 Wie analysiert man Malware richtig? |
Willkommen, Gast ( Anmelden | Registrierung )
 20.03.2004, 11:40
Beitrag
#1
|
|
 "Sir Remover"  Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS  |
Wie analysiert man Malware?
Dazu sollte man wohl Assembler gut koennen und einen guten Debugger/Disassembler benutzen. Die meisten werden jetzt wohl sagen, ist ja klar.... Zudem sollte man sicherlich noch ein Testsystem haben, das man bei bedarf auf knopfdruck oder per Reboot wieder neu aufsetzt, das abgeschirmt ist von jeglichen Netzwerk oder Internet und sehr viel Erfahrung mit Computer und Betriebsystem (MCSE von Vorteil) haben. Persoenlich wuerde ich auch gerne in diese Richtung schwenken. Ich remove jede Woche mehrere Viren, Trojaner, Wuermer, Hijacker etc. von Kundenrechnern und bin schon auf so manches noch unbekanntes Exemplar getroffen. Als unerfahren wuerde ich mich auch nicht gerade bezeichnen, bin schon seit VC20 Zeiten dabei und kann auch etwas Assembler. Mich wuerde auch mal interessieren wie die Profis das machen.... Gibt es womoeglich Tools die ihr benutzt, sind diese erwerblich oder hat jede Firma ihre eigenen entwickelt. Denke das die meisten Firmen schon so eine Art Sandbox haben, die dann z.b. saemtliche Registry Aenderungen usw. loggt, oder!? Man geht ja bestimmt nicht per Hand durch die ganzen Eintraege..... Also lasst uns mal weggehen von diesen Virenexchange aus den anderen Threads, denke auch das da jeder drankommt, wenn er wirklich will. Vorwurf war dort, das ihr euer Wissen nicht preisgebt.....und das obwohl die Branche wirklich noch Hardcore Analyse Leute gebrauchen kann. Jeder hat mal klein angefangen.....wie waere es also mit ein paar guten und brauchbaren Tipps, wie man das richtig macht. Vielleicht springen dabei in ein paar Jahren ein paar gute Leute raus. Und wenn das ganze entsprechend mit Fachbegriffen geschrieben wird koennen es sowieso nur die nachvollziehen, die schon ein wenig Ahnung haben. Zudem machen es die Leute so oder so....mit euren Tipps koennt ihr sie wenigstens auf den richtigen Weg bringen und vor allen zu den noetigen Sicherheitsschritten auffordern. Bin gespannt ob ein Profi mal verraet was fuer Tools eingesetzt werden.... -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
 |
 
|
 |
Antworten
| Gast_Nautilus_* |
21.03.2004, 08:41
Beitrag
#2
|
|
Gäste |
1.
Wie gesagt, ich stimme Dir zu, dass das Analysieren von Malware nicht ungefährlich ist. Man kann dabei sich und andere verseuchen. Allerdings kann man sich auch bei Kazaa etwas einfangen und weiterverbreiten. 2. Ich hatte schon verstanden, dass bei Deinem Beispiel ein Virus im Trojaner versteckt ist. Auch in diesem Fall kann aber nur etwas passieren, wenn irgendjemand beim Analysieren einen groben Fehler macht. Denn auch derjenige, der die Malware per Email bekommt, muesste sie ja eigentlich wieder in einer Virtual Machine oder auf einem Testcomputer ausprobieren. Möglich ist ein solcher Fehler natürlich. Andererseits passiert es wohl nicht soo häufig, dass ein Virus gerade in einem Trojaner versteckt ist. Wahrscheinlicher ist wohl ein Wirt namens britneynude.scr (im Kazaa) oder? Im Ergebnis kann beim Analysieren von Malware sicher mal ein Unglück passieren. Aber ist die Chance so hoch, dass deshalb jeder, der kein offizielles Malware-Analyse Diplom hat, die Finger davon lassen muss? Wer garantiert, dass nicht auch professionelle Analysten mal Mist bauen? 3. "Zum Thema VMWare - ich schrieb bewusst hat kein Netz, denn wenigstens darauf sollte man achten dass eine VMWare vom NAT getrennt wird wenn man dort Wuermer startet." Das sehe ich etwas anders. Es genügt, dass auf dem Host-System eine PFW läuft. Dies hat sogar den Vorteil, dass man die Verbindungsversuche des Wurms genau mitbekommt und somit prüfen kann, ob er richtig funktioniert. (Die PFW auf dem Host kann ja auch nicht durch den Wurm gekillt oder getunnelt werden.) 4. "Und da wir grade beim Thema VMWare sind - wer von den "Hobby-Malware-Analysten" stellt sicher, dass es keine Malware ist, welche sich automatisch per Drag'n'Drop in's Host Windows Verzeichnis kopiert, und dort beispielsweise eine Datei ersetzt, welches automatisch beim naechsten Systemstart des Host PC's mitgestartet wird ? Das Drag'n'Drop funktioniert nur wenn Du die VMWare Tool's auf dem Clienten installiert hast. Sprich es gibt dort eine 'API' die mit dem Host-System kommuniziert. Schon mal daraueber nachgedacht dass genau diese Funktionalitaet (sich beispielsweise in diese API einklinken) auch Malware nutzen koennte ?!" Theoretisch denkbar ist das wohl. Setzt voraus, dass VMWare schlampig programmiert ist. Wahrscheinlich ist das wohl nicht. Unabhängig davon habe ich Dir aber bereits zugestimmt, dass eine seriöse Analyse wohl nicht mit VMWare möglich ist. Und zwar deshalb, weil man sich nicht sicher sein kann, dass sich die Malware so verhält wie auf einem realen Computer. Aber darauf hast Du ja schon zutreffend hingewiesen. EDITED: " Nundenn, da alle anderen offensichtlich schlauer sind - analysiert mal schoen Malware. Viel Spass dabei. Ende der Diskussion fuer mich." Nunja. Da Du uns ohnehin für hoffnungslos unterbelichtet hältst und deshalb auch nicht bereit bist, uns etwas anderes zu sagen als "Finger weg von der Analyse durch Euch Deppen", stand es im Ergebnis sowieso fest, dass von Dir keine wirkliche Hilfe zu erwarten ist. Der Beitrag wurde von Nautilus bearbeitet: 21.03.2004, 08:59 |
|
|
|
Beiträge in diesem Thema
Remover Wie analysiert man Malware richtig? 20.03.2004, 11:40
Nautilus Gladi hat ja schon darauf hingewiesen, dass man ni... 20.03.2004, 11:54 Nautilus Hier ist noch ein Artikel, der das Analysieren von... 20.03.2004, 13:25 JFK QUOTE(Remover @ 20. March 2004, 11:39)Bin ges... 20.03.2004, 14:03 df7nw01 Ich glaube, dass dieser Vergleich etwas hinkt, den... 20.03.2004, 14:51 Nautilus Ich vermute, dass JFK Recht hat. Die ganze AV Bran... 20.03.2004, 15:38 Joerg Ich denke aber auch, dass es in diesem Bereich Wet... 20.03.2004, 16:10 Remover Ich erwarte hier auch keine absoluten Detail Infos... 20.03.2004, 20:22 INT 3 Was meint ihr wohl was passiert wenn darueber oeff... 20.03.2004, 21:20 Remover @INT3
Als angehender Security Spezialist habe ich... 20.03.2004, 22:11 Nautilus Ich stimme mit Gladi teilweise überein: Das Rumspi... 20.03.2004, 22:33 INT 3 QUOTE(Nautilus @ 20. March 2004, 22:32) Ich s... 21.03.2004, 08:06 df7nw01 Also da sich manche an der VMWare aufhängen. Diese... 21.03.2004, 13:24 JoJo vielleicht ist dieses Buch ja interessant:
http://... 21.03.2004, 13:27 INT 3 QUOTE(df7nw01 @ 21. March 2004, 13:23) Also i... 21.03.2004, 14:36 Yellow Na, das ist endlich mal 'ne klare Aussage und ... 21.03.2004, 16:05 Remover @INT3
Also ich habe auch nicht von VM Ware oder s... 21.03.2004, 16:26 Rokop Das analysieren der Datei in einem Hexeditor sowie... 21.03.2004, 18:28 JFK QUOTE(Rokop @ 21. March 2004, 18:27) Selbst p... 21.03.2004, 18:34 Remover @Rokop
Klasse, so eine Antwort wie deine hatte i... 21.03.2004, 18:36 Rokop Ich mach kein Geheimnis daraus, weil ich keines ha... 21.03.2004, 18:38 Nautilus "Das eigentliche Analysieren überlasse ich Le... 21.03.2004, 19:18 Rokop Nur weil Du mal ein "böser Junge" gewese... 21.03.2004, 20:54 Nautilus @Rokop
Du hast im Prinzip Recht. Man soll nie von... 21.03.2004, 20:58
Remover Ich glaube wenn du eine Bewerbung schreibst, das d... 23.03.2004, 10:25 |
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 23.02.2026, 20:30 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment