 Wie analysiert man Malware richtig? |
Willkommen, Gast ( Anmelden | Registrierung )
 20.03.2004, 11:40
Beitrag
#1
|
|
 "Sir Remover"  Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS  |
Wie analysiert man Malware?
Dazu sollte man wohl Assembler gut koennen und einen guten Debugger/Disassembler benutzen. Die meisten werden jetzt wohl sagen, ist ja klar.... Zudem sollte man sicherlich noch ein Testsystem haben, das man bei bedarf auf knopfdruck oder per Reboot wieder neu aufsetzt, das abgeschirmt ist von jeglichen Netzwerk oder Internet und sehr viel Erfahrung mit Computer und Betriebsystem (MCSE von Vorteil) haben. Persoenlich wuerde ich auch gerne in diese Richtung schwenken. Ich remove jede Woche mehrere Viren, Trojaner, Wuermer, Hijacker etc. von Kundenrechnern und bin schon auf so manches noch unbekanntes Exemplar getroffen. Als unerfahren wuerde ich mich auch nicht gerade bezeichnen, bin schon seit VC20 Zeiten dabei und kann auch etwas Assembler. Mich wuerde auch mal interessieren wie die Profis das machen.... Gibt es womoeglich Tools die ihr benutzt, sind diese erwerblich oder hat jede Firma ihre eigenen entwickelt. Denke das die meisten Firmen schon so eine Art Sandbox haben, die dann z.b. saemtliche Registry Aenderungen usw. loggt, oder!? Man geht ja bestimmt nicht per Hand durch die ganzen Eintraege..... Also lasst uns mal weggehen von diesen Virenexchange aus den anderen Threads, denke auch das da jeder drankommt, wenn er wirklich will. Vorwurf war dort, das ihr euer Wissen nicht preisgebt.....und das obwohl die Branche wirklich noch Hardcore Analyse Leute gebrauchen kann. Jeder hat mal klein angefangen.....wie waere es also mit ein paar guten und brauchbaren Tipps, wie man das richtig macht. Vielleicht springen dabei in ein paar Jahren ein paar gute Leute raus. Und wenn das ganze entsprechend mit Fachbegriffen geschrieben wird koennen es sowieso nur die nachvollziehen, die schon ein wenig Ahnung haben. Zudem machen es die Leute so oder so....mit euren Tipps koennt ihr sie wenigstens auf den richtigen Weg bringen und vor allen zu den noetigen Sicherheitsschritten auffordern. Bin gespannt ob ein Profi mal verraet was fuer Tools eingesetzt werden.... -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
 |
 
|
 |
Antworten
| Gast_df7nw01_* |
21.03.2004, 13:24
Beitrag
#2
|
|
Gäste |
Also da sich manche an der VMWare aufhängen. Dieses Thema ist ja seit meinem letzten Thema eh vom Tisch, da es ja offensichtlich Malware gibt, die sich auf einer VMWare anders verhält als ITW und deshalb sowieso nur ein richtiger Testrechner in Betracht kommt. Dieser Stand-Alone-Rechner hat erstens idealerweise keinen Network-Access und zweitens wird von ihm nichts herunterkopiert.
Gesetzt der Fall, ich bekomme jetzt eine infizierte Datei. Diese kopiere ich auf den testrechner. Jetzt kann ich dort so unaufmerkssam sein wie ich will und weiß Gott welche Viren kreieren, solange diese meinen Testrechner doch nicht verlassen, wo ist da die Gefahr? Sollte ich zu dem Schluss kommen, dass es sich um Malware handelt, schicke ich die normale, unanalysierte Datei weiter, die nicht verändert wurde. Somit wäre dieser hypothetische Fall schonmal vom Tisch. Außerdem ist mir aufgefallen, dass keiner der gefragten Leute Auskunft darüber gibt, wie denn sie an ihre Fähigkeiten gekommen sind. Scheinbar haben sie es früher genauso gemacht, geboren worden werden sie mit dem Wissen nicht sein. Also ich finde diese Einstellung auch relativ egoistisch, so nach dem Motto: "Ich weiß etwas was du nicht weißt und ich werds dir auch nicht sagen weil du eh zu blöd dazu bist...!" In diesem Sinne, schönen Sonntag! |
|
|
|
Beiträge in diesem Thema
Remover Wie analysiert man Malware richtig? 20.03.2004, 11:40
Nautilus Gladi hat ja schon darauf hingewiesen, dass man ni... 20.03.2004, 11:54 Nautilus Hier ist noch ein Artikel, der das Analysieren von... 20.03.2004, 13:25 JFK QUOTE(Remover @ 20. March 2004, 11:39)Bin ges... 20.03.2004, 14:03 df7nw01 Ich glaube, dass dieser Vergleich etwas hinkt, den... 20.03.2004, 14:51 Nautilus Ich vermute, dass JFK Recht hat. Die ganze AV Bran... 20.03.2004, 15:38 Joerg Ich denke aber auch, dass es in diesem Bereich Wet... 20.03.2004, 16:10 Remover Ich erwarte hier auch keine absoluten Detail Infos... 20.03.2004, 20:22 INT 3 Was meint ihr wohl was passiert wenn darueber oeff... 20.03.2004, 21:20 Remover @INT3
Als angehender Security Spezialist habe ich... 20.03.2004, 22:11 Nautilus Ich stimme mit Gladi teilweise überein: Das Rumspi... 20.03.2004, 22:33 INT 3 QUOTE(Nautilus @ 20. March 2004, 22:32) Ich s... 21.03.2004, 08:06 Nautilus 1.
Wie gesagt, ich stimme Dir zu, dass das Analysi... 21.03.2004, 08:41 JoJo vielleicht ist dieses Buch ja interessant:
http://... 21.03.2004, 13:27 INT 3 QUOTE(df7nw01 @ 21. March 2004, 13:23) Also i... 21.03.2004, 14:36 Yellow Na, das ist endlich mal 'ne klare Aussage und ... 21.03.2004, 16:05 Remover @INT3
Also ich habe auch nicht von VM Ware oder s... 21.03.2004, 16:26 Rokop Das analysieren der Datei in einem Hexeditor sowie... 21.03.2004, 18:28 JFK QUOTE(Rokop @ 21. March 2004, 18:27) Selbst p... 21.03.2004, 18:34 Remover @Rokop
Klasse, so eine Antwort wie deine hatte i... 21.03.2004, 18:36 Rokop Ich mach kein Geheimnis daraus, weil ich keines ha... 21.03.2004, 18:38 Nautilus "Das eigentliche Analysieren überlasse ich Le... 21.03.2004, 19:18 Rokop Nur weil Du mal ein "böser Junge" gewese... 21.03.2004, 20:54 Nautilus @Rokop
Du hast im Prinzip Recht. Man soll nie von... 21.03.2004, 20:58
Remover Ich glaube wenn du eine Bewerbung schreibst, das d... 23.03.2004, 10:25 |
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 23.02.2026, 20:32 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment