[BEANTWORTET]Testumgebungen für MalwareThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
21.10.2008, 10:29
...neu hier
Beiträge: 4 |
||
|
||
21.10.2008, 11:16
Member
Beiträge: 647 |
#2
Ich gehe davon aus das die Malware unter WXP oder ähnlichem läuft/laufen soll, daher bezieht sich meine Antwort mal auf dieses Szenario.
Beste lösung wäre ein Linux auf dem du eine Windows-VM wie wine etc. laufen lässt. Vorteil: Es ist kein "überspringen" auf das host-OS möglich. Nachteil: Evtl. Kompatibilitäts-probleme. Eine Sandbox ist immer nur so gut wie die programmierer diese entwickelt haben, 100%tigen Schutz bietet dieses Konzept auf jeden fall nicht. Auf einem Produktivsystem ist das nicht zu empfehlen. Eine Windows-VM auf einem Windows-OS anzulegen birgt im übrigen die gleichen Gefahren als wenn man eine Sandbox benutzen würde, auf einem Produktiv-System also auch nicht zu empfehlen. __________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
||
21.10.2008, 11:38
Moderator
Beiträge: 7805 |
#3
Es ist dabei auch zu bedenken, das aktuelle Malware oefters nicht unter VM laeuft, bzw nicht so, wie sie es unter normalen Bedingungen wuerde.
Wenn der Rechner normalen Zugang zum Internet hat, besteht die Gefahr, das aktive Malware diesen Rechner genauso zu "boesen" Zwecke, wie Spamversand und Botnetz zugehoerigkeit, nutzt. Sprich du bist verantwortlich fuer die Dinge, die auf deinem Rechner passieren. Das kann u.U soweit gehen, das dir der Provider kurzfristig den Internet Zugang sperrt! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.10.2008, 12:03
...neu hier
Themenstarter Beiträge: 4 |
#4
Danke für die interessanten Ideen und Bemerkungen!
@heptamer666: Die Idee mit Linux klingt gut und ich glaub, dass ich das mal probiere... Wahrscheinlich ist die Frage dumm aber ich geh lieber mal auf Nummer sicher: Wenn ich Ubuntu o. Ä. parallel zu Windows installiere und dort dann WinXP emuliere, kann die Malware doch eigentlich auf keinen Fall auf mein Win Vista geraten...oder? @raman: Ich denke, dass nicht viel passieren könnte, da ich zuerst mal mit den Constructorn herumprobieren will..... Bevor mir hier irgendjemand was unterstellen will: Es geht mir darum, dass ich wissen will wie leicht es ist mit Packern und Ähnlichem einen Trojaner oder Virus der mit einem als "detected" bekannten Constructor gebaut wurde, vor Antivir Proggis zu verstecken. |
|
|
||
21.10.2008, 12:26
Member
Beiträge: 647 |
#5
Zitat scarfacebdp posteteWenn ich Ubuntu o. Ä. parallel zu Windows installiere und dort dann WinXP emuliere, kann die Malware doch eigentlich auf keinen Fall auf mein Win Vista geraten...oder?Nein, die VM läuft gekapselt unter Linux, es findet kein Austausch mit irgendeinem anderen parallel installierten OS statt. __________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
||
21.10.2008, 15:48
...neu hier
Themenstarter Beiträge: 4 |
#6
Ok....ist zwar mit ein wenig Aufwand verbunden aber wenigstens bin ich dann abgesichert.
Danke für die Antworten und für die schnelle Hilfe! |
|
|
||
Ich möchte keine Rootkits, sondern "Standard-Malware" testen; z.B. die Gefahr die von "Constructor-Kits" ausgeht.
1. Sandbox - Programme
Die Sandbox Proggis sollen Anwendungen in einer geschützten Umgebung ausführen die vom Host-OS getrennt ist.
Nachteil ist anscheinend die direkte Schnittstelle die zwischen der Sandbox und dem Host-OS existieren muss.
Hat schon jemand von euch Erfahrungen mit solchen Programmen?
Mir sind Joebox und Sandboxie aufgefallen. Zu Sandboxie fand ich hier im Forum auch mehrere Threads aber leider sind diese nicht aktuell und liefern keine Infos über die aktuelle Sandboxie Version.
(http://board.protecus.de/t28730.htm?highlight=sandbox)
2. Virtual PC
Dazu hab ich hier im Forum wenig gefunden (liegt unter Umsänden daran, dass ich nicht nach "PC" suchen konnte ). Wie siehts damit aus? Können die Viren leichter oder schwerer "ausbrechen"? Und gibt es Unterschiede bei den verschiedenen VM's?
3. Ausgedienter Offline PC
Die beste Lösung aber für mich leider nicht möglich, da ich keinen älteren PC mehr hier stehen hab...
Danke schonmal fürs Lesen und für die eventuelle Antwort!