[BEANTWORTET]Testumgebungen für Malware

Thema ist geschlossen!
Thema ist geschlossen!
#0
21.10.2008, 10:29
...neu hier

Beiträge: 4
#1 Nachdem ich mich mal im Inet umgeschaut hab, wie man Malware aller Art sicher ausführen könnte, bin ich auf verschiedene Möglichkeiten gestoßen. Leider hat anscheinend jede Methode ihre Nachteile und ich wollte einfach mal wissen was ihr so dazu zu sagen habt (eventuell Erfahrung mit der jeweiligen Methode).
Ich möchte keine Rootkits, sondern "Standard-Malware" testen; z.B. die Gefahr die von "Constructor-Kits" ausgeht.

1. Sandbox - Programme

Die Sandbox Proggis sollen Anwendungen in einer geschützten Umgebung ausführen die vom Host-OS getrennt ist.
Nachteil ist anscheinend die direkte Schnittstelle die zwischen der Sandbox und dem Host-OS existieren muss.
Hat schon jemand von euch Erfahrungen mit solchen Programmen?
Mir sind Joebox und Sandboxie aufgefallen. Zu Sandboxie fand ich hier im Forum auch mehrere Threads aber leider sind diese nicht aktuell und liefern keine Infos über die aktuelle Sandboxie Version.
(http://board.protecus.de/t28730.htm?highlight=sandbox)

2. Virtual PC

Dazu hab ich hier im Forum wenig gefunden (liegt unter Umsänden daran, dass ich nicht nach "PC" suchen konnte ). Wie siehts damit aus? Können die Viren leichter oder schwerer "ausbrechen"? Und gibt es Unterschiede bei den verschiedenen VM's?

3. Ausgedienter Offline PC

Die beste Lösung aber für mich leider nicht möglich, da ich keinen älteren PC mehr hier stehen hab...

Danke schonmal fürs Lesen und für die eventuelle Antwort!
Dieser Beitrag wurde am 21.10.2008 um 15:49 Uhr von scarfacebdp editiert.
Seitenanfang Seitenende
21.10.2008, 11:16
Member

Beiträge: 647
#2 Ich gehe davon aus das die Malware unter WXP oder ähnlichem läuft/laufen soll, daher bezieht sich meine Antwort mal auf dieses Szenario.

Beste lösung wäre ein Linux auf dem du eine Windows-VM wie wine etc. laufen lässt.

Vorteil: Es ist kein "überspringen" auf das host-OS möglich.
Nachteil: Evtl. Kompatibilitäts-probleme.

Eine Sandbox ist immer nur so gut wie die programmierer diese entwickelt haben, 100%tigen Schutz bietet dieses Konzept auf jeden fall nicht. Auf einem Produktivsystem ist das nicht zu empfehlen.

Eine Windows-VM auf einem Windows-OS anzulegen birgt im übrigen die gleichen Gefahren als wenn man eine Sandbox benutzen würde, auf einem Produktiv-System also auch nicht zu empfehlen.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
21.10.2008, 11:38
Moderator

Beiträge: 7805
#3 Es ist dabei auch zu bedenken, das aktuelle Malware oefters nicht unter VM laeuft, bzw nicht so, wie sie es unter normalen Bedingungen wuerde.

Wenn der Rechner normalen Zugang zum Internet hat, besteht die Gefahr, das aktive Malware diesen Rechner genauso zu "boesen" Zwecke, wie Spamversand und Botnetz zugehoerigkeit, nutzt. Sprich du bist verantwortlich fuer die Dinge, die auf deinem Rechner passieren.

Das kann u.U soweit gehen, das dir der Provider kurzfristig den Internet Zugang sperrt!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.10.2008, 12:03
...neu hier

Themenstarter

Beiträge: 4
#4 Danke für die interessanten Ideen und Bemerkungen!

@heptamer666:
Die Idee mit Linux klingt gut und ich glaub, dass ich das mal probiere...
Wahrscheinlich ist die Frage dumm aber ich geh lieber mal auf Nummer sicher:
Wenn ich Ubuntu o. Ä. parallel zu Windows installiere und dort dann WinXP emuliere, kann die Malware doch eigentlich auf keinen Fall auf mein Win Vista geraten...oder?

@raman:
Ich denke, dass nicht viel passieren könnte, da ich zuerst mal mit den Constructorn herumprobieren will..... Bevor mir hier irgendjemand was unterstellen will: Es geht mir darum, dass ich wissen will wie leicht es ist mit Packern und Ähnlichem einen Trojaner oder Virus der mit einem als "detected" bekannten Constructor gebaut wurde, vor Antivir Proggis zu verstecken.
Seitenanfang Seitenende
21.10.2008, 12:26
Member

Beiträge: 647
#5

Zitat

scarfacebdp posteteWenn ich Ubuntu o. Ä. parallel zu Windows installiere und dort dann WinXP emuliere, kann die Malware doch eigentlich auf keinen Fall auf mein Win Vista geraten...oder?
Nein, die VM läuft gekapselt unter Linux, es findet kein Austausch mit irgendeinem anderen parallel installierten OS statt.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
21.10.2008, 15:48
...neu hier

Themenstarter

Beiträge: 4
#6 Ok....ist zwar mit ein wenig Aufwand verbunden aber wenigstens bin ich dann abgesichert.
Danke für die Antworten und für die schnelle Hilfe!
Seitenanfang Seitenende