Returnil Free Test, Virtualisieren gegen Viren Einstellungen

[subset]

Hi,

ein kleiner Test mit dem kostenlosen Virtualisierungsprogramm Returnil Virtual System Personal Edition 2.0.0.5011.
http://www.returnilvirtualsystem.com/rvspersonal.htm

Getestet habe ich mit einem System mit einer Festplatte und einer Partition, da Returnil aktuell nur die Systempartition virtualisiert.
Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt.

Als Testmenü gab es schwer verdauliche Kost: KillMBR, Vundo, Phide, Bagle, Rustock usw.



Als nächstes habe ich den Sitzungsschutz von Returnil aktiviert.
Anschließend als Infektionszähler Avira in das virtualisierte System installiert und alles auf "Ignorieren" gestellt.

Dann die 12 Schadprogramme nacheinander gestartet.
Avira kam insgesamt auf 43 Malware Funde.



Danach wurde es schwierig. Eigentlich wollte ich das infizierte System scannen, um den Schaden zu dokumentieren.
Aber sobald ein Programm installiert war oder ein Scan startete, wurde kurz danach das System heruntergefahren.
Versucht habe ich es insgesamt viermal, mit dem AVP Tool, CureIt, Avira Premium und KAV 2009.
Jedes Mal das durch Returnil geschützte System erneut verseucht, zu Scannen versucht und... Neustart.
Vielleicht war das Bagle Dings schuld, vielleicht ein anders Dings, jedenfalls waren die "SuperAVs" allesamt vollkommen nutzlos.

Also habe ich das aufgegeben und das echte System nach den ganzen Verseuchungen gescannt.

Zuerst mit CureIt, das hat nix gefunden.
Also mit der Ausnahme, dass es das Sysinternals Tool PsKill bemängelt...



Danach KAV 2009 im echten System installiert, hat aber auch nix gefunden.



Resümee:
- Returnil hat den Test mühelos mehrmals bestanden.
- Zu den restlichen "Schutzprogrammen" erspare ich mir lieber einen Kommentar.

MfG

[Gast_Nightwatch_*]

Hallo Peter 123

- Mit dem eben Erwähnten in Zusammenhang: Ich kann mit Sandboxie meine (allenfalls riskanten) Aufenthalte im Internet kurz halten.

[...]

Außerdem ist nach dem Gesagten die "Aufenthaltsdauer" eines etwaigen Schädlings im (virtuellen) System bei Nutzung einer Sandbox typischerweise kürzer als bei einer (ausschließlichen) Verwendung von Returnil. Insofern habe ich mit Sandboxie ein besseres Sicherheitsgefühl.

Das stimmt vollkommen. Nur ist imo eine Teilvirtualisierung (über Sandbox) noch einmal eine andere Nummer. Wenn man Programme wie Returnil etc. einsetzt, muss man zwangsläufig das Vertrauen entgegenbringen, dass selbst bei einem dauerhaften Verbleib in der VM etwaige Schädlinge nichts ausrichten können. Da ist es dann egal, ob sie zehn Minuten oder zehn Tage auf der Schattenpartition aktiv sind. Dass Sandbox-Programme solche Probleme haben können, wie Oldi sie beschrieb, ist klar. Sie virtualisieren einzelne Anwendungen und müssen viele externe Rechtanforderungen umgehen. Bei Returnil kommen wir hingegen dann zum entscheidenden Punkt, wenn nach einem Neustart der VM-Modus verlassen wird. Hier gibt es einige (theoretische) Möglichkeiten, wie man das System umgehen könnte. Somit haben beide Technologien an unterschiedlichen Zweigen ihre Schwierigkeiten, die meiner Meinung nach aber nichts damit zutun haben, wie lange ein Schädling in der VM aktiv ist. Entweder es bricht gleich, oder es hält ewig .
Im Endeffekt würde ich persönlich auch unterstreichen, dass eine Sandbox vor allem dann sehr nützlich ist, wenn ich mich vor Exploits oder "bösartigen" Websites schützen möchte (Java-Apletts/ scripts etc.). Für Programminstallationen und Malware-Spielereien eben dann Returnil oder andere (wie Du schon sagtest).

Ich habe im vergangenen Sommer mal versucht, nur im Shadow-Mode zu bleiben und auf jegliche andere Sicherheitssoftware zu verzichten (bis auf F-Secure only on-demand). Und da kommt man schon recht schnell an die Grenzen. An seine eigenen und an die des Systems . Kurzum: Es ist schwierig und nervig. Flexibilität ist hier nicht angesagt. Und seitdem nutze ich ShadowDefender immer nur dann, wann ich ihn brauche. Eigentlich schade, denn man könnte sich so einiges andere ersparen...lästige Software-Updates, problematische Signaturen, FP´s, Performance-Einbußen usw.

Aber ich hoffe noch darauf, dass sich die Technologie noch weiter ausreift. Returnil ist da schon auf ziemlich gutem Weg. Falls ich mich irgendwann noch einmal durchringen sollte, es ganz mit Virtualisierung zu versuchen, würde ich mittlerweile Returnil bevorzugen. Sonst allerdings nicht, weil SD deutlich günstiger ist.
Eine Sandbox nutze ich nicht. Ich bin auch mit 2Klicks im Shadow-Mode.

Gruß,
Nightwatch

[Peter 123]

Somit haben beide Technologien an unterschiedlichen Zweigen ihre Schwierigkeiten, die meiner Meinung nach aber nichts damit zutun haben, wie lange ein Schädling in der VM aktiv ist. Entweder es bricht gleich, oder es hält ewig .

Ich dachte hauptsächlich an den Fall, dass ein Schädling Daten ausspioniert, Tastatureingaben mitprotokolliert und dergleichen mehr. Da könnte es, glaube ich, schon eine Rolle spielen, ob sich dieser Schädling nur 5 Minuten oder z.B. 2 Tage im virtuellen System eingenistet hat (zB. wenn ich in der fraglichen Zeit Passwörter eintippe). Aber davon abgesehen gebe ich zu, dass es für mich vor allem auch einen positiven psychologischen Effekt hat, wenn allfällige Schädlinge so kurz wie nur möglich am Rechner (in der virtuellen Umgebung) sind.

Wenn man Programme wie Returnil etc. einsetzt, muss man zwangsläufig das Vertrauen entgegenbringen, dass selbst bei einem dauerhaften Verbleib in der VM etwaige Schädlinge nichts ausrichten können. Da ist es dann egal, ob sie zehn Minuten oder zehn Tage auf der Schattenpartition aktiv sind.

Wenn ich es richtig sehe, ist ein solches Vertrauen typischerweise aber eigentlich nur dann berechtigt, wenn ich während dieser Zeit ohne Internetverbindung bin; also zB in folgender Konstellation: Ich lade mir (zu Testzwecken) ein gefährliches (= mit einem Schädling versehenes) Programm aus dem Internet ins virtuelle System herunter, trenne anschließend die Verbindung des Rechners zum Internet, führe (erst) dann das Programm aus und experimentiere damit herum. Etwaige Schäden, die damit angerichtet werden, beseitige ich durch ein Herunterfahren und Neustarten des Computers. Erst danach gehe ich wieder online.
Würde ich das hingegen bei bestehender Verbindung mit dem Internet machen, müsste ich ja befürchten, dass der Schädling mit dem Internet Kontakt aufnimmt, also von dort etwas nachlädt, etwas dorthin übermittelt usw.

---> Wenn meine Überlegung so stimmt, dann schließt sich damit der Kreis zu dem, was auch du bereits erwähnt hast:

Im Endeffekt würde ich persönlich auch unterstreichen, dass eine Sandbox vor allem dann sehr nützlich ist, wenn ich mich vor Exploits oder "bösartigen" Websites schützen möchte (Java-Apletts/ scripts etc.). Für Programminstallationen und Malware-Spielereien eben dann Returnil oder andere

Vielleicht kann man es daher vereinfacht so beschreiben, welche Sicherheitslösung zweckmäßiger ist:
- für "normales" Surfen und für Online-Experimente eher eine Sandbox (und allenfalls ergänzend Returnil oder Shadow Defender usw.)
- für Offline-Experimente (Programmtests, Malware-Spielereien, ...) eher Returnil & Co.

Der Beitrag wurde von Peter 123 bearbeitet: 27.12.2008, 20:35