Returnil Free Test, Virtualisieren gegen Viren Einstellungen

[subset]

Hi,

ein kleiner Test mit dem kostenlosen Virtualisierungsprogramm Returnil Virtual System Personal Edition 2.0.0.5011.
http://www.returnilvirtualsystem.com/rvspersonal.htm

Getestet habe ich mit einem System mit einer Festplatte und einer Partition, da Returnil aktuell nur die Systempartition virtualisiert.
Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt.

Als Testmenü gab es schwer verdauliche Kost: KillMBR, Vundo, Phide, Bagle, Rustock usw.



Als nächstes habe ich den Sitzungsschutz von Returnil aktiviert.
Anschließend als Infektionszähler Avira in das virtualisierte System installiert und alles auf "Ignorieren" gestellt.

Dann die 12 Schadprogramme nacheinander gestartet.
Avira kam insgesamt auf 43 Malware Funde.



Danach wurde es schwierig. Eigentlich wollte ich das infizierte System scannen, um den Schaden zu dokumentieren.
Aber sobald ein Programm installiert war oder ein Scan startete, wurde kurz danach das System heruntergefahren.
Versucht habe ich es insgesamt viermal, mit dem AVP Tool, CureIt, Avira Premium und KAV 2009.
Jedes Mal das durch Returnil geschützte System erneut verseucht, zu Scannen versucht und... Neustart.
Vielleicht war das Bagle Dings schuld, vielleicht ein anders Dings, jedenfalls waren die "SuperAVs" allesamt vollkommen nutzlos.

Also habe ich das aufgegeben und das echte System nach den ganzen Verseuchungen gescannt.

Zuerst mit CureIt, das hat nix gefunden.
Also mit der Ausnahme, dass es das Sysinternals Tool PsKill bemängelt...



Danach KAV 2009 im echten System installiert, hat aber auch nix gefunden.



Resümee:
- Returnil hat den Test mühelos mehrmals bestanden.
- Zu den restlichen "Schutzprogrammen" erspare ich mir lieber einen Kommentar.

MfG

[Heike]

dem stimme ich zu 100% zu, ich würde nie ein File als "sauber" ansehen, welches unter einer virtuellen Umgebung getestet worden ist.

Was spricht gegen einen PC aus der Bastelkiste? Er muß ja nichts tolles sein, ist ja nur zum Spielen. Keine persönlichen Daten auf dem PC (Windows Serial würde auch darunter fallen), und schon sollte nichts mehr passieren können.

natürlich besteht immer ein Restrisiko, bloß keiner würde seine Treiber auf dem virtuellen PC updaten, das wird auf dem "echten" gemacht, tja, und auch die Treiber könnten infiziert sein, weil sie jemand auf dem Server ausgetauscht hat.

[subset]

dem stimme ich zu 100% zu, ich würde nie ein File als "sauber" ansehen, welches unter einer virtuellen Umgebung getestet worden ist.

Was spricht gegen einen PC aus der Bastelkiste?

Genau auf so einer Kiste habe ich ganzen Tests gemacht, ein P4, 768MB RAM und eine 80GB Festplatte.

Bei meinen Tests in diesem Thread geht es auch überhaupt nicht um das Austesten von Malware mit Returnil, Sandboxie oder Shadow Defender, im Sinne von Malware Research.
Es geht nur darum, ob diese Programme sämtlichen Attacken standhalten und jede Veränderung am echten System verhindern können.
Letztendlich geht es um den effektiven Schutz eines Systems vor ungewollten Veränderungen.

Der nächste Test wurde also mit Shadow Defender durchgeführt.

Die Programmoberfläche für alle, die das Programm noch nicht kennen, als GIF.



Wieder das Hochzeitsfoto zu Beginn.



Eingestellt habe ich bei SD - den Schattenmodus beim Neustart deaktivieren.

Nach dem Neustart dann das G DATA AV installiert und einen Scan gemacht.



Gefunden hat G DATA nichts, also hat auch Shadow Defender den Test bestanden.
Auch mit diversen Anti-Rootkit Tools, wie RKU, RootRepeal oder dem Avast! Antirootkit Beta mit GMER Technik war wie immer nichts zu finden.

Der Vorteil von Shadow Defender gegenüber Returnil ist, dass man alle Partitionen virtualisieren kann.
Der Nachteil gegenüber Returnil ist, dass es keine kostenlose Version davon gibt.
Blöße geben sich beide keine bei den getesteten Schadprogrammen, wie das kostenlose Sandboxie auch nicht.

Virtualisieren gegen Viren funktioniert also scheinbar ziemlich gut und das mit Programmen, die nur wenige MB Speicher und fast keine CPU Zeit verbrauchen bzw. CPU Last erzeugen.
Auf der alten P4 Kiste mit 768MB Speicher liefen die ganzen Programme wunderbar, wie auch die anderen AVs... mit einer Ausnahme - G DATA machte den alten Rechner extrem laaangsam.

MfG