Returnil Free Test, Virtualisieren gegen Viren Einstellungen

[subset]

Hi,

ein kleiner Test mit dem kostenlosen Virtualisierungsprogramm Returnil Virtual System Personal Edition 2.0.0.5011.
http://www.returnilvirtualsystem.com/rvspersonal.htm

Getestet habe ich mit einem System mit einer Festplatte und einer Partition, da Returnil aktuell nur die Systempartition virtualisiert.
Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt.

Als Testmenü gab es schwer verdauliche Kost: KillMBR, Vundo, Phide, Bagle, Rustock usw.



Als nächstes habe ich den Sitzungsschutz von Returnil aktiviert.
Anschließend als Infektionszähler Avira in das virtualisierte System installiert und alles auf "Ignorieren" gestellt.

Dann die 12 Schadprogramme nacheinander gestartet.
Avira kam insgesamt auf 43 Malware Funde.



Danach wurde es schwierig. Eigentlich wollte ich das infizierte System scannen, um den Schaden zu dokumentieren.
Aber sobald ein Programm installiert war oder ein Scan startete, wurde kurz danach das System heruntergefahren.
Versucht habe ich es insgesamt viermal, mit dem AVP Tool, CureIt, Avira Premium und KAV 2009.
Jedes Mal das durch Returnil geschützte System erneut verseucht, zu Scannen versucht und... Neustart.
Vielleicht war das Bagle Dings schuld, vielleicht ein anders Dings, jedenfalls waren die "SuperAVs" allesamt vollkommen nutzlos.

Also habe ich das aufgegeben und das echte System nach den ganzen Verseuchungen gescannt.

Zuerst mit CureIt, das hat nix gefunden.
Also mit der Ausnahme, dass es das Sysinternals Tool PsKill bemängelt...



Danach KAV 2009 im echten System installiert, hat aber auch nix gefunden.



Resümee:
- Returnil hat den Test mühelos mehrmals bestanden.
- Zu den restlichen "Schutzprogrammen" erspare ich mir lieber einen Kommentar.

MfG

[Gast_Nightwatch_*]

Hallo Peter 123

- Mit dem eben Erwähnten in Zusammenhang: Ich kann mit Sandboxie meine (allenfalls riskanten) Aufenthalte im Internet kurz halten.

[...]

Außerdem ist nach dem Gesagten die "Aufenthaltsdauer" eines etwaigen Schädlings im (virtuellen) System bei Nutzung einer Sandbox typischerweise kürzer als bei einer (ausschließlichen) Verwendung von Returnil. Insofern habe ich mit Sandboxie ein besseres Sicherheitsgefühl.

Das stimmt vollkommen. Nur ist imo eine Teilvirtualisierung (über Sandbox) noch einmal eine andere Nummer. Wenn man Programme wie Returnil etc. einsetzt, muss man zwangsläufig das Vertrauen entgegenbringen, dass selbst bei einem dauerhaften Verbleib in der VM etwaige Schädlinge nichts ausrichten können. Da ist es dann egal, ob sie zehn Minuten oder zehn Tage auf der Schattenpartition aktiv sind. Dass Sandbox-Programme solche Probleme haben können, wie Oldi sie beschrieb, ist klar. Sie virtualisieren einzelne Anwendungen und müssen viele externe Rechtanforderungen umgehen. Bei Returnil kommen wir hingegen dann zum entscheidenden Punkt, wenn nach einem Neustart der VM-Modus verlassen wird. Hier gibt es einige (theoretische) Möglichkeiten, wie man das System umgehen könnte. Somit haben beide Technologien an unterschiedlichen Zweigen ihre Schwierigkeiten, die meiner Meinung nach aber nichts damit zutun haben, wie lange ein Schädling in der VM aktiv ist. Entweder es bricht gleich, oder es hält ewig .
Im Endeffekt würde ich persönlich auch unterstreichen, dass eine Sandbox vor allem dann sehr nützlich ist, wenn ich mich vor Exploits oder "bösartigen" Websites schützen möchte (Java-Apletts/ scripts etc.). Für Programminstallationen und Malware-Spielereien eben dann Returnil oder andere (wie Du schon sagtest).

Ich habe im vergangenen Sommer mal versucht, nur im Shadow-Mode zu bleiben und auf jegliche andere Sicherheitssoftware zu verzichten (bis auf F-Secure only on-demand). Und da kommt man schon recht schnell an die Grenzen. An seine eigenen und an die des Systems . Kurzum: Es ist schwierig und nervig. Flexibilität ist hier nicht angesagt. Und seitdem nutze ich ShadowDefender immer nur dann, wann ich ihn brauche. Eigentlich schade, denn man könnte sich so einiges andere ersparen...lästige Software-Updates, problematische Signaturen, FP´s, Performance-Einbußen usw.

Aber ich hoffe noch darauf, dass sich die Technologie noch weiter ausreift. Returnil ist da schon auf ziemlich gutem Weg. Falls ich mich irgendwann noch einmal durchringen sollte, es ganz mit Virtualisierung zu versuchen, würde ich mittlerweile Returnil bevorzugen. Sonst allerdings nicht, weil SD deutlich günstiger ist.
Eine Sandbox nutze ich nicht. Ich bin auch mit 2Klicks im Shadow-Mode.

Gruß,
Nightwatch