbrechen"? Und gibt es Unterschiede bei den verschiedenen VM's?

3. Ausgedienter Offline PC
Die beste Lösung aber für mich leider nicht möglich, da ich keinen älteren PC mehr hier stehen hab...

Danke schonmal fürs Lesen und für die eventuelle Antwort!



C&M distanziert sich konkret und ausdrücklich vom Inhalt dieses Postings.
Der Ersteller des Postings haftet für seine Äußerungen.
Inhalte, die nicht den Forumsregeln entsprechen sind bitte vom Leser zu melden ...

Di., 21. Oktober, 2008 um 11:38
#3

Es ist dabei auch zu bedenken, das aktuelle Malware oefters nicht unter VM laeuft, bzw nicht so, wie sie es unter normalen Bedingungen wuerde.

Wenn der Rechner normalen Zugang zum Internet hat, besteht die Gefahr, das aktive Malware diesen Rechner genauso zu "boesen" Zwecke, wie Spamversand und Botnetz zugehoerigkeit, nutzt. Sprich du bist verantwortlich fuer die Dinge, die auf deinem Rechner passieren.

Das kann u.U soweit gehen, das dir der Provider kurzfristig den Internet Zugang sperrt!



C&M distanziert sich konkret und ausdrücklich vom Inhalt dieses Postings.
Der Ersteller des Postings haftet für seine Äußerungen.
Inhalte, die nicht den Forumsregeln entsprechen sind bitte vom Leser zu melden ...

Di., 21. Oktober, 2008 um 12:03
#4

Danke für die interessanten Ideen und Bemerkungen!

@heptamer666:
Die Idee mit Linux klingt gut und ich glaub, dass ich das mal probiere...
Wahrscheinlich ist die Frage dumm aber ich geh lieber mal auf Nummer sicher:
Wenn ich Ubuntu o. Ä. parallel zu Windows installiere und dort dann WinXP emuliere, kann die Malware doch eigentlich auf keinen Fall auf mein Win Vista geraten...oder?

@raman:
Ich denke, dass nicht viel passieren könnte, da ich zuerst mal mit den Constructorn herumprobieren will..... Bevor mir hier irgendjemand was unterstellen will: Es geht mir darum, dass ich wissen will wie leicht es ist mit Packern und Ähnlichem einen Trojaner oder Virus der mit einem als "detected" bekannten Constructor gebaut wurde, vor Antivir Proggis zu verstecken.



C&M distanziert sich konkret und ausdrücklich vom Inhalt dieses Postings.
Der Ersteller des Postings haftet für seine Äußerungen.
Inhalte, die nicht den Forumsregeln entsprechen sind bitte vom Leser zu melden ...

Di., 21. Oktober, 2008 um 12:26
#5

scarfacebdp hat Folgendes geschrieben:
enn ich Ubuntu o. Ä. parallel zu Windows installiere und dort dann WinXP emuliere, kann die Malware doch eigentlich auf keinen Fall auf mein Win Vista geraten...oder?


Nein, die VM läuft gekapselt unter Linux, es findet kein Austausch mit irgendeinem anderen parallel installierten OS statt.



C&M distanziert sich konkret und ausdrücklich vom Inhalt dieses Postings.
Der Ersteller des Postings haftet für seine Äußerungen.
Inhalte, die nicht den Forumsregeln entsprechen sind bitte vom Leser zu melden ...

Di., 21. Oktober, 2008 um 15:48
#6

Ok....ist zwar mit ein wenig Aufwand verbunden aber wenigstens bin ich dann abgesichert.
Danke für die Antworten und für die schnelle Hilfe!



C&M distanziert sich konkret und ausdrücklich vom Inhalt dieses Postings.
Der Ersteller des Postings haftet für seine Äußerungen.
Inhalte, die nicht den Forumsregeln entsprechen sind bitte vom Leser zu melden ...

> Forums > Allgemeines Security Forum

Du hast bereits für diesen Post abgestimmt...

;-)



Logo https://t.ress.at/dfd2C/


Ähnliche Themen:











Top