Returnil Free Test, Virtualisieren gegen Viren Einstellungen

[subset]

Hi,

ein kleiner Test mit dem kostenlosen Virtualisierungsprogramm Returnil Virtual System Personal Edition 2.0.0.5011.
http://www.returnilvirtualsystem.com/rvspersonal.htm

Getestet habe ich mit einem System mit einer Festplatte und einer Partition, da Returnil aktuell nur die Systempartition virtualisiert.
Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt.

Als Testmenü gab es schwer verdauliche Kost: KillMBR, Vundo, Phide, Bagle, Rustock usw.



Als nächstes habe ich den Sitzungsschutz von Returnil aktiviert.
Anschließend als Infektionszähler Avira in das virtualisierte System installiert und alles auf "Ignorieren" gestellt.

Dann die 12 Schadprogramme nacheinander gestartet.
Avira kam insgesamt auf 43 Malware Funde.



Danach wurde es schwierig. Eigentlich wollte ich das infizierte System scannen, um den Schaden zu dokumentieren.
Aber sobald ein Programm installiert war oder ein Scan startete, wurde kurz danach das System heruntergefahren.
Versucht habe ich es insgesamt viermal, mit dem AVP Tool, CureIt, Avira Premium und KAV 2009.
Jedes Mal das durch Returnil geschützte System erneut verseucht, zu Scannen versucht und... Neustart.
Vielleicht war das Bagle Dings schuld, vielleicht ein anders Dings, jedenfalls waren die "SuperAVs" allesamt vollkommen nutzlos.

Also habe ich das aufgegeben und das echte System nach den ganzen Verseuchungen gescannt.

Zuerst mit CureIt, das hat nix gefunden.
Also mit der Ausnahme, dass es das Sysinternals Tool PsKill bemängelt...



Danach KAV 2009 im echten System installiert, hat aber auch nix gefunden.



Resümee:
- Returnil hat den Test mühelos mehrmals bestanden.
- Zu den restlichen "Schutzprogrammen" erspare ich mir lieber einen Kommentar.

MfG

[Solution-Design]

Dieser kleine Test hat auch unter Returnil stattgefunden, wobei sich das Programm wie schon in Subsets Test bravourös geschlagen hat. Es tut einfach das, was es soll. Übrigens gibt es solch eine ähnliche Software kostenfrei auch direkt von Microsoft, allerdings gespickt mit weiteren/anderen Funktionen. Leider nicht deutschsprachig. Microsoft TechNet Magazine: Windows SteadyState. Installation und Einrichtungvon Windows SteadyState.

- Zu den restlichen "Schutzprogrammen" erspare ich mir lieber einen Kommentar.

[Oldi]

Zuerst mal wünsche ich allen Forenmitgliedern ein nettes Wochenende, und hoffe, ihr hattet schöne Weihnachtsfeiertage.

Derzeit ist bei mir häufig die Virtualisierungslösung "Try and decide" von True Image 11 in Gebrauch, womit ich gute Erfahrungen gemacht habe.

Allerdings besteht der Unterschied zu echten Virtualisierungsprogrammen wohl darin, daß nur Veränderungen am bestehenden System gespeichert und rückgängig gemacht werden (ähnlich wie bei sandboxie).

Gefährlich scheint mir dabei, daß ein übellauniger Bösewicht, den man sich im Virtualisierungsmodus einfängt, schon Daten aus dem Originalsystem klauen und in`s Netz verschicken kann, bevor er wieder eleminiert wird, da er sich ja im Originalsystem bewegt, bevor dieses zurückgesetzt wird.

Wenn ich mich recht erinnere, gab es hier im Forum auch schon mal etwas zu der Problematik bezüglich sandboxie zu lesen.

[Solution-Design]

Gefährlich scheint mir dabei, daß ein übellauniger Bösewicht, den man sich im Virtualisierungsmodus einfängt, schon Daten aus dem Originalsystem klauen und in`s Netz verschicken kann, bevor er wieder eleminiert wird, da er sich ja im Originalsystem bewegt, bevor dieses zurückgesetzt wird.

Das ist richtig, deshalb hat ein Malware-Test nichts auf einem Produktiv-System zu erfolgen, auf welchem Passwörter oder andere schützenswerte sensible Daten vorhanden sind. Eine System-Wiederherstellung kann zu spät erfolgt sein.

[Kenshiro]

Danke subset für diesen Test

[rolarocka]

Die versuchung solche Pragramme wie Returnil/ShadowDefender zu benutzen ist wirklich groß. Sie verbrauchen keine CPU und das System bleibt gleich wie am ersten Tag. Wenn man aber wie ich gerne neue Programme ausprobiert ist es zu umständlich immer aus dem Shadow Modus erst raus zu müssen um die Programme zu behalten. Dabei weiß ich natürlich nicht ob das jeweilige Programm "sauber" ist. Benutzt man den Rechner nur zum surfen ist Returnil ideal am besten noch mit Sandboxie kombiniert.

[Gast_Nightwatch_*]

Danke subset!

Programme wie Returnil oder ShadowDefender sind für mich seit Anfang des Jahres zu einem "Must-Have" geworden. Praktisch, schnell, unkompliziert und relativ sicher und zuverlässig. Und günstig, wenn man bedenkt, dass ich für SD einmalig 39$ für eine Lifetime-Lizenz ausgegeben habe.

Zu den restlichen Schutzprogrammen (Avira/Kaspersky etc.):
Ich sehe diesen direkten Vergleich problematisch, da das System ja bereits massiv verseucht war. Dieser Vorsprung verschafft etliche Möglichkeiten, sich vor diesen Programmen zu verbergen. Ich wage zu bezweifeln, dass das System mit aktiviertem On-Access-/und On-Execution-Schutz so beschädigt worden wären.

Aber trotzdem stimme ich Dir zu, dass Returnil eine sehr gute Waffe im Kampf gegen Viren & Co. ist.

Gruß,
Nightwatch

[Peter 123]

Gefährlich scheint mir dabei, daß ein übellauniger Bösewicht, den man sich im Virtualisierungsmodus einfängt, schon Daten aus dem Originalsystem klauen und in`s Netz verschicken kann, bevor er wieder eleminiert wird, da er sich ja im Originalsystem bewegt, bevor dieses zurückgesetzt wird.

Wenn ich mich recht erinnere, gab es hier im Forum auch schon mal etwas zu der Problematik bezüglich sandboxie zu lesen.

Du beziehst dich wahrscheinlich auf diesen Thread:
http://www.rokop-security.de/index.php?showtopic=16824

Dort hat subset Konfigurationsmöglichkeiten für Sandboxie dargestellt, mit denen man das von dir angesprochene Risiko zumindest beträchtlich reduzieren (oder sogar ganz ausschließen?) kann.

Ob es auch bei Virtualisierungsprogrammen wie Returnil (bzw. Shadow Defender usw.) vergleichbare Konfigurationsmöglichkeiten gibt, müssten die Nutzer dieser Programme wissen. Ich habe ein solches (noch) nicht in Verwendung.

Dass ich diesbezüglich noch abwartend bin, hängt damit zusammen, dass ich es umgekehrt wie rolarocka sehe :

Benutzt man den Rechner nur zum surfen ist Returnil ideal am besten noch mit Sandboxie kombiniert.

Gerade wenn man (so wie ich) den Rechner (fast) nur zum Surfen verwendet, scheint mir eigentlich Sandboxie (bzw. eine andere Sandbox) die ideale Lösung zu sein, die man allenfalls noch mit Returnil (oder Shadow Defender usw.) kombinieren kann.

Warum?
- Ich brauche nach dem Besuch im Internet nur die Sandbox zu schließen (und sie dann allenfalls manuell zu leeren, wenn ich das automatische Leeren nicht aktiviert habe), um alle etwaigen Schädlinge loszuwerden. Um denselben Effekt mit Returnil zu erreichen, muss ich offenbar den Computer herunterfahren und neustarten (wenn ich die Funktionsweise richtig verstehe). Das ist doch bedeutend aufwändiger/schwerfälliger.

- Mit dem eben Erwähnten in Zusammenhang: Ich kann mit Sandboxie meine (allenfalls riskanten) Aufenthalte im Internet kurz halten.
Beispiel 1: Ich surfe z.B. nur ein einzige Seite an, die mir gefährlich erscheint, schließe dann sofort wieder Browser + Sandboxie (und leere sie allenfalls manuell). Erst dann starte ich den nächsten Aufenthalt im Internet durch ein neuerliches Öffnen des Browsers (wieder in der Sandbox).
Beispiel 2: Ich möchte zB. ein Online-Bankgeschäft abwickeln: Dann öffne ich gezielt nur für diese eine Transaktion den Browser bzw. die Sandbox, rufe nur meine Bankseite auf und schließe nach Beendigung der Transaktion sofort wieder Browser + Sandbox. ---> Ich glaube, mit dieser Methode lässt sich auch das Risiko, das ein Keylogger meine Bankdaten ausspionieren könnte, sehr gering halten (selbst ohne besondere Konfiguration der Sandbox).

Und das alles funktioniert eben bei Sandboxie mit ein oder zwei Mausklicks.
Außerdem ist nach dem Gesagten die "Aufenthaltsdauer" eines etwaigen Schädlings im (virtuellen) System bei Nutzung einer Sandbox typischerweise kürzer als bei einer (ausschließlichen) Verwendung von Returnil. Insofern habe ich mit Sandboxie ein besseres Sicherheitsgefühl.

Returnil (oder Shadow Defender) scheint mir in zweierlei Hinsicht nützlich:

- Wenn ich am Rechner z.B. öfter neue Programme/Software gefahrlos ausprobieren möchte. Dafür ist in einer Sandbox manchmal "zu wenig Platz", insbesondere, wenn man sie "streng" konfiguriert hat.

- Wenn man befürchtet, dass ein Schädling aus der Sandbox ausbrechen und sich im System festsetzen könnte. Dann böte die Virtualisierung z.B. mit Returnil ein zweites Schutzschild: Der Schädling wäre zwar vorübergehend am Rechner, aber mit dem Herunterfahren und Neustarten wäre er beseitigt.

Der Beitrag wurde von Peter 123 bearbeitet: 27.12.2008, 18:51

[Gast_Nightwatch_*]

Hallo Peter 123

- Mit dem eben Erwähnten in Zusammenhang: Ich kann mit Sandboxie meine (allenfalls riskanten) Aufenthalte im Internet kurz halten.

[...]

Außerdem ist nach dem Gesagten die "Aufenthaltsdauer" eines etwaigen Schädlings im (virtuellen) System bei Nutzung einer Sandbox typischerweise kürzer als bei einer (ausschließlichen) Verwendung von Returnil. Insofern habe ich mit Sandboxie ein besseres Sicherheitsgefühl.

Das stimmt vollkommen. Nur ist imo eine Teilvirtualisierung (über Sandbox) noch einmal eine andere Nummer. Wenn man Programme wie Returnil etc. einsetzt, muss man zwangsläufig das Vertrauen entgegenbringen, dass selbst bei einem dauerhaften Verbleib in der VM etwaige Schädlinge nichts ausrichten können. Da ist es dann egal, ob sie zehn Minuten oder zehn Tage auf der Schattenpartition aktiv sind. Dass Sandbox-Programme solche Probleme haben können, wie Oldi sie beschrieb, ist klar. Sie virtualisieren einzelne Anwendungen und müssen viele externe Rechtanforderungen umgehen. Bei Returnil kommen wir hingegen dann zum entscheidenden Punkt, wenn nach einem Neustart der VM-Modus verlassen wird. Hier gibt es einige (theoretische) Möglichkeiten, wie man das System umgehen könnte. Somit haben beide Technologien an unterschiedlichen Zweigen ihre Schwierigkeiten, die meiner Meinung nach aber nichts damit zutun haben, wie lange ein Schädling in der VM aktiv ist. Entweder es bricht gleich, oder es hält ewig .
Im Endeffekt würde ich persönlich auch unterstreichen, dass eine Sandbox vor allem dann sehr nützlich ist, wenn ich mich vor Exploits oder "bösartigen" Websites schützen möchte (Java-Apletts/ scripts etc.). Für Programminstallationen und Malware-Spielereien eben dann Returnil oder andere (wie Du schon sagtest).

Ich habe im vergangenen Sommer mal versucht, nur im Shadow-Mode zu bleiben und auf jegliche andere Sicherheitssoftware zu verzichten (bis auf F-Secure only on-demand). Und da kommt man schon recht schnell an die Grenzen. An seine eigenen und an die des Systems . Kurzum: Es ist schwierig und nervig. Flexibilität ist hier nicht angesagt. Und seitdem nutze ich ShadowDefender immer nur dann, wann ich ihn brauche. Eigentlich schade, denn man könnte sich so einiges andere ersparen...lästige Software-Updates, problematische Signaturen, FP´s, Performance-Einbußen usw.

Aber ich hoffe noch darauf, dass sich die Technologie noch weiter ausreift. Returnil ist da schon auf ziemlich gutem Weg. Falls ich mich irgendwann noch einmal durchringen sollte, es ganz mit Virtualisierung zu versuchen, würde ich mittlerweile Returnil bevorzugen. Sonst allerdings nicht, weil SD deutlich günstiger ist.
Eine Sandbox nutze ich nicht. Ich bin auch mit 2Klicks im Shadow-Mode.

Gruß,
Nightwatch

[Peter 123]

Somit haben beide Technologien an unterschiedlichen Zweigen ihre Schwierigkeiten, die meiner Meinung nach aber nichts damit zutun haben, wie lange ein Schädling in der VM aktiv ist. Entweder es bricht gleich, oder es hält ewig .

Ich dachte hauptsächlich an den Fall, dass ein Schädling Daten ausspioniert, Tastatureingaben mitprotokolliert und dergleichen mehr. Da könnte es, glaube ich, schon eine Rolle spielen, ob sich dieser Schädling nur 5 Minuten oder z.B. 2 Tage im virtuellen System eingenistet hat (zB. wenn ich in der fraglichen Zeit Passwörter eintippe). Aber davon abgesehen gebe ich zu, dass es für mich vor allem auch einen positiven psychologischen Effekt hat, wenn allfällige Schädlinge so kurz wie nur möglich am Rechner (in der virtuellen Umgebung) sind.

Wenn man Programme wie Returnil etc. einsetzt, muss man zwangsläufig das Vertrauen entgegenbringen, dass selbst bei einem dauerhaften Verbleib in der VM etwaige Schädlinge nichts ausrichten können. Da ist es dann egal, ob sie zehn Minuten oder zehn Tage auf der Schattenpartition aktiv sind.

Wenn ich es richtig sehe, ist ein solches Vertrauen typischerweise aber eigentlich nur dann berechtigt, wenn ich während dieser Zeit ohne Internetverbindung bin; also zB in folgender Konstellation: Ich lade mir (zu Testzwecken) ein gefährliches (= mit einem Schädling versehenes) Programm aus dem Internet ins virtuelle System herunter, trenne anschließend die Verbindung des Rechners zum Internet, führe (erst) dann das Programm aus und experimentiere damit herum. Etwaige Schäden, die damit angerichtet werden, beseitige ich durch ein Herunterfahren und Neustarten des Computers. Erst danach gehe ich wieder online.
Würde ich das hingegen bei bestehender Verbindung mit dem Internet machen, müsste ich ja befürchten, dass der Schädling mit dem Internet Kontakt aufnimmt, also von dort etwas nachlädt, etwas dorthin übermittelt usw.

---> Wenn meine Überlegung so stimmt, dann schließt sich damit der Kreis zu dem, was auch du bereits erwähnt hast:

Im Endeffekt würde ich persönlich auch unterstreichen, dass eine Sandbox vor allem dann sehr nützlich ist, wenn ich mich vor Exploits oder "bösartigen" Websites schützen möchte (Java-Apletts/ scripts etc.). Für Programminstallationen und Malware-Spielereien eben dann Returnil oder andere

Vielleicht kann man es daher vereinfacht so beschreiben, welche Sicherheitslösung zweckmäßiger ist:
- für "normales" Surfen und für Online-Experimente eher eine Sandbox (und allenfalls ergänzend Returnil oder Shadow Defender usw.)
- für Offline-Experimente (Programmtests, Malware-Spielereien, ...) eher Returnil & Co.

Der Beitrag wurde von Peter 123 bearbeitet: 27.12.2008, 20:35

[Gast_Nightwatch_*]

Aber davon abgesehen gebe ich zu, dass es für mich vor allem auch einen positiven psychologischen Effekt hat, wenn allfällige Schädlinge so kurz wie nur möglich am Rechner (in der virtuellen Umgebung) sind.

Sowas kenne ich .Jeder hat da glaub ich so seine Leichen im Keller. Ich zum Beispiel ertappe mich momentan immer wieder dabei, dass ich täglich ein BackUp-Image anstoße, obwohl ich gar nichts neues erstellt habe . Liegt immer noch an meinem Festplatten-Crash im Februar...

Wenn ich es richtig sehe, ist ein solches Vertrauen typischerweise aber eigentlich nur dann berechtigt, wenn ich während dieser Zeit ohne Internetverbindung bin;

Also ich bin 24/7 im Internet. Wenn schon mit Malware spielen, dann richtig . Wenn ich einer VM vertraue, dann kann das Ding noch so viele Rootkits aus dem Netz ziehen. Sie sollten alle nicht auf der Systempartition landen. Und wenn die Datei schon beim ersten Mal auf der HDD Schaden anrichtet, dann ist es auch ganz egal, ob ich zu diesem Zeitpunkt noch im Internet bin oder schon offline. Denn die Datei holt das dann nach, wenn wieder eine Verbindung besteht.

Vielleicht kann man es daher vereinfacht so beschreiben, welche Sicherheitslösung zweckmäßiger ist:
- für "normales" Surfen und für Online-Experimente eher eine Sandbox (und allenfalls ergänzend Returnil oder Shadow Defender usw.)
- für Offline-Experimente (Programmtests, Malware-Spielereien, ...) eher Returnil & Co.

In etwa sehe ich das ganz genauso. Bis auf die Online-Offline-Beschränkungen. Wenn ich ein Backdoor ausführen möchte, um zu schauen, was er macht oder wie meine Sicherheitsprogramme darauf reagieren, würde ich persönlich das niemals in einer kleinen Sandbox machen. Dafür lohnt es sich auf der anderen Seite aber auch wieder nicht, nur für Surf-Sitzungen immer eine Komplettvirtualisierung anzuschmeißen.

Der Beitrag wurde von Nightwatch bearbeitet: 27.12.2008, 22:15

[Peter 123]

Da muss ich jetzt noch einmal etwas nachfragen. Denn entweder verstehe ich bei der Funktionsweise der Virtualisierungsprogramme etwas falsch, oder du bist sehr mutig/risikofreudig. Du schreibst:

Also ich bin 24/7 im Internet. Wenn schon mit Malware spielen, dann richtig . Wenn ich einer VM vertraue, dann kann das Ding noch so viele Rootkits aus dem Netz ziehen. Sie sollten alle nicht auf der Systempartition landen. Und wenn die Datei schon beim ersten Mal auf der HDD Schaden anrichtet, dann ist es auch ganz egal, ob ich zu diesem Zeitpunkt noch im Internet bin oder schon offline.

Das leuchtet mir ein für jene Art von Malware, die "nur" auf der Festplatte selbst schaden anrichtet (bzw. anrichten würde, wenn sie nicht in einem virtuellen System isoliert wäre), aber keinen Kontakt "nach außen" sucht.
Aber wie schützt du dich gegen jene Art von Schädlingen, die Oldi in seinen Posting beschrieben hat? Nämlich:

Gefährlich scheint mir dabei, daß ein übellauniger Bösewicht, den man sich im Virtualisierungsmodus einfängt, schon Daten aus dem Originalsystem klauen und in`s Netz verschicken kann, bevor er wieder eleminiert wird, da er sich ja im Originalsystem bewegt, bevor dieses zurückgesetzt wird.

Hast du Returnil (und/oder Shadow Defender) so konfiguriert, dass dieses Risiko (also Keylogger etc.) derartig gering ist, dass man es vernachlässigen kann (so wie das zB. bei Sandboxie durch entsprechende Einstellungen möglich ist)? Oder gibt es eine solche Konfigurationsmöglichkeit gar nicht, und begnügst du dich insofern mit dem Schutz, den dein herkömmliches Virenschutzprogramm bietet?

Auch subset hat in seinem Beitrag ja darauf hingewiesen, dass er bei seinem Experiment nicht mit dem Internet verbunden war:

Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt.

Ich nehme an, dass war von ihm eben auch als Vorsichtsmaßnahme gegen Datenklauer etc. gedacht.

_______

PS: Ich habe zu dem Thema jetzt noch ein passendes Zitat aus einem Beitrag in "Wilders Security Forums" gefunden:

I love Returnil Virtual System! Its great, but if you become infected with whatever then you could have already compromised your data before a system reboot. If you don't have anything on your computer worth protecting then don't worry about it, but if you have personal info or work info / etc.. then it may still leak out before you reboot. Lets say you are making an online purchase or a transaction with your bank. You are filling out some sort of an application etc.. There's a window of opportunity that you could be compromised. Of course after you reboot you will no longer be infected, but the damage could have already been done.

(Quelle: http://www.wilderssecurity.com/showpost.ph...mp;postcount=52 )

---> Dieses Problem meine ich.

Der Beitrag wurde von Peter 123 bearbeitet: 27.12.2008, 23:33

[Gast_Nightwatch_*]

Da muss ich jetzt noch einmal etwas nachfragen. Denn entweder verstehe ich bei der Funktionsweise der Virtualisierungsprogramme etwas falsch, oder du bist sehr mutig/risikofreudig.

[...]

Das leuchtet mir ein für jene Art von Malware, die "nur" auf der Festplatte selbst schaden anrichtet (bzw. anrichten würde, wenn sie nicht in einem virtuellen System isoliert wäre), aber keinen Kontakt "nach außen" sucht.
Aber wie schützt du dich gegen jene Art von Schädlingen, die Oldi in seinen Posting beschrieben hat?

Hi Peter

Ok. Jetzt hab ich den Punkt verstanden. Danke für Deine Geduld!
Das stimmt natürlich. Gegen diesen Datenklau gibt´s eigentlich nur zwei Mittel und Wege...entweder man hat noch ein zusätzliches AV-Programm parat, welches den Schädling evtl. abfängt, oder aber man arbeitet mit eingeschränkten Rechten. Sonst ist das in der Tat ein riskantes Problem.
Bei mir gibt´s zwar auf meinem "Surf-Rechner" nichts wichtiges zu stehlen, aber auf einem Geschäfts-PC sieht das wohl schon anders aus. Aber wenn ich ein Sample zum Test ausführe, weiß ich ja in der Regel vorher, worauf ich mich einlasse. Etwas risikofreudig ist das Ganze sicherlich schon .

Hast du Returnil (und/oder Shadow Defender) so konfiguriert, dass dieses Risiko (also Keylogger etc.) derartig gering ist, dass man es vernachlässigen kann (so wie das zB. bei Sandboxie durch entsprechende Einstellungen möglich ist)? Oder gibt es eine solche Konfigurationsmöglichkeit gar nicht, und begnügst du dich insofern mit dem Schutz, den dein herkömmliches Virenschutzprogramm bietet?

Ich habe Returnil leider schon länger nicht mehr getestet. Was ShadowDefender anbelangt, so gibt es diesbezüglich keine entsprechenden Konfigurationsmöglichkeiten. Ist ja auch schwer. Entweder es kommt mit einer eigenständigen Erkennung daher, oder einer Hips-ähnlichen Technologie. Fein wäre aber z.B., wenn es die Option gäbe, dass bestimmte Ordner und Zielverzeichnisse während der Virtualisierung auch innerhalb der Virtualisierung nicht zur Verfügung stünden. Dann wäre die Sache klarer und wesentlich sicherer.

SD ist jedenfalls bei mir schon länger nicht mehr im produktiven Einsatz. Wenn ich sehe, dass ein Sample durchrutscht beginne ich auch meist zügig mit dem Neustart. Ansonsten ist Dein berechtigter Einwand mit der Internet-Verbindung nochmal eine wichtige Gedächtnisstütze und Anregung für mich, die ich nicht ganz außer Acht lassen sollte.

Btw. Gedächtnis: Hatte irgendwie noch im Kopf, dass wir schon einmal eine ähnliche Diskussion geführt haben und bin nach der Board-Suche darüber "gestolpert":
http://www.rokop-security.de/index.php?sho...=shadowdefender

Wie auch hier sehr interessant (nicht ironisch gemeint, sondern ernsthaft)

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 28.12.2008, 00:24

[subset]

Hi,

jetzt geht es mit der Fortsetzung weiter - Sandboxing gegen Viren.

Die Schadprogramme bleiben die gleichen, nur kommt jetzt Sandboxie statt Returnil zum Einsatz.



Das war einfacher zu Testen, da sich alles auf die Sandbox begrenzt abspielte.
Eine Momentaufnahme, was zum Zeitpunkt des Screenshots gerade alles in der Sandbox lief.



Nachdem alle 12 ausgeführt waren, habe ich den Sandbox Ordner mit KAV gescannt.
Einige Meldungsfenster davon sind hier als GIF zusammengefasst.



Nachdem ich mit Sandboxie alle Programme, die in der Sandbox liefen, beendete und die Sandbox gelöscht habe, habe ich KAV deinstalliert und nach einem Neustart Avira Premium installiert und die Festplatte gescannt.



Mit dem gleichen Ergebnis wie schon zuvor beim Returnil Test.
Gefunden wurde nichts.

Wenn ich mich zwischen Sandboxie oder Returnil entscheiden müsste, würde ich beide nehmen.

Zum Keylogger Thema möchte ich zu bedenken geben, dass die meisten mit oder ohne Returnil dagegen nicht geschützt sind, da den meistens verwendeten Programmen (Suiten) sämtliche technischen Voraussetzungen zur Erkennung von Keyloggern fehlen (abgesehen von der signaturbasierenden Erkennung).
Welche Suiten oder AVs, um die sich hier ständig alles dreht, können einen Hook based oder gar Kernel based Keylogger am Verhalten erkennen?

MfG

[Gast_Nightwatch_*]

Erneut super Test subset!!
Interessant, dass hier beide so gut abschneiden. Vielleicht sollte ich mir Sandboxie doch mal genauer anschauen.

Welche Suiten oder AVs, um die sich hier ständig alles dreht, können einen Hook based oder gar Kernel based Keylogger am Verhalten erkennen?

MfG

Auch nicht Hips, die mit Kernelhooks arbeiten?

Gruß,
Nightwatch

[Peter 123]

Nochmals kurz ich.

@ Nightwatch:
Danke für deine ausführliche Antwort.

Was das betrifft:

Btw. Gedächtnis: Hatte irgendwie noch im Kopf, dass wir schon einmal eine ähnliche Diskussion geführt haben und bin nach der Board-Suche darüber "gestolpert":
http://www.rokop-security.de/index.php?sho...=shadowdefender

In der Tat! Das war mir nicht mehr in Erinnerung.
Aber dieser neue Thread hier war eine gute Gelegenheit, noch einmal diese grundsätzlichen Fragen zu erörtern.

Zu subset's Präferenzen:

Wenn ich mich zwischen Sandboxie oder Returnil entscheiden müsste, würde ich beide nehmen.

Das war zu erwarten.

Der Beitrag wurde von Peter 123 bearbeitet: 28.12.2008, 01:59

[StormRider]

OT:

Angeregt durch diese Diskussion bin ich auf die Idee gekommen, Sandboxie für mein virtuelles Win zu installieren. Returnil kenne ich, da ich diese Software schon mal getestet hatte, jedoch scheint mir eine Sandbox für meine gelegentlichen Ausflüge ins Windows geeigneter. Leider scheiterte die Installation von Sandboxie daran, dass ich ein genügsames W2k verwende, dem GDI+ fehlt, und dessen Installation scheitert an meinem Dickkopf: WGA wird dazu benötigt und kommt nicht in die Tüte -  EULA abgelehnt, Zustimmung verweigert, kein Download. Und XP müßte ich in der virt. Maschine erst installieren und dann wieder registrieren und und und...: «Götz von Berlichingen»

Es gibt aber noch eine andere Sandbox: von Artificial Dynamics. Leider wird hier mindestens ein XP gefordert und ich wäre wieder einen Satz höher in meinem Text 

Kennt jemand der Spezialisten eine brauchbare Sandbox, die erstens Freeware und zweitens W2k geeignet ist (ohne nachzuinstallierende Erweiterungen {SP sind installiert})?

Merçi.

StormRider

[Gast_Scrapie_*]

Morgen

Alles Recht und Gut.
Ihr solltet aber im Hinterkopf behalten, dass ein Verhalten unter virtueller Umgebung nicht unbedingt dem Verhalten entspricht, welches auf echter Hardware ausgelebt wird...


Scrapie

[Heike]

dem stimme ich zu 100% zu, ich würde nie ein File als "sauber" ansehen, welches unter einer virtuellen Umgebung getestet worden ist.

Was spricht gegen einen PC aus der Bastelkiste? Er muß ja nichts tolles sein, ist ja nur zum Spielen. Keine persönlichen Daten auf dem PC (Windows Serial würde auch darunter fallen), und schon sollte nichts mehr passieren können.

natürlich besteht immer ein Restrisiko, bloß keiner würde seine Treiber auf dem virtuellen PC updaten, das wird auf dem "echten" gemacht, tja, und auch die Treiber könnten infiziert sein, weil sie jemand auf dem Server ausgetauscht hat.

[Julian]

Welche Suiten oder AVs, um die sich hier ständig alles dreht, können einen Hook based oder gar Kernel based Keylogger am Verhalten erkennen?

Zumindest unter XP32: NIS & KIS, die ja nicht gerade selten verwendet werden...

IMO ist Sandboxing zu unkomfortabel und der Nutzen mit einem halbwegs sicheren Browser zu gering. Ich kenne niemanden, der Firefox benutzt und schon mal Opfer eines Exploits wurde.

Der Beitrag wurde von Julian bearbeitet: 28.12.2008, 14:56