 Returnil Free Test, Virtualisieren gegen Viren |
Willkommen, Gast ( Anmelden | Registrierung )
 26.12.2008, 20:53
Beitrag
#1
|
|
 Gehört zum Inventar  Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall  |
Hi,
ein kleiner Test mit dem kostenlosen Virtualisierungsprogramm Returnil Virtual System Personal Edition 2.0.0.5011. http://www.returnilvirtualsystem.com/rvspersonal.htm Getestet habe ich mit einem System mit einer Festplatte und einer Partition, da Returnil aktuell nur die Systempartition virtualisiert. Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt. Als Testmenü gab es schwer verdauliche Kost: KillMBR, Vundo, Phide, Bagle, Rustock usw.  Als nächstes habe ich den Sitzungsschutz von Returnil aktiviert. Anschließend als Infektionszähler Avira in das virtualisierte System installiert und alles auf "Ignorieren" gestellt. Dann die 12 Schadprogramme nacheinander gestartet. Avira kam insgesamt auf 43 Malware Funde.  Danach wurde es schwierig. Eigentlich wollte ich das infizierte System scannen, um den Schaden zu dokumentieren. Aber sobald ein Programm installiert war oder ein Scan startete, wurde kurz danach das System heruntergefahren. Versucht habe ich es insgesamt viermal, mit dem AVP Tool, CureIt, Avira Premium und KAV 2009. Jedes Mal das durch Returnil geschützte System erneut verseucht, zu Scannen versucht und... Neustart. Vielleicht war das Bagle Dings schuld, vielleicht ein anders Dings, jedenfalls waren die "SuperAVs" allesamt vollkommen nutzlos. Also habe ich das aufgegeben und das echte System nach den ganzen Verseuchungen gescannt. Zuerst mit CureIt, das hat nix gefunden. Also mit der Ausnahme, dass es das Sysinternals Tool PsKill bemängelt...  Danach KAV 2009 im echten System installiert, hat aber auch nix gefunden.  Resümee: - Returnil hat den Test mühelos mehrmals bestanden. - Zu den restlichen "Schutzprogrammen" erspare ich mir lieber einen Kommentar. MfG -------------------- |
 |
 
|
 |
Antworten
|
28.12.2008, 00:29
Beitrag
#2
|
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.902 Mitglied seit: 05.11.2007 Wohnort: Österreich Mitglieds-Nr.: 6.548 Betriebssystem: Linux, Windows Virenscanner: Sandboxie Firewall: Privatefirewall |
Hi,
jetzt geht es mit der Fortsetzung weiter - Sandboxing gegen Viren. Die Schadprogramme bleiben die gleichen, nur kommt jetzt Sandboxie statt Returnil zum Einsatz.  Das war einfacher zu Testen, da sich alles auf die Sandbox begrenzt abspielte. Eine Momentaufnahme, was zum Zeitpunkt des Screenshots gerade alles in der Sandbox lief.  Nachdem alle 12 ausgeführt waren, habe ich den Sandbox Ordner mit KAV gescannt. Einige Meldungsfenster davon sind hier als GIF zusammengefasst.  Nachdem ich mit Sandboxie alle Programme, die in der Sandbox liefen, beendete und die Sandbox gelöscht habe, habe ich KAV deinstalliert und nach einem Neustart Avira Premium installiert und die Festplatte gescannt.  Mit dem gleichen Ergebnis wie schon zuvor beim Returnil Test. Gefunden wurde nichts. Wenn ich mich zwischen Sandboxie oder Returnil entscheiden müsste, würde ich beide nehmen.  Zum Keylogger Thema möchte ich zu bedenken geben, dass die meisten mit oder ohne Returnil dagegen nicht geschützt sind, da den meistens verwendeten Programmen (Suiten) sämtliche technischen Voraussetzungen zur Erkennung von Keyloggern fehlen (abgesehen von der signaturbasierenden Erkennung). Welche Suiten oder AVs, um die sich hier ständig alles dreht, können einen Hook based oder gar Kernel based Keylogger am Verhalten erkennen? MfG -------------------- |
|
|
|
|
28.12.2008, 14:55
Beitrag
#3
|
|
 Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) |
ZITAT(subset @ 28.12.2008, 00:28)  Welche Suiten oder AVs, um die sich hier ständig alles dreht, können einen Hook based oder gar Kernel based Keylogger am Verhalten erkennen? Zumindest unter XP32: NIS & KIS, die ja nicht gerade selten verwendet werden... IMO ist Sandboxing zu unkomfortabel und der Nutzen mit einem halbwegs sicheren Browser zu gering. Ich kenne niemanden, der Firefox benutzt und schon mal Opfer eines Exploits wurde. Der Beitrag wurde von Julian bearbeitet: 28.12.2008, 14:56 --------------------  |
|
|
|
Beiträge in diesem Thema
subset Returnil Free Test 26.12.2008, 20:53
Solution-Design Dieser kleine Test hat auch unter Returnil stattge... 27.12.2008, 07:05 Oldi Zuerst mal wünsche ich allen Forenmitgliedern ein ... 27.12.2008, 09:49
Solution-Design ZITAT(Oldi @ 27.12.2008, 09:48) Gefährlic... 27.12.2008, 10:23
Peter 123 ZITAT(Oldi @ 27.12.2008, 09:48) Gefährlic... 27.12.2008, 18:31 Kenshiro Danke subset für diesen Test 27.12.2008, 12:05 rolarocka Die versuchung solche Pragramme wie Returnil/Shado... 27.12.2008, 13:08 Nightwatch Danke subset!
Programme wie Returnil oder Sha... 27.12.2008, 15:31 Nightwatch Hallo Peter 123
ZITAT(Peter 123 @ 27.12.200... 27.12.2008, 19:09 Peter 123 ZITAT(Nightwatch @ 27.12.2008, 19:08) Som... 27.12.2008, 20:24 Nightwatch ZITAT(Peter 123 @ 27.12.2008, 20:23) Aber... 27.12.2008, 22:06 Peter 123 Da muss ich jetzt noch einmal etwas nachfragen. De... 27.12.2008, 23:23 Nightwatch ZITAT(Peter 123 @ 27.12.2008, 23:22) Da m... 28.12.2008, 00:11 Peter 123 Nochmals kurz ich.
@ Nightwatch:
Danke für deine... 28.12.2008, 01:59 Nightwatch Erneut super Test subset!!
Interessant, da... 28.12.2008, 00:33 StormRider OT:
Angeregt durch diese Diskussion bin ich auf d... 28.12.2008, 09:34 Scrapie Morgen
Alles Recht und Gut.
Ihr solltet aber im H... 28.12.2008, 09:56 Heike dem stimme ich zu 100% zu, ich würde nie ein File ... 28.12.2008, 11:21 subset ZITAT(Heike @ 28.12.2008, 11:20) dem stim... 28.12.2008, 21:25 Clinton Ist Shadow Defender multilingual? Laut dem *gif so... 29.12.2008, 19:09 subset ZITAT(Clinton @ 29.12.2008, 19:08) Ist Sh... 29.12.2008, 19:15 Clinton ZITAT(subset @ 29.12.2008, 19:14) Ja, die... 29.12.2008, 20:06 Kenshiro @subset
Welches Progz hast DU lieber?
Shadow oder ... 29.12.2008, 19:40 subset ZITAT(Kenshiro @ 29.12.2008, 19:39) Welch... 29.12.2008, 20:36 claudia und hier gibt es HEUTE
eine Jahreslizenz kostenlos... 30.12.2008, 13:57 Clinton thx@claudia,
ZITATYou have to install it before t... 30.12.2008, 14:49 subset Hi,
also bei der letzten GOTD Aktion von Returnil... 30.12.2008, 19:56 drei-finger-joe ZITAT(subset @ 30.12.2008, 19:55) also be... 31.12.2008, 12:34 Peter 123 Ich habe mir jetzt auch einmal die Premium Edition... 31.12.2008, 00:06 BluesBrother hmmm... ich krieg das prog nich installiert. gleic... 31.12.2008, 00:58 Clinton ZITAT(BluesBrother @ 31.12.2008, 00:57) h... 31.12.2008, 14:18 subset ZITAT(Clinton @ 31.12.2008, 14:17) Das da... 31.12.2008, 14:40 malangao @BluesBrother & Peter 123
Ich setze gerade XP... 31.12.2008, 01:12 leguan @Peter 123: Die AV weiß doch nach dem Neustart nic... 31.12.2008, 05:17 Peter 123 ZITAT(leguan @ 31.12.2008, 05:16) @Peter ... 31.12.2008, 05:37 BluesBrother naja...
hab heute morgen das file mal vom "m... 31.12.2008, 15:17 Clinton Heute gibt es bei GOTD eine Jahreslizenz von Retur... 28.09.2010, 09:34 drei-finger-joe ZITAT(Clinton @ 28.09.2010, 09:33) Heute ... 28.09.2010, 10:47 Clinton ZITAT(drei-finger-joe @ 28.09.2010,... 28.09.2010, 11:25 FreeBSDler Kann man das Returnil-system-safe-2011-pro auch zu... 28.09.2010, 13:44 subset ZITAT(FreeBSDler @ 28.09.2010, 13:43) Kan... 28.09.2010, 16:22 FreeBSDler Danke subset für die ausführliche Aufklärung.
... 28.09.2010, 18:12 Julian Man kann auch bei der Pro nicht mehr als eine Part... 28.09.2010, 13:52 |
3 Besucher lesen dieses Thema (Gäste: 3 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 06.05.2025, 23:57 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment