Returnil Free Test - Rokop Security

Rokop Security

Mitglieder Moderatoren

Regeln

Hilfe

Suche

Mitglieder

Kalender

Returnil Free Test, Virtualisieren gegen Viren

Einstellungen

subset Profil ansehen	26.12.2008, 20:53 Beitrag #1
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall	Hi, ein kleiner Test mit dem kostenlosen Virtualisierungsprogramm Returnil Virtual System Personal Edition 2.0.0.5011. http://www.returnilvirtualsystem.com/rvspersonal.htm Getestet habe ich mit einem System mit einer Festplatte und einer Partition, da Returnil aktuell nur die Systempartition virtualisiert. Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt. Als Testmenü gab es schwer verdauliche Kost: KillMBR, Vundo, Phide, Bagle, Rustock usw. Als nächstes habe ich den Sitzungsschutz von Returnil aktiviert. Anschließend als Infektionszähler Avira in das virtualisierte System installiert und alles auf "Ignorieren" gestellt. Dann die 12 Schadprogramme nacheinander gestartet. Avira kam insgesamt auf 43 Malware Funde. Danach wurde es schwierig. Eigentlich wollte ich das infizierte System scannen, um den Schaden zu dokumentieren. Aber sobald ein Programm installiert war oder ein Scan startete, wurde kurz danach das System heruntergefahren. Versucht habe ich es insgesamt viermal, mit dem AVP Tool, CureIt, Avira Premium und KAV 2009. Jedes Mal das durch Returnil geschützte System erneut verseucht, zu Scannen versucht und... Neustart. Vielleicht war das Bagle Dings schuld, vielleicht ein anders Dings, jedenfalls waren die "SuperAVs" allesamt vollkommen nutzlos. Also habe ich das aufgegeben und das echte System nach den ganzen Verseuchungen gescannt. Zuerst mit CureIt, das hat nix gefunden. Also mit der Ausnahme, dass es das Sysinternals Tool PsKill bemängelt... Danach KAV 2009 im echten System installiert, hat aber auch nix gefunden. Resümee: - Returnil hat den Test mühelos mehrmals bestanden. - Zu den restlichen "Schutzprogrammen" erspare ich mir lieber einen Kommentar. MfG -------------------- sub·set·lines

Antworten

Gast_Nightwatch_*	28.12.2008, 00:11 Beitrag #2
Gäste	ZITAT(Peter 123 @ 27.12.2008, 23:22) Da muss ich jetzt noch einmal etwas nachfragen. Denn entweder verstehe ich bei der Funktionsweise der Virtualisierungsprogramme etwas falsch, oder du bist sehr mutig/risikofreudig. [...] Das leuchtet mir ein für jene Art von Malware, die "nur" auf der Festplatte selbst schaden anrichtet (bzw. anrichten würde, wenn sie nicht in einem virtuellen System isoliert wäre), aber keinen Kontakt "nach außen" sucht. Aber wie schützt du dich gegen jene Art von Schädlingen, die Oldi in seinen Posting beschrieben hat? Hi Peter Ok. Jetzt hab ich den Punkt verstanden. Danke für Deine Geduld! Das stimmt natürlich. Gegen diesen Datenklau gibt´s eigentlich nur zwei Mittel und Wege...entweder man hat noch ein zusätzliches AV-Programm parat, welches den Schädling evtl. abfängt, oder aber man arbeitet mit eingeschränkten Rechten. Sonst ist das in der Tat ein riskantes Problem. Bei mir gibt´s zwar auf meinem "Surf-Rechner" nichts wichtiges zu stehlen, aber auf einem Geschäfts-PC sieht das wohl schon anders aus. Aber wenn ich ein Sample zum Test ausführe, weiß ich ja in der Regel vorher, worauf ich mich einlasse. Etwas risikofreudig ist das Ganze sicherlich schon . ZITAT(Peter 123 @ 27.12.2008, 23:22) Hast du Returnil (und/oder Shadow Defender) so konfiguriert, dass dieses Risiko (also Keylogger etc.) derartig gering ist, dass man es vernachlässigen kann (so wie das zB. bei Sandboxie durch entsprechende Einstellungen möglich ist)? Oder gibt es eine solche Konfigurationsmöglichkeit gar nicht, und begnügst du dich insofern mit dem Schutz, den dein herkömmliches Virenschutzprogramm bietet? Ich habe Returnil leider schon länger nicht mehr getestet. Was ShadowDefender anbelangt, so gibt es diesbezüglich keine entsprechenden Konfigurationsmöglichkeiten. Ist ja auch schwer. Entweder es kommt mit einer eigenständigen Erkennung daher, oder einer Hips-ähnlichen Technologie. Fein wäre aber z.B., wenn es die Option gäbe, dass bestimmte Ordner und Zielverzeichnisse während der Virtualisierung auch innerhalb der Virtualisierung nicht zur Verfügung stünden. Dann wäre die Sache klarer und wesentlich sicherer. SD ist jedenfalls bei mir schon länger nicht mehr im produktiven Einsatz. Wenn ich sehe, dass ein Sample durchrutscht beginne ich auch meist zügig mit dem Neustart. Ansonsten ist Dein berechtigter Einwand mit der Internet-Verbindung nochmal eine wichtige Gedächtnisstütze und Anregung für mich, die ich nicht ganz außer Acht lassen sollte. Btw. Gedächtnis: Hatte irgendwie noch im Kopf, dass wir schon einmal eine ähnliche Diskussion geführt haben und bin nach der Board-Suche darüber "gestolpert": http://www.rokop-security.de/index.php?sho...=shadowdefender Wie auch hier sehr interessant (nicht ironisch gemeint, sondern ernsthaft) Gruß, Nightwatch Der Beitrag wurde von Nightwatch bearbeitet: 28.12.2008, 00:24

Peter 123 Profil ansehen	28.12.2008, 01:59 Beitrag #3
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.560 Mitglied seit: 19.07.2008 Wohnort: Österreich Mitglieds-Nr.: 6.967 Betriebssystem: Windows 10 (Home, 64 bit) Virenscanner: Windows Defender Firewall: Router / Windows-Firewall	Nochmals kurz ich. @ Nightwatch: Danke für deine ausführliche Antwort. Was das betrifft: ZITAT(Nightwatch @ 28.12.2008, 00:10) Btw. Gedächtnis: Hatte irgendwie noch im Kopf, dass wir schon einmal eine ähnliche Diskussion geführt haben und bin nach der Board-Suche darüber "gestolpert": http://www.rokop-security.de/index.php?sho...=shadowdefender In der Tat! Das war mir nicht mehr in Erinnerung. Aber dieser neue Thread hier war eine gute Gelegenheit, noch einmal diese grundsätzlichen Fragen zu erörtern. Zu subset's Präferenzen: ZITAT(subset @ 28.12.2008, 00:28) Wenn ich mich zwischen Sandboxie oder Returnil entscheiden müsste, würde ich beide nehmen. Das war zu erwarten. Der Beitrag wurde von Peter 123 bearbeitet: 28.12.2008, 01:59

Beiträge in diesem Thema

subset Returnil Free Test 26.12.2008, 20:53

Solution-Design Dieser kleine Test hat auch unter Returnil stattge... 27.12.2008, 07:05

Oldi Zuerst mal wünsche ich allen Forenmitgliedern ein ... 27.12.2008, 09:49

Solution-Design ZITAT(Oldi @ 27.12.2008, 09:48) Gefährlic... 27.12.2008, 10:23

Peter 123 ZITAT(Oldi @ 27.12.2008, 09:48) Gefährlic... 27.12.2008, 18:31

Kenshiro Danke subset für diesen Test 27.12.2008, 12:05

rolarocka Die versuchung solche Pragramme wie Returnil/Shado... 27.12.2008, 13:08

Nightwatch Danke subset! Programme wie Returnil oder Sha... 27.12.2008, 15:31

Nightwatch Hallo Peter 123 ZITAT(Peter 123 @ 27.12.200... 27.12.2008, 19:09

Peter 123 ZITAT(Nightwatch @ 27.12.2008, 19:08) Som... 27.12.2008, 20:24

Nightwatch ZITAT(Peter 123 @ 27.12.2008, 20:23) Aber... 27.12.2008, 22:06

Peter 123 Da muss ich jetzt noch einmal etwas nachfragen. De... 27.12.2008, 23:23

Nightwatch ZITAT(Peter 123 @ 27.12.2008, 23:22) Da m... 28.12.2008, 00:11

Peter 123 Nochmals kurz ich. @ Nightwatch: Danke für deine... 28.12.2008, 01:59

subset Hi, jetzt geht es mit der Fortsetzung weiter - Sa... 28.12.2008, 00:29

Julian ZITAT(subset @ 28.12.2008, 00:28) Welche ... 28.12.2008, 14:55

Nightwatch Erneut super Test subset!! Interessant, da... 28.12.2008, 00:33

StormRider OT: Angeregt durch diese Diskussion bin ich auf d... 28.12.2008, 09:34

Scrapie Morgen Alles Recht und Gut. Ihr solltet aber im H... 28.12.2008, 09:56

Heike dem stimme ich zu 100% zu, ich würde nie ein File ... 28.12.2008, 11:21

subset ZITAT(Heike @ 28.12.2008, 11:20) dem stim... 28.12.2008, 21:25

Clinton Ist Shadow Defender multilingual? Laut dem *gif so... 29.12.2008, 19:09

subset ZITAT(Clinton @ 29.12.2008, 19:08) Ist Sh... 29.12.2008, 19:15

Clinton ZITAT(subset @ 29.12.2008, 19:14) Ja, die... 29.12.2008, 20:06

Kenshiro @subset Welches Progz hast DU lieber? Shadow oder ... 29.12.2008, 19:40

subset ZITAT(Kenshiro @ 29.12.2008, 19:39) Welch... 29.12.2008, 20:36

claudia und hier gibt es HEUTE eine Jahreslizenz kostenlos... 30.12.2008, 13:57

Clinton thx@claudia, ZITATYou have to install it before t... 30.12.2008, 14:49

subset Hi, also bei der letzten GOTD Aktion von Returnil... 30.12.2008, 19:56

drei-finger-joe ZITAT(subset @ 30.12.2008, 19:55) also be... 31.12.2008, 12:34

Peter 123 Ich habe mir jetzt auch einmal die Premium Edition... 31.12.2008, 00:06

BluesBrother hmmm... ich krieg das prog nich installiert. gleic... 31.12.2008, 00:58

Clinton ZITAT(BluesBrother @ 31.12.2008, 00:57) h... 31.12.2008, 14:18

subset ZITAT(Clinton @ 31.12.2008, 14:17) Das da... 31.12.2008, 14:40

malangao @BluesBrother & Peter 123 Ich setze gerade XP... 31.12.2008, 01:12

leguan @Peter 123: Die AV weiß doch nach dem Neustart nic... 31.12.2008, 05:17

Peter 123 ZITAT(leguan @ 31.12.2008, 05:16) @Peter ... 31.12.2008, 05:37

BluesBrother naja... hab heute morgen das file mal vom "m... 31.12.2008, 15:17

Clinton Heute gibt es bei GOTD eine Jahreslizenz von Retur... 28.09.2010, 09:34

drei-finger-joe ZITAT(Clinton @ 28.09.2010, 09:33) Heute ... 28.09.2010, 10:47

Clinton ZITAT(drei-finger-joe @ 28.09.2010,... 28.09.2010, 11:25

FreeBSDler Kann man das Returnil-system-safe-2011-pro auch zu... 28.09.2010, 13:44

subset ZITAT(FreeBSDler @ 28.09.2010, 13:43) Kan... 28.09.2010, 16:22

FreeBSDler Danke subset für die ausführliche Aufklärung. ... 28.09.2010, 18:12

Julian Man kann auch bei der Pro nicht mehr als eine Part... 28.09.2010, 13:52

« Vorhergehendes Thema · Schutzprogramme · Folgendes Thema »

8 Besucher lesen dieses Thema (Gäste: 8 | Anonyme Besucher: 0)

0 Mitglieder: