Wie analysiert man Malware richtig? Einstellungen

[Remover]

Wie analysiert man Malware?

Dazu sollte man wohl Assembler gut koennen und einen guten
Debugger/Disassembler benutzen.
Die meisten werden jetzt wohl sagen, ist ja klar....
Zudem sollte man sicherlich noch ein Testsystem haben, das man bei
bedarf auf knopfdruck oder per Reboot wieder neu aufsetzt, das abgeschirmt
ist von jeglichen Netzwerk oder Internet und sehr viel Erfahrung mit
Computer und Betriebsystem (MCSE von Vorteil) haben.

Persoenlich wuerde ich auch gerne in diese Richtung schwenken.
Ich remove jede Woche mehrere Viren, Trojaner, Wuermer, Hijacker etc.
von Kundenrechnern und bin schon auf so manches noch unbekanntes
Exemplar getroffen. Als unerfahren wuerde ich mich auch nicht gerade
bezeichnen, bin schon seit VC20 Zeiten dabei und kann auch etwas Assembler.

Mich wuerde auch mal interessieren wie die Profis das machen....

Gibt es womoeglich Tools die ihr benutzt, sind diese erwerblich oder
hat jede Firma ihre eigenen entwickelt.
Denke das die meisten Firmen schon so eine Art Sandbox haben,
die dann z.b. saemtliche Registry Aenderungen usw. loggt, oder!?
Man geht ja bestimmt nicht per Hand durch die ganzen Eintraege.....

Also lasst uns mal weggehen von diesen Virenexchange aus den
anderen Threads, denke auch das da jeder drankommt, wenn er wirklich will.

Vorwurf war dort, das ihr euer Wissen nicht preisgebt.....und das obwohl
die Branche wirklich noch Hardcore Analyse Leute gebrauchen kann.
Jeder hat mal klein angefangen.....wie waere es also mit ein paar guten
und brauchbaren Tipps, wie man das richtig macht.
Vielleicht springen dabei in ein paar Jahren ein paar gute Leute raus.
Und wenn das ganze entsprechend mit Fachbegriffen geschrieben wird
koennen es sowieso nur die nachvollziehen, die schon ein wenig Ahnung haben.
Zudem machen es die Leute so oder so....mit euren Tipps koennt ihr
sie wenigstens auf den richtigen Weg bringen und vor allen zu den
noetigen Sicherheitsschritten auffordern.

Bin gespannt ob ein Profi mal verraet was fuer Tools eingesetzt werden....

[Gast_Nautilus_*]

Gladi hat ja schon darauf hingewiesen, dass man nicht einfach mit VMWare oder VirtualPC testen kann, weil sonst die Gefahr besteht, dass sich bestimmte Malware nicht ITW verhält. Man braucht also richtige Testrechner, die zum Beispiel mit HDD Sheriff ausgerüstet sind. Noch sicherer wäre es, nur mit Images das System wiederherzustellen.

Im Rahmen des Gladiator-Projektes hat Gladi auch mal einige seiner Tools gezeigt. Es werden wohl neben einem Disassembler/Debugger wie IDA noch eine Vielzahl von "custom tools" verwendet.

Um das eigentliche Disassemblieren kommt man als seriöser Entwickler trotz aller Tools wohl nicht herum. Ich habe allerdings den Verdacht, dass es durchaus mal einige Zeit dauern kann, bis ein virus analyst die Funktionsweise eines Wurms wirklich verstanden hat. Auf die Schnelle wird wohl erstmal oft nur eine Signatur erstellt.

Wer nicht sehr gut Disassemblieren kann, bleibt im Grunde nichts anderes übrig, als sich (neben Tools wie Filemon und Regmon) auf eine Sandbox zu "verlassen". Zum Beispiel auf die Tiny Personal Firewall. Diese zeigt einem - wenn sie richtig konfiguriert ist - ziemlich genau an, was ein malware sample so auf dem Computer anstellt. Ich würde mich nicht wundern, wenn professionelle Analysten so ein Tool auch mal benutzen, wenn es schnell gehen soll.

Aber dazu müssen die sich äussern. Und wir haben ja nur noch zwei Hersteller hier im Board: AntiVir und ewido. EDITED: Und misec . (mea culpa!)

EDITED: Ausserdem muss sich ein Analyst noch mit dem Entpacken von komprimierter Malware auskennen. Zunächst kann man (wenn man keine eigene UP hat) mit KAV entpacken lassen ;-) Oder man entpackt manuell. Ausserdem kann man mit RAM Editoren/Dumpern teilweise nachschauen.

Der Beitrag wurde von Nautilus bearbeitet: 21.03.2004, 20:46

[Gast_Nautilus_*]

Hier ist noch ein Artikel, der das Analysieren von Malware so beschreibt, wie es Gladi wohl nicht machen würde ;-)

http://www.newsforge.com/software/04/02/11...l?tid=78&tid=82


Siehe auch noch hier: http://www.zeltser.com/sans/gcih-practical/revmalw.html

Der Beitrag wurde von Nautilus bearbeitet: 20.03.2004, 13:28

[JFK]

Bin gespannt ob ein Profi mal verraet was fuer Tools eingesetzt werden....

Was erwartest du denn

Hast du schon mal bei der Formel 1 erlebt, dass Ross Brawn bei BMW oder Mercedes einen Vortrag über die neuste Entwicklung von Ferrari referiert

JFK

[Gast_df7nw01_*]

Ich glaube, dass dieser Vergleich etwas hinkt, denn: in der Formal 1 geht es um Wettbewerb, es geht darum, besser und schneller zu sein als die anderen.
Hier geht es aber darum, Leuten, die sich über Malware informieren und auf lange Sicht bei der Verbesserung von Produkten mithelfen wollen, unter die Arme zu greifen. Die Leute, die Analysieren können, erleiden ja keinen Nachteil daraus, wenn sie anderen erklären, wie man Malware analysiert, zumindest kann ich keinen erkennen...

[Gast_Nautilus_*]

Ich vermute, dass JFK Recht hat. Die ganze AV Branche ist ziemlich "geheimnisvoll". Auch in Magazinen, wie im Virus Bulletin, werden oft nur interessante Andeutungen gemacht.

Dies hängt z.T. sicher damit zusammen, das Neugierige sofort als potentielle Konkurrenten angesehen werden. Und Konkurrenz ist aus Sicht der Markteilnehmer etwas Schlechtes. Schliesslich wollen die mit ihren AV/AT Produkten den Reibach machen.

Ein weiterer Grund für die Geheimnistuerei ist aber IMHO, dass viele AV/AT Produkte noch/evt. auch zwangsläufig erhebliche Schwächen/Designfehler etc. aufweisen. Dies würde sich sofort herausstellen, wenn man offen über die Sache diskutieren würde.

Der Beitrag wurde von Nautilus bearbeitet: 20.03.2004, 15:39

[Gast_Joerg_*]

Ich denke aber auch, dass es in diesem Bereich Wettbewerb unter den Herstellern gibt; so kann ein Hersteller mit besseren Analysetools schneller geeignete Gegenmaßnahmen (z.B. Removal-Tool) oder genauere Informationen auf der Webseite zur Verfügung stellen, als ein anderer Hersteller. Und auch das gehört zum Wettbewerb
Deswegen wird man wohl nie genaue Infos bekommen...

[Remover]

Ich erwarte hier auch keine absoluten Detail Infos.
Aber so ein paar kleine Tipps und hinweise waeren doch echt fein.
Und Konkurrenz werden wir wohl so schnell nicht sein.
Richtig gut, wird man sowieso nur durch Erfahrung im Job.

@Nautilus
Danke fuer die Links!

[Gast_INT 3_*]

Was meint ihr wohl was passiert wenn darueber oeffentlich diskutiert wird ?
Jeder Hans-Wurst wird dann dazu "angeregt" sowas einmal selber auszuprobieren.
Die Folgen solcher Aktionen haben eine Tragweite die weder Nautilus noch sonst wer abschaetzen kann. Weil nicht jeder haellt sich an gewisse Richtlinien. Und nicht jeder versteht den Ernst der Sache. Und die wenigsten haben ein (rechtmaessig erworbenes) VM-System wie VirtualPC oder VMWare.
Um Malware zu analysieren muss man sie zwangsweise starten. Habt ihr eigentlich eine Ahnung was dadurch fuer ein Unsinn passieren kann ?! Braucht bloss irgendein "experimentierfreudiger" Zeitgenosse VERSEHENTLICH zu vergessen den Rechner vom Netzwerk zu trennen, schon verbreitet sich ein neuer Wurm automatisch ueber das Internet. Und die Aussage, welche ich jetzt schon hoere, naemlich "ja wenn es ein bekannter Wurm ist sollte der dann bei anderen auch gefunden werden bevor er sich weiter verbreitet" zaehlt nicht, denn man bringt Malware im Umlauf, und das sogar GROB FAHRLAESSIG.

Ich kann mit ziemlicher Sicherheit auch "oberflaechlich" beurteilen ob ein Fahrzeug verkehrstuechtig ist, das berechtigt mich aber noch lange nicht dazu ein qualifiziertes TUEV-Zertifikat auszustellen und mal eben "nachzugucken ob die Karre laeuft". Jegliche Malware in Haenden von Personen, welche dafuer nicht qualifiziert sind und vorsaetzlich grob fahrlaessig handeln koennen (mal abgesehen von den Normal-Usern die sich unfreiwillig was eingefangen haben) ist ein Risikofaktor den es auszuschliessen gibt. Und genau das wird Dir JEDE AV Firma sagen die halbwegs serioes ist. Gegen die Malware die der entsprechende bereits "gesammelt" hat kann man eh nichts mehr tun, aber man sollte wenigstens verhindern dass er auch noch an neue Samples kommt mit denen wieder potentieller Unfug angestellt werden kann.

Und ich bin so frei zu sagen, dass ich den wenigsten hier im Board (mal abgesehen von Leuten mit denen ich Ruecken an Ruecken arbeite) zutraue mit dem blossen Hexeditor und Disassembler in einem Backdoor nur beim schnellen Ueberfliegen einen polymorphen Fileinfector zu orten der EPO nutzt, womoeglich noch eine neue Variante die bisher noch nie um Umlauf war.

Jetzt mal das Beispiel damit es JEDEM KLAR WIRD WAS DORT FUER EINE SCHEI SSE ENTSTEHEN KANN:

Man findet irgendwo einen Backdoor der nicht erkannt wird. Ok, neues Release, wir starten den mal eben um zu sehen was der fuer Ports aufmacht, denn es ist ja nur "ein dummer statischer Backdoor". Dieser Backdoor wurde jedoch mit einem neuen polymorphen Virus infiziert, und zwar so einem der sich nicht an eine letzte Section im File anhaengt und den Entrypoint umbiegt so dass jeder Blinde mit einem Krueckstock sofort einen Verdacht auf virentypisches Verhalten hat der nach dem Entrypoint mal guckt ob man dort noch irgendwo ein NOP reinfeuern kann.

Das Resultat: Wir infizieren andere Files auf unserer Virtual Maschine. Und zwar mit einem bis dato unbekannten Win32 Fileinfector Virus. Unter anderem unseren Hex-editieren Optixserver den wir unter VMWare ausprobiert haben ob er noch laeuft. Yo, der laueft, den wollten wir doch eigentlich gleich mal zu Roman schicken um zu zeigen wie schwach doch eigentlich die Signaturen mancher Scanner sind. Hm.... So ein Mist unter VMWare hab ich ja kein Netz, aber wozu gibt es Drag'n'Drop ? Ok wir ziehen fix den Server von dem wir nicht mal die geringste Ahnung haben dass ein Virus sich mitlerweile reingepflanzt hat rueber auf's Host System und versenden ihn per Email. Genau in diesem Moment haben wir einen neuen Virus "angemarktet" - herzlichen Glueckwunsch !

Und jeder der jetzt noch ernsthaft behauptet Malware zu analysieren sei ungefaehrlich, den lache ich ganz laut aus.

[Remover]

@INT3

Als angehender Security Spezialist habe ich sicherlich jetzt schon einige Erfahrung auf diesen Bereich. Aber schoen das du auf diese Gefahren aufmerksam machst, war ein echt schoenes Beispiel, so koennen wir also doch noch etwas von dir lernen.

Mir ist klar das man sehr viel Schutzmassnahmen treffen muss und vermutlich am
besten mit einer Kontrollliste arbeitet.
Mich wuerde jetzt echt mal interessieren, wie hast du denn angfangen?
Wurdest du mit deinem Wissen ueber Malware bereits geboren, warst du etwa
einer von denen die einfach mal so Experementiert haben oder hattest du
einen guten Lehrer!?

Meine Meinung zum Virenexchange kennst du ja bereits.
Bin auch kein Fan davon und bekomme auch so tagtaeglich genug (bei Kunden)
malware zu Gesicht. Mir waere es manchmal wirklich hilfreich ein wenig mehr als nur Grundkenntnisse zu besitzen, denn auf die Virenbeschreibungen der AV Hersteller
kann man sich auch nicht immer 100% verlassen, dies habe ich schon oft gemerkt.

". Jegliche Malware in Haenden von Personen, welche dafuer nicht qualifiziert sind und vorsaetzlich grob fahrlaessig handeln koennen (mal abgesehen von den Normal-Usern die sich unfreiwillig was eingefangen haben) ist ein Risikofaktor den es auszuschliessen gibt.

Dann sage mir bitte mal, wie man sich qualifiziert?
Was muss man machen, wie faengt man am besten an?

Mit eurer jetzigen Methode gehen euch in ein paar Jahren die Leute aus.
Bei F-Secure und Co. hat schon der Netsky/Beagle "Krieg" zu enormen
Engpaessen gefuehrt.....

Der Beitrag wurde von Remover bearbeitet: 20.03.2004, 22:12

[Gast_Nautilus_*]

Ich stimme mit Gladi teilweise überein: Das Rumspielen von Malware ist gefährlich. Logo.

Das Beispiel ist allerdings etwas komisch gewählt. Zum einen stimmt es schon mal nicht, dass man unter VMWare kein Netz hat (--> NAT ist z.B. möglich). Zum anderen fragt sich, welches Horrorszenario denn nun eingetreten ist? Die Virtual Machine wurde verseucht ... nun gut, dafür ist sie schliesslich da. Ausserdem hat Rokop eine Email im Briefkasten wo Malware drauf steht und auch Malware drin ist ;-)

Das Gefährlichste an dem Szenario war IMHO noch die Verwendung des Drag & Drop Features. Da kann man sich schnell mit einem unabsichtlichen Doppelklick (sobald sich die Datei auf dem Host System befindet) in die Bredouille bringen.

[Gast_INT 3_*]

Ich stimme mit Gladi teilweise überein: Das Rumspielen von Malware ist gefährlich. Logo.

Das Beispiel ist allerdings etwas komisch gewählt. Zum einen stimmt es schon mal nicht, dass man unter VMWare kein Netz hat (--> NAT ist z.B. möglich). Zum anderen fragt sich, welches Horrorszenario denn nun eingetreten ist? Die Virtual Machine wurde verseucht ... nun gut, dafür ist sie schliesslich da. Ausserdem hat Rokop eine Email im Briefkasten wo Malware drauf steht und auch Malware drin ist ;-)

Das Gefährlichste an dem Szenario war IMHO noch die Verwendung des Drag & Drop Features. Da kann man sich schnell mit einem unabsichtlichen Doppelklick (sobald sich die Datei auf dem Host System befindet) in die Bredouille bringen.

Das zeigt wieder mal das Du nicht verstanden hast worum es geht.
Wer so gruendlich wie Du liest Malware analysiert, der beschwoert zum Beispiel genau so einen Fall herauf.
Es geht nicht darum dass Du einen Backdoor der schon ein Backdoor ist ansich weiter reichst, sondern dass Du einen Backdoor infiziert mit einem bis dahin unbekannten Filevirus weiterreichst. Alle anderen die den jetzt von Dir bekommen sind in der Annahme es handle sich hierbei um STATISCHE MALWARE, also um Malware die (wie bei Backdoors ueblich) einen Autorun Eintrag erzeugt und sich ggf. in das Windows / System32 Verzeichnis kopiert. Womit willst Du sicherstellen dass keiner von den weiteren Leuten denen Du das Teil sendest das Ding nicht mal eben "live" auf ihrem PC normalen PC starten, weil Backdoors kann man ja relativ einfach wieder beseitigen wenn man schon im Stadium "fortgeschrittener Hobby-Malware-Analyst" ist... Das zwischenzeitlich andere Dateien befallen wurden weiss zwischenzeitlich keine Sau. Das heisst der User schickt dann evtl. sogar normale Dateien mit diesem Virus der sich zwischenzeitlich weiter ausgebreitet hat raus und deklariert diese Dateien als clean, weil er es gar nicht weiss. Sowas kann einen Ketteneffekt erzeugen und binnen weniger Stunden kann ein neuer Virus ItW sein.

Zum Thema VMWare - ich schrieb bewusst hat kein Netz, denn wenigstens darauf sollte man achten dass eine VMWare vom NAT getrennt wird wenn man dort Wuermer startet. Und da wir grade beim Thema VMWare sind - wer von den "Hobby-Malware-Analysten" stellt sicher, dass es keine Malware ist, welche sich automatisch per Drag'n'Drop in's Host Windows Verzeichnis kopiert, und dort beispielsweise eine Datei ersetzt, welches automatisch beim naechsten Systemstart des Host PC's mitgestartet wird ? Das Drag'n'Drop funktioniert nur wenn Du die VMWare Tool's auf dem Clienten installiert hast. Sprich es gibt dort eine 'API' die mit dem Host-System kommuniziert. Schon mal daraueber nachgedacht dass genau diese Funktionalitaet (sich beispielsweise in diese API einklinken) auch Malware nutzen koennte ?! Sprich dass Malware die Du unter VMWare startest sich vollautomatisch auf deinen richtigen PC via Drag'n'Drop - Featutre kopieren koennte. Nundenn, da alle anderen offensichtlich schlauer sind - analysiert mal schoen Malware. Viel Spass dabei. Ende der Diskussion fuer mich.

[Gast_Nautilus_*]

1.
Wie gesagt, ich stimme Dir zu, dass das Analysieren von Malware nicht ungefährlich ist. Man kann dabei sich und andere verseuchen. Allerdings kann man sich auch bei Kazaa etwas einfangen und weiterverbreiten.

2.
Ich hatte schon verstanden, dass bei Deinem Beispiel ein Virus im Trojaner versteckt ist. Auch in diesem Fall kann aber nur etwas passieren, wenn irgendjemand beim Analysieren einen groben Fehler macht. Denn auch derjenige, der die Malware per Email bekommt, muesste sie ja eigentlich wieder in einer Virtual Machine oder auf einem Testcomputer ausprobieren. Möglich ist ein solcher Fehler natürlich.

Andererseits passiert es wohl nicht soo häufig, dass ein Virus gerade in einem Trojaner versteckt ist. Wahrscheinlicher ist wohl ein Wirt namens britneynude.scr (im Kazaa) oder?

Im Ergebnis kann beim Analysieren von Malware sicher mal ein Unglück passieren. Aber ist die Chance so hoch, dass deshalb jeder, der kein offizielles Malware-Analyse Diplom hat, die Finger davon lassen muss? Wer garantiert, dass nicht auch professionelle Analysten mal Mist bauen?

3.
"Zum Thema VMWare - ich schrieb bewusst hat kein Netz, denn wenigstens darauf sollte man achten dass eine VMWare vom NAT getrennt wird wenn man dort Wuermer startet."

Das sehe ich etwas anders. Es genügt, dass auf dem Host-System eine PFW läuft. Dies hat sogar den Vorteil, dass man die Verbindungsversuche des Wurms genau mitbekommt und somit prüfen kann, ob er richtig funktioniert. (Die PFW auf dem Host kann ja auch nicht durch den Wurm gekillt oder getunnelt werden.)

4.
"Und da wir grade beim Thema VMWare sind - wer von den "Hobby-Malware-Analysten" stellt sicher, dass es keine Malware ist, welche sich automatisch per Drag'n'Drop in's Host Windows Verzeichnis kopiert, und dort beispielsweise eine Datei ersetzt, welches automatisch beim naechsten Systemstart des Host PC's mitgestartet wird ? Das Drag'n'Drop funktioniert nur wenn Du die VMWare Tool's auf dem Clienten installiert hast. Sprich es gibt dort eine 'API' die mit dem Host-System kommuniziert. Schon mal daraueber nachgedacht dass genau diese Funktionalitaet (sich beispielsweise in diese API einklinken) auch Malware nutzen koennte ?!"

Theoretisch denkbar ist das wohl. Setzt voraus, dass VMWare schlampig programmiert ist. Wahrscheinlich ist das wohl nicht.

Unabhängig davon habe ich Dir aber bereits zugestimmt, dass eine seriöse Analyse wohl nicht mit VMWare möglich ist. Und zwar deshalb, weil man sich nicht sicher sein kann, dass sich die Malware so verhält wie auf einem realen Computer. Aber darauf hast Du ja schon zutreffend hingewiesen.

EDITED:

" Nundenn, da alle anderen offensichtlich schlauer sind - analysiert mal schoen Malware. Viel Spass dabei. Ende der Diskussion fuer mich."

Nunja. Da Du uns ohnehin für hoffnungslos unterbelichtet hältst und deshalb auch nicht bereit bist, uns etwas anderes zu sagen als "Finger weg von der Analyse durch Euch Deppen", stand es im Ergebnis sowieso fest, dass von Dir keine wirkliche Hilfe zu erwarten ist.

Der Beitrag wurde von Nautilus bearbeitet: 21.03.2004, 08:59

[Gast_df7nw01_*]

Also da sich manche an der VMWare aufhängen. Dieses Thema ist ja seit meinem letzten Thema eh vom Tisch, da es ja offensichtlich Malware gibt, die sich auf einer VMWare anders verhält als ITW und deshalb sowieso nur ein richtiger Testrechner in Betracht kommt. Dieser Stand-Alone-Rechner hat erstens idealerweise keinen Network-Access und zweitens wird von ihm nichts herunterkopiert.
Gesetzt der Fall, ich bekomme jetzt eine infizierte Datei.
Diese kopiere ich auf den testrechner. Jetzt kann ich dort so unaufmerkssam sein wie ich will und weiß Gott welche Viren kreieren, solange diese meinen Testrechner doch nicht verlassen, wo ist da die Gefahr? Sollte ich zu dem Schluss kommen, dass es sich um Malware handelt, schicke ich die normale, unanalysierte Datei weiter, die nicht verändert wurde.
Somit wäre dieser hypothetische Fall schonmal vom Tisch.

Außerdem ist mir aufgefallen, dass keiner der gefragten Leute Auskunft darüber gibt, wie denn sie an ihre Fähigkeiten gekommen sind. Scheinbar haben sie es früher genauso gemacht, geboren worden werden sie mit dem Wissen nicht sein.

Also ich finde diese Einstellung auch relativ egoistisch, so nach dem Motto: "Ich weiß etwas was du nicht weißt und ich werds dir auch nicht sagen weil du eh zu blöd dazu bist...!"

In diesem Sinne, schönen Sonntag!

[JoJo]

vielleicht ist dieses Buch ja interessant:
http://www.amazon.co.uk/exec/obidos/ASIN/0...4848108-1416404

[Gast_INT 3_*]

Also ich finde diese Einstellung auch relativ egoistisch

Ok, also einigen wir uns darauf dass die meisten AV Leute egoistisch sind.
Ich denke mal damit kann man leben.

Ich gebe Dir mal einen Tip: Versuche mal einen Boersen-Profi das Wissen abzuziehen - die werden Dir mit ziemlicher Sicherheit genau das Selbe sagen - ihr Wissen ist ihr Kapital. Zudem existieren meistens bindende Vertraege bei Angstellten die das ganz einfach untersagen Wissen weiterzugeben, insbesondere an Aussenstehende.

Der Beitrag wurde von INT 3 bearbeitet: 21.03.2004, 14:40

[Yellow]

Na, das ist endlich mal 'ne klare Aussage und kann man IMHO auch akzeptieren. Sich Wissen anzueignen ist immer mit sehr viel Arbeit, Geduld und Ausprobieren verbunden und niemand wird einem ein Wissen, was er sich selbst über mehrere Jahre (Jahrzehnte) angeeignet hat, preisgeben. Egal, in welchem Bereich.
Wenn jemand Virenanalyst werden will, kann er sich ja bei irgendeiner der einschlägigen Firmen bewerben und den Job von der Pike auf lernen (verschiedene Grundkenntnisse vorausgesetzt ). Der andere Weg ist mit Sicherheit steiniger und mühseliger, da man viiiel selber recherchieren muss.
Und in einem stimme ich INT 3 noch zu: mit Malware rumzuspielen (Betonung liegt auf Rumspielen) ist gefährlich und grob fahrlässig. Man muss wirklich 200% sicher sein, sonst kann der Schuss schnell nach hinten los gehen. Die Verbreitung von Viren ist doch nur an Unwissenheit (unbekannte Attachments öffnen, nicht gepatchte Systeme, etc.) oder böse Absichten gekoppelt. Und ich glaube, das reicht.
Womit ich aber jetzt Niemandem hier Unwissenheit unterstellen will. Wer es sich zutraut... Meinen Segen habt ihr!

[Remover]

@INT3

Also ich habe auch nicht von VM Ware oder so etwas geredet.
Das dies ein Realsystem nicht ersetzt, ist uns allen glaube ich klar.

Zudem wollten wir hier keine Detailinformationen, lediglich ein paar allgemeine Tipps.
Oder haben wir von dir einen Experten Dis/Assembler Kurs verlangt?
Und wenn du nicht mal verraetst wie du angefangen hast, dann hat dies garantiert
nix mit irgendwelchen Vertraegen deines Arbeitgebers zu tun.

Die IT Branche lebt von gegenseitiger Hilfe, leider gibt es immer wieder Leute die
dies nicht begreifen und ihr wissen lieber mit ins grab nehmen, als das sie anderen
damit helfen koennten und dabei ist man selbst fleissig an z.b. eventid.net am nutzen.

[Rokop]

Das analysieren der Datei in einem Hexeditor sowie das Beobachten was die Datei in einer sicheren Umgebung tut (hier ein Testrechner mit HDD Sheriff) reicht mir zu einer ungefähren Bestimmung voll und ganz. Das eigentliche Analysieren überlasse ich Leuten, die so etwas "gelernt" haben und folglich auch wirklich können.
Zum disassemblieren fehlen mir sowohl die Kenntnisse als auch die Zeit. Selbst professionelle Analysten schauen mal lieber bei der Konkurrenz nach, als es selbst zu tun. Schließlich kostet es auch sie teure Zeit

[JFK]

Selbst professionelle Analysten schauen mal lieber bei der Konkurrenz nach, als es selbst zu tun. Schließlich kostet es auch sie teure Zeit

JFK