Wie analysiert man Malware richtig? Einstellungen

[Remover]

Wie analysiert man Malware?

Dazu sollte man wohl Assembler gut koennen und einen guten
Debugger/Disassembler benutzen.
Die meisten werden jetzt wohl sagen, ist ja klar....
Zudem sollte man sicherlich noch ein Testsystem haben, das man bei
bedarf auf knopfdruck oder per Reboot wieder neu aufsetzt, das abgeschirmt
ist von jeglichen Netzwerk oder Internet und sehr viel Erfahrung mit
Computer und Betriebsystem (MCSE von Vorteil) haben.

Persoenlich wuerde ich auch gerne in diese Richtung schwenken.
Ich remove jede Woche mehrere Viren, Trojaner, Wuermer, Hijacker etc.
von Kundenrechnern und bin schon auf so manches noch unbekanntes
Exemplar getroffen. Als unerfahren wuerde ich mich auch nicht gerade
bezeichnen, bin schon seit VC20 Zeiten dabei und kann auch etwas Assembler.

Mich wuerde auch mal interessieren wie die Profis das machen....

Gibt es womoeglich Tools die ihr benutzt, sind diese erwerblich oder
hat jede Firma ihre eigenen entwickelt.
Denke das die meisten Firmen schon so eine Art Sandbox haben,
die dann z.b. saemtliche Registry Aenderungen usw. loggt, oder!?
Man geht ja bestimmt nicht per Hand durch die ganzen Eintraege.....

Also lasst uns mal weggehen von diesen Virenexchange aus den
anderen Threads, denke auch das da jeder drankommt, wenn er wirklich will.

Vorwurf war dort, das ihr euer Wissen nicht preisgebt.....und das obwohl
die Branche wirklich noch Hardcore Analyse Leute gebrauchen kann.
Jeder hat mal klein angefangen.....wie waere es also mit ein paar guten
und brauchbaren Tipps, wie man das richtig macht.
Vielleicht springen dabei in ein paar Jahren ein paar gute Leute raus.
Und wenn das ganze entsprechend mit Fachbegriffen geschrieben wird
koennen es sowieso nur die nachvollziehen, die schon ein wenig Ahnung haben.
Zudem machen es die Leute so oder so....mit euren Tipps koennt ihr
sie wenigstens auf den richtigen Weg bringen und vor allen zu den
noetigen Sicherheitsschritten auffordern.

Bin gespannt ob ein Profi mal verraet was fuer Tools eingesetzt werden....

[Remover]

@INT3

Als angehender Security Spezialist habe ich sicherlich jetzt schon einige Erfahrung auf diesen Bereich. Aber schoen das du auf diese Gefahren aufmerksam machst, war ein echt schoenes Beispiel, so koennen wir also doch noch etwas von dir lernen.

Mir ist klar das man sehr viel Schutzmassnahmen treffen muss und vermutlich am
besten mit einer Kontrollliste arbeitet.
Mich wuerde jetzt echt mal interessieren, wie hast du denn angfangen?
Wurdest du mit deinem Wissen ueber Malware bereits geboren, warst du etwa
einer von denen die einfach mal so Experementiert haben oder hattest du
einen guten Lehrer!?

Meine Meinung zum Virenexchange kennst du ja bereits.
Bin auch kein Fan davon und bekomme auch so tagtaeglich genug (bei Kunden)
malware zu Gesicht. Mir waere es manchmal wirklich hilfreich ein wenig mehr als nur Grundkenntnisse zu besitzen, denn auf die Virenbeschreibungen der AV Hersteller
kann man sich auch nicht immer 100% verlassen, dies habe ich schon oft gemerkt.

". Jegliche Malware in Haenden von Personen, welche dafuer nicht qualifiziert sind und vorsaetzlich grob fahrlaessig handeln koennen (mal abgesehen von den Normal-Usern die sich unfreiwillig was eingefangen haben) ist ein Risikofaktor den es auszuschliessen gibt.

Dann sage mir bitte mal, wie man sich qualifiziert?
Was muss man machen, wie faengt man am besten an?

Mit eurer jetzigen Methode gehen euch in ein paar Jahren die Leute aus.
Bei F-Secure und Co. hat schon der Netsky/Beagle "Krieg" zu enormen
Engpaessen gefuehrt.....

Der Beitrag wurde von Remover bearbeitet: 20.03.2004, 22:12