Druckversion des Themas

Geschrieben von: subset 26.12.2008, 20:53

Hi,

ein kleiner Test mit dem kostenlosen Virtualisierungsprogramm Returnil Virtual System Personal Edition 2.0.0.5011.
http://www.returnilvirtualsystem.com/rvspersonal.htm

Getestet habe ich mit einem System mit einer Festplatte und einer Partition, da Returnil aktuell nur die Systempartition virtualisiert.
Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt.

Als Testmenü gab es schwer verdauliche Kost: KillMBR, Vundo, Phide, Bagle, Rustock usw.



Als nächstes habe ich den Sitzungsschutz von Returnil aktiviert.
Anschließend als Infektionszähler Avira in das virtualisierte System installiert und alles auf "Ignorieren" gestellt.

Dann die 12 Schadprogramme nacheinander gestartet.
Avira kam insgesamt auf 43 Malware Funde.

http://img201.imageshack.us/my.php?image=rvsvs2ac2.png

Danach wurde es schwierig. Eigentlich wollte ich das infizierte System scannen, um den Schaden zu dokumentieren.
Aber sobald ein Programm installiert war oder ein Scan startete, wurde kurz danach das System heruntergefahren.
Versucht habe ich es insgesamt viermal, mit dem AVP Tool, CureIt, Avira Premium und KAV 2009.
Jedes Mal das durch Returnil geschützte System erneut verseucht, zu Scannen versucht und... Neustart.
Vielleicht war das Bagle Dings schuld, vielleicht ein anders Dings, jedenfalls waren die "SuperAVs" allesamt vollkommen nutzlos.

Also habe ich das aufgegeben und das echte System nach den ganzen Verseuchungen gescannt.

Zuerst mit CureIt, das hat nix gefunden.
Also mit der Ausnahme, dass es das Sysinternals Tool PsKill bemängelt...

http://img201.imageshack.us/my.php?image=rvsvs3gz9.png

Danach KAV 2009 im echten System installiert, hat aber auch nix gefunden.



Resümee:
- Returnil hat den Test mühelos mehrmals bestanden.
- Zu den restlichen "Schutzprogrammen" erspare ich mir lieber einen Kommentar.

MfG

Geschrieben von: Solution-Design 27.12.2008, 07:05

http://www.rokop-security.de/index.php?s=&showtopic=11768&view=findpost&p=258333 hat auch unter Returnil stattgefunden, wobei sich das Programm wie schon in Subsets Test bravourös geschlagen hat. Es tut einfach das, was es soll. Übrigens gibt es solch eine ähnliche Software kostenfrei auch direkt von Microsoft, allerdings gespickt mit weiteren/anderen Funktionen. Leider nicht deutschsprachig. http://technet.microsoft.com/de-de/magazine/2008.01.desktopfiles.aspx. http://www.win-tipps-tweaks.de/cms/xp-tipps/xp-tipps-workshops/installation-und-ersteinrichtung-von-windows-steadystate.html.

Geschrieben von: Oldi 27.12.2008, 09:49

Zuerst mal wünsche ich allen Forenmitgliedern ein nettes Wochenende, und hoffe, ihr hattet schöne Weihnachtsfeiertage.

Derzeit ist bei mir häufig die Virtualisierungslösung "Try and decide" von True Image 11 in Gebrauch, womit ich gute Erfahrungen gemacht habe.

Allerdings besteht der Unterschied zu echten Virtualisierungsprogrammen wohl darin, daß nur Veränderungen am bestehenden System gespeichert und rückgängig gemacht werden (ähnlich wie bei sandboxie).

Gefährlich scheint mir dabei, daß ein übellauniger Bösewicht, den man sich im Virtualisierungsmodus einfängt, schon Daten aus dem Originalsystem klauen und in`s Netz verschicken kann, bevor er wieder eleminiert wird, da er sich ja im Originalsystem bewegt, bevor dieses zurückgesetzt wird.

Wenn ich mich recht erinnere, gab es hier im Forum auch schon mal etwas zu der Problematik bezüglich sandboxie zu lesen.

Geschrieben von: Solution-Design 27.12.2008, 10:23

Das ist richtig, deshalb hat ein Malware-Test nichts auf einem Produktiv-System zu erfolgen, auf welchem Passwörter oder andere schützenswerte sensible Daten vorhanden sind. Eine System-Wiederherstellung kann zu spät erfolgt sein.

Geschrieben von: Kenshiro 27.12.2008, 12:05

Danke subset für diesen Test

Geschrieben von: rolarocka 27.12.2008, 13:08

Die versuchung solche Pragramme wie Returnil/ShadowDefender zu benutzen ist wirklich groß. Sie verbrauchen keine CPU und das System bleibt gleich wie am ersten Tag. Wenn man aber wie ich gerne neue Programme ausprobiert ist es zu umständlich immer aus dem Shadow Modus erst raus zu müssen um die Programme zu behalten. Dabei weiß ich natürlich nicht ob das jeweilige Programm "sauber" ist. Benutzt man den Rechner nur zum surfen ist Returnil ideal am besten noch mit Sandboxie kombiniert.

Geschrieben von: Nightwatch 27.12.2008, 15:31

Danke subset!

Programme wie Returnil oder ShadowDefender sind für mich seit Anfang des Jahres zu einem "Must-Have" geworden. Praktisch, schnell, unkompliziert und relativ sicher und zuverlässig. Und günstig, wenn man bedenkt, dass ich für SD einmalig 39$ für eine Lifetime-Lizenz ausgegeben habe.

Zu den restlichen Schutzprogrammen (Avira/Kaspersky etc.):
Ich sehe diesen direkten Vergleich problematisch, da das System ja bereits massiv verseucht war. Dieser Vorsprung verschafft etliche Möglichkeiten, sich vor diesen Programmen zu verbergen. Ich wage zu bezweifeln, dass das System mit aktiviertem On-Access-/und On-Execution-Schutz so beschädigt worden wären.

Aber trotzdem stimme ich Dir zu, dass Returnil eine sehr gute Waffe im Kampf gegen Viren & Co. ist.

Gruß,
Nightwatch

Geschrieben von: Peter 123 27.12.2008, 18:31

Du beziehst dich wahrscheinlich auf diesen Thread:
http://www.rokop-security.de/index.php?showtopic=16824

Dort hat subset Konfigurationsmöglichkeiten für Sandboxie dargestellt, mit denen man das von dir angesprochene Risiko zumindest beträchtlich reduzieren (oder sogar ganz ausschließen?) kann.

Ob es auch bei Virtualisierungsprogrammen wie Returnil (bzw. Shadow Defender usw.) vergleichbare Konfigurationsmöglichkeiten gibt, müssten die Nutzer dieser Programme wissen. Ich habe ein solches (noch) nicht in Verwendung.

Dass ich diesbezüglich noch abwartend bin, hängt damit zusammen, dass ich es umgekehrt wie rolarocka sehe :


Gerade wenn man (so wie ich) den Rechner (fast) nur zum Surfen verwendet, scheint mir eigentlich Sandboxie (bzw. eine andere Sandbox) die ideale Lösung zu sein, die man allenfalls noch mit Returnil (oder Shadow Defender usw.) kombinieren kann.

Warum?
- Ich brauche nach dem Besuch im Internet nur die Sandbox zu schließen (und sie dann allenfalls manuell zu leeren, wenn ich das automatische Leeren nicht aktiviert habe), um alle etwaigen Schädlinge loszuwerden. Um denselben Effekt mit Returnil zu erreichen, muss ich offenbar den Computer herunterfahren und neustarten (wenn ich die Funktionsweise richtig verstehe). Das ist doch bedeutend aufwändiger/schwerfälliger.

- Mit dem eben Erwähnten in Zusammenhang: Ich kann mit Sandboxie meine (allenfalls riskanten) Aufenthalte im Internet kurz halten.
Beispiel 1: Ich surfe z.B. nur ein einzige Seite an, die mir gefährlich erscheint, schließe dann sofort wieder Browser + Sandboxie (und leere sie allenfalls manuell). Erst dann starte ich den nächsten Aufenthalt im Internet durch ein neuerliches Öffnen des Browsers (wieder in der Sandbox).
Beispiel 2: Ich möchte zB. ein Online-Bankgeschäft abwickeln: Dann öffne ich gezielt nur für diese eine Transaktion den Browser bzw. die Sandbox, rufe nur meine Bankseite auf und schließe nach Beendigung der Transaktion sofort wieder Browser + Sandbox. ---> Ich glaube, mit dieser Methode lässt sich auch das Risiko, das ein Keylogger meine Bankdaten ausspionieren könnte, sehr gering halten (selbst ohne besondere Konfiguration der Sandbox).

Und das alles funktioniert eben bei Sandboxie mit ein oder zwei Mausklicks.
Außerdem ist nach dem Gesagten die "Aufenthaltsdauer" eines etwaigen Schädlings im (virtuellen) System bei Nutzung einer Sandbox typischerweise kürzer als bei einer (ausschließlichen) Verwendung von Returnil. Insofern habe ich mit Sandboxie ein besseres Sicherheitsgefühl.

Returnil (oder Shadow Defender) scheint mir in zweierlei Hinsicht nützlich:

- Wenn ich am Rechner z.B. öfter neue Programme/Software gefahrlos ausprobieren möchte. Dafür ist in einer Sandbox manchmal "zu wenig Platz", insbesondere, wenn man sie "streng" konfiguriert hat.

- Wenn man befürchtet, dass ein Schädling aus der Sandbox ausbrechen und sich im System festsetzen könnte. Dann böte die Virtualisierung z.B. mit Returnil ein zweites Schutzschild: Der Schädling wäre zwar vorübergehend am Rechner, aber mit dem Herunterfahren und Neustarten wäre er beseitigt.

Geschrieben von: Nightwatch 27.12.2008, 19:09

Hallo Peter 123

Das stimmt vollkommen. Nur ist imo eine Teilvirtualisierung (über Sandbox) noch einmal eine andere Nummer. Wenn man Programme wie Returnil etc. einsetzt, muss man zwangsläufig das Vertrauen entgegenbringen, dass selbst bei einem dauerhaften Verbleib in der VM etwaige Schädlinge nichts ausrichten können. Da ist es dann egal, ob sie zehn Minuten oder zehn Tage auf der Schattenpartition aktiv sind. Dass Sandbox-Programme solche Probleme haben können, wie Oldi sie beschrieb, ist klar. Sie virtualisieren einzelne Anwendungen und müssen viele externe Rechtanforderungen umgehen. Bei Returnil kommen wir hingegen dann zum entscheidenden Punkt, wenn nach einem Neustart der VM-Modus verlassen wird. Hier gibt es einige (theoretische) Möglichkeiten, wie man das System umgehen könnte. Somit haben beide Technologien an unterschiedlichen Zweigen ihre Schwierigkeiten, die meiner Meinung nach aber nichts damit zutun haben, wie lange ein Schädling in der VM aktiv ist. Entweder es bricht gleich, oder es hält ewig .
Im Endeffekt würde ich persönlich auch unterstreichen, dass eine Sandbox vor allem dann sehr nützlich ist, wenn ich mich vor Exploits oder "bösartigen" Websites schützen möchte (Java-Apletts/ scripts etc.). Für Programminstallationen und Malware-Spielereien eben dann Returnil oder andere (wie Du schon sagtest).

Ich habe im vergangenen Sommer mal versucht, nur im Shadow-Mode zu bleiben und auf jegliche andere Sicherheitssoftware zu verzichten (bis auf F-Secure only on-demand). Und da kommt man schon recht schnell an die Grenzen. An seine eigenen und an die des Systems . Kurzum: Es ist schwierig und nervig. Flexibilität ist hier nicht angesagt. Und seitdem nutze ich ShadowDefender immer nur dann, wann ich ihn brauche. Eigentlich schade, denn man könnte sich so einiges andere ersparen...lästige Software-Updates, problematische Signaturen, FP´s, Performance-Einbußen usw.

Aber ich hoffe noch darauf, dass sich die Technologie noch weiter ausreift. Returnil ist da schon auf ziemlich gutem Weg. Falls ich mich irgendwann noch einmal durchringen sollte, es ganz mit Virtualisierung zu versuchen, würde ich mittlerweile Returnil bevorzugen. Sonst allerdings nicht, weil SD deutlich günstiger ist.
Eine Sandbox nutze ich nicht. Ich bin auch mit 2Klicks im Shadow-Mode.

Gruß,
Nightwatch

Geschrieben von: Peter 123 27.12.2008, 20:24

Ich dachte hauptsächlich an den Fall, dass ein Schädling Daten ausspioniert, Tastatureingaben mitprotokolliert und dergleichen mehr. Da könnte es, glaube ich, schon eine Rolle spielen, ob sich dieser Schädling nur 5 Minuten oder z.B. 2 Tage im virtuellen System eingenistet hat (zB. wenn ich in der fraglichen Zeit Passwörter eintippe). Aber davon abgesehen gebe ich zu, dass es für mich vor allem auch einen positiven psychologischen Effekt hat, wenn allfällige Schädlinge so kurz wie nur möglich am Rechner (in der virtuellen Umgebung) sind.


Wenn ich es richtig sehe, ist ein solches Vertrauen typischerweise aber eigentlich nur dann berechtigt, wenn ich während dieser Zeit ohne Internetverbindung bin; also zB in folgender Konstellation: Ich lade mir (zu Testzwecken) ein gefährliches (= mit einem Schädling versehenes) Programm aus dem Internet ins virtuelle System herunter, trenne anschließend die Verbindung des Rechners zum Internet, führe (erst) dann das Programm aus und experimentiere damit herum. Etwaige Schäden, die damit angerichtet werden, beseitige ich durch ein Herunterfahren und Neustarten des Computers. Erst danach gehe ich wieder online.
Würde ich das hingegen bei bestehender Verbindung mit dem Internet machen, müsste ich ja befürchten, dass der Schädling mit dem Internet Kontakt aufnimmt, also von dort etwas nachlädt, etwas dorthin übermittelt usw.

---> Wenn meine Überlegung so stimmt, dann schließt sich damit der Kreis zu dem, was auch du bereits erwähnt hast:


Vielleicht kann man es daher vereinfacht so beschreiben, welche Sicherheitslösung zweckmäßiger ist:
- für "normales" Surfen und für Online-Experimente eher eine Sandbox (und allenfalls ergänzend Returnil oder Shadow Defender usw.)
- für Offline-Experimente (Programmtests, Malware-Spielereien, ...) eher Returnil & Co.

Geschrieben von: Nightwatch 27.12.2008, 22:06

Sowas kenne ich .Jeder hat da glaub ich so seine Leichen im Keller. Ich zum Beispiel ertappe mich momentan immer wieder dabei, dass ich täglich ein BackUp-Image anstoße, obwohl ich gar nichts neues erstellt habe . Liegt immer noch an meinem Festplatten-Crash im Februar...



Also ich bin 24/7 im Internet. Wenn schon mit Malware spielen, dann richtig . Wenn ich einer VM vertraue, dann kann das Ding noch so viele Rootkits aus dem Netz ziehen. Sie sollten alle nicht auf der Systempartition landen. Und wenn die Datei schon beim ersten Mal auf der HDD Schaden anrichtet, dann ist es auch ganz egal, ob ich zu diesem Zeitpunkt noch im Internet bin oder schon offline. Denn die Datei holt das dann nach, wenn wieder eine Verbindung besteht.



In etwa sehe ich das ganz genauso. Bis auf die Online-Offline-Beschränkungen. Wenn ich ein Backdoor ausführen möchte, um zu schauen, was er macht oder wie meine Sicherheitsprogramme darauf reagieren, würde ich persönlich das niemals in einer kleinen Sandbox machen. Dafür lohnt es sich auf der anderen Seite aber auch wieder nicht, nur für Surf-Sitzungen immer eine Komplettvirtualisierung anzuschmeißen.

Geschrieben von: Peter 123 27.12.2008, 23:23

Da muss ich jetzt noch einmal etwas nachfragen. Denn entweder verstehe ich bei der Funktionsweise der Virtualisierungsprogramme etwas falsch, oder du bist sehr mutig/risikofreudig. Du schreibst:

Das leuchtet mir ein für jene Art von Malware, die "nur" auf der Festplatte selbst schaden anrichtet (bzw. anrichten würde, wenn sie nicht in einem virtuellen System isoliert wäre), aber keinen Kontakt "nach außen" sucht.
Aber wie schützt du dich gegen jene Art von Schädlingen, die Oldi in seinen Posting beschrieben hat? Nämlich:


Hast du Returnil (und/oder Shadow Defender) so konfiguriert, dass dieses Risiko (also Keylogger etc.) derartig gering ist, dass man es vernachlässigen kann (so wie das zB. bei Sandboxie durch entsprechende Einstellungen möglich ist)? Oder gibt es eine solche Konfigurationsmöglichkeit gar nicht, und begnügst du dich insofern mit dem Schutz, den dein herkömmliches Virenschutzprogramm bietet?

Auch subset hat in seinem Beitrag ja darauf hingewiesen, dass er bei seinem Experiment nicht mit dem Internet verbunden war:


Ich nehme an, dass war von ihm eben auch als Vorsichtsmaßnahme gegen Datenklauer etc. gedacht.

_______

PS: Ich habe zu dem Thema jetzt noch ein passendes Zitat aus einem Beitrag in "Wilders Security Forums" gefunden:


(Quelle: http://www.wilderssecurity.com/showpost.php?p=1363816&postcount=52 )

---> Dieses Problem meine ich.

Geschrieben von: Nightwatch 28.12.2008, 00:11

Hi Peter

Ok. Jetzt hab ich den Punkt verstanden. Danke für Deine Geduld!
Das stimmt natürlich. Gegen diesen Datenklau gibt´s eigentlich nur zwei Mittel und Wege...entweder man hat noch ein zusätzliches AV-Programm parat, welches den Schädling evtl. abfängt, oder aber man arbeitet mit eingeschränkten Rechten. Sonst ist das in der Tat ein riskantes Problem.
Bei mir gibt´s zwar auf meinem "Surf-Rechner" nichts wichtiges zu stehlen, aber auf einem Geschäfts-PC sieht das wohl schon anders aus. Aber wenn ich ein Sample zum Test ausführe, weiß ich ja in der Regel vorher, worauf ich mich einlasse. Etwas risikofreudig ist das Ganze sicherlich schon .


Ich habe Returnil leider schon länger nicht mehr getestet. Was ShadowDefender anbelangt, so gibt es diesbezüglich keine entsprechenden Konfigurationsmöglichkeiten. Ist ja auch schwer. Entweder es kommt mit einer eigenständigen Erkennung daher, oder einer Hips-ähnlichen Technologie. Fein wäre aber z.B., wenn es die Option gäbe, dass bestimmte Ordner und Zielverzeichnisse während der Virtualisierung auch innerhalb der Virtualisierung nicht zur Verfügung stünden. Dann wäre die Sache klarer und wesentlich sicherer.

SD ist jedenfalls bei mir schon länger nicht mehr im produktiven Einsatz. Wenn ich sehe, dass ein Sample durchrutscht beginne ich auch meist zügig mit dem Neustart. Ansonsten ist Dein berechtigter Einwand mit der Internet-Verbindung nochmal eine wichtige Gedächtnisstütze und Anregung für mich, die ich nicht ganz außer Acht lassen sollte.

Btw. Gedächtnis: Hatte irgendwie noch im Kopf, dass wir schon einmal eine ähnliche Diskussion geführt haben und bin nach der Board-Suche darüber "gestolpert":
http://www.rokop-security.de/index.php?showtopic=16064&hl=shadowdefender

Wie auch hier sehr interessant (nicht ironisch gemeint, sondern ernsthaft)

Gruß,
Nightwatch

Geschrieben von: subset 28.12.2008, 00:29

Hi,

jetzt geht es mit der Fortsetzung weiter - Sandboxing gegen Viren.

Die Schadprogramme bleiben die gleichen, nur kommt jetzt Sandboxie statt Returnil zum Einsatz.



Das war einfacher zu Testen, da sich alles auf die Sandbox begrenzt abspielte.
Eine Momentaufnahme, was zum Zeitpunkt des Screenshots gerade alles in der Sandbox lief.

http://img209.imageshack.us/my.php?image=sbiecontrolnv5.png

Nachdem alle 12 ausgeführt waren, habe ich den Sandbox Ordner mit KAV gescannt.
Einige Meldungsfenster davon sind hier als GIF zusammengefasst.

http://img257.imageshack.us/my.php?image=sbkavab4.gif

Nachdem ich mit Sandboxie alle Programme, die in der Sandbox liefen, beendete und die Sandbox gelöscht habe, habe ich KAV deinstalliert und nach einem Neustart Avira Premium installiert und die Festplatte gescannt.



Mit dem gleichen Ergebnis wie schon zuvor beim Returnil Test.
Gefunden wurde nichts.

Wenn ich mich zwischen Sandboxie oder Returnil entscheiden müsste, würde ich beide nehmen.

Zum Keylogger Thema möchte ich zu bedenken geben, dass die meisten mit oder ohne Returnil dagegen nicht geschützt sind, da den meistens verwendeten Programmen (Suiten) sämtliche technischen Voraussetzungen zur Erkennung von Keyloggern fehlen (abgesehen von der signaturbasierenden Erkennung).
Welche Suiten oder AVs, um die sich hier ständig alles dreht, können einen Hook based oder gar Kernel based Keylogger am Verhalten erkennen?

MfG

Geschrieben von: Nightwatch 28.12.2008, 00:33

Erneut super Test subset!!
Interessant, dass hier beide so gut abschneiden. Vielleicht sollte ich mir Sandboxie doch mal genauer anschauen.

Auch nicht Hips, die mit Kernelhooks arbeiten?

Gruß,
Nightwatch

Geschrieben von: Peter 123 28.12.2008, 01:59

Nochmals kurz ich.

@ Nightwatch:
Danke für deine ausführliche Antwort.

Was das betrifft:

In der Tat! Das war mir nicht mehr in Erinnerung.
Aber dieser neue Thread hier war eine gute Gelegenheit, noch einmal diese grundsätzlichen Fragen zu erörtern.

Zu subset's Präferenzen:

Das war zu erwarten.

Geschrieben von: StormRider 28.12.2008, 09:34

OT:

Angeregt durch diese Diskussion bin ich auf die Idee gekommen, Sandboxie für mein virtuelles Win zu installieren. Returnil kenne ich, da ich diese Software schon mal getestet hatte, jedoch scheint mir eine Sandbox für meine gelegentlichen Ausflüge ins Windows geeigneter. Leider scheiterte die Installation von Sandboxie daran, dass ich ein genügsames W2k verwende, dem GDI+ fehlt, und dessen Installation scheitert an meinem Dickkopf: WGA wird dazu benötigt und kommt nicht in die Tüte -  EULA abgelehnt, Zustimmung verweigert, kein Download. Und XP müßte ich in der virt. Maschine erst installieren und dann wieder registrieren und und und...: «Götz von Berlichingen»

Es gibt aber noch eine andere Sandbox: von Artificial Dynamics. Leider wird hier mindestens ein XP gefordert und ich wäre wieder einen Satz höher in meinem Text 

Kennt jemand der Spezialisten eine brauchbare Sandbox, die erstens Freeware und zweitens W2k geeignet ist (ohne nachzuinstallierende Erweiterungen {SP sind installiert})?

Merçi.

StormRider

Geschrieben von: Scrapie 28.12.2008, 09:56

Morgen

Alles Recht und Gut.
Ihr solltet aber im Hinterkopf behalten, dass ein Verhalten unter virtueller Umgebung nicht unbedingt dem Verhalten entspricht, welches auf echter Hardware ausgelebt wird...


Scrapie

Geschrieben von: Heike 28.12.2008, 11:21

dem stimme ich zu 100% zu, ich würde nie ein File als "sauber" ansehen, welches unter einer virtuellen Umgebung getestet worden ist.

Was spricht gegen einen PC aus der Bastelkiste? Er muß ja nichts tolles sein, ist ja nur zum Spielen. Keine persönlichen Daten auf dem PC (Windows Serial würde auch darunter fallen), und schon sollte nichts mehr passieren können.

natürlich besteht immer ein Restrisiko, bloß keiner würde seine Treiber auf dem virtuellen PC updaten, das wird auf dem "echten" gemacht, tja, und auch die Treiber könnten infiziert sein, weil sie jemand auf dem Server ausgetauscht hat.

Geschrieben von: Julian 28.12.2008, 14:55

Zumindest unter XP32: NIS & KIS, die ja nicht gerade selten verwendet werden...

IMO ist Sandboxing zu unkomfortabel und der Nutzen mit einem halbwegs sicheren Browser zu gering. Ich kenne niemanden, der Firefox benutzt und schon mal Opfer eines Exploits wurde.

Geschrieben von: subset 28.12.2008, 21:25

Genau auf so einer Kiste habe ich ganzen Tests gemacht, ein P4, 768MB RAM und eine 80GB Festplatte.

Bei meinen Tests in diesem Thread geht es auch überhaupt nicht um das Austesten von Malware mit Returnil, Sandboxie oder Shadow Defender, im Sinne von Malware Research.
Es geht nur darum, ob diese Programme sämtlichen Attacken standhalten und jede Veränderung am echten System verhindern können.
Letztendlich geht es um den effektiven Schutz eines Systems vor ungewollten Veränderungen.

Der nächste Test wurde also mit Shadow Defender durchgeführt.

Die Programmoberfläche für alle, die das Programm noch nicht kennen, als GIF.

http://img179.imageshack.us/my.php?image=sdguiyi7.gif

Wieder das Hochzeitsfoto zu Beginn.



Eingestellt habe ich bei SD - den Schattenmodus beim Neustart deaktivieren.

Nach dem Neustart dann das G DATA AV installiert und einen Scan gemacht.

http://img231.imageshack.us/my.php?image=gdatascanpl4.png

Gefunden hat G DATA nichts, also hat auch Shadow Defender den Test bestanden.
Auch mit diversen Anti-Rootkit Tools, wie RKU, RootRepeal oder dem Avast! Antirootkit Beta mit GMER Technik war wie immer nichts zu finden.

Der Vorteil von Shadow Defender gegenüber Returnil ist, dass man alle Partitionen virtualisieren kann.
Der Nachteil gegenüber Returnil ist, dass es keine kostenlose Version davon gibt.
Blöße geben sich beide keine bei den getesteten Schadprogrammen, wie das kostenlose Sandboxie auch nicht.

Virtualisieren gegen Viren funktioniert also scheinbar ziemlich gut und das mit Programmen, die nur wenige MB Speicher und fast keine CPU Zeit verbrauchen bzw. CPU Last erzeugen.
Auf der alten P4 Kiste mit 768MB Speicher liefen die ganzen Programme wunderbar, wie auch die anderen AVs... mit einer Ausnahme - G DATA machte den alten Rechner extrem laaangsam.

MfG

Geschrieben von: Clinton 29.12.2008, 19:09

Ist Shadow Defender multilingual? Laut dem *gif sollte es so sein.

Geschrieben von: subset 29.12.2008, 19:15

Ja, die deutsche Sprachdatei muss man allerdings von der Webseite separat herunterladen.
http://www.shadowdefender.com/download.html
Und dann die Originaldatei damit überschreiben.

MfG

Geschrieben von: Kenshiro 29.12.2008, 19:40

@subset
Welches Progz hast DU lieber?
Shadow oder Returnil?

Herzl. Dank

Geschrieben von: Clinton 29.12.2008, 20:06

Mhmm, das hätte ich auch sehen können. Vielen Dank.

Geschrieben von: subset 29.12.2008, 20:36

Beide
Returnil weil die Personal Edition kostenlos ist.
SD weil man für $35 eine zeitlich unbegrenzte Lizenz bekommt (Returnil €22,21 für ein Jahr).
Sonst nach der Farbe aussuchen.

MfG

Geschrieben von: claudia 30.12.2008, 13:57

und http://www.pcwelt.de/coop/giveawayoftheday.php gibt es HEUTE
eine Jahreslizenz kostenlos.

Geschrieben von: Clinton 30.12.2008, 14:49

thx@claudia,

Geschrieben von: subset 30.12.2008, 19:56

Hi,

also bei der letzten GOTD Aktion von Returnil war das so.
- Man konnte Returnil mit den Keys jederzeit aktivieren, auch heute noch.
- Jede Version (auch Betas) funktionierte damit.
- Also auch direkt von der Herstellerseite bezogene aktuellere Premium Versionen.
Mit dem aktuellen Key habe ich das allerdings noch nicht getestet.

Coldmoon aka Mike Wood (Returnil - VP Sales and Marketing) schließt auch technischen Support für GOTD User nicht aus, wenn auch Anfragen von Käufern (natürlich) höhere Priorität haben.
http://www.wilderssecurity.com/showpost.php?p=1376295&postcount=9

MfG

Geschrieben von: Peter 123 31.12.2008, 00:06

Ich habe mir jetzt auch einmal die Premium Edition von Returnil im Rahmen der heutigen Aktion heruntergeladen, aber noch nicht installiert. Was mir Kopfzerbrechen bereitet, ist das, was jemand auf der Seite von "Giveaway of the Day" so formuliert:

---> Die Virenschutzdefinitionen etc. werden im Hintergrund (ohne mein Wissen und Zutun) heruntergeladen, während ich im virtuellen Modus bin und gehen mit dem Herunterfahren und Neustart des Computers klarerweise verloren. Erkennt dann beim nächsten Start (im nicht-virtuellen Modus) das Virenschutzprogramm automatisch, dass z.B. die betreffenden Virenschutzdefinitionen fehlen, und lädt es sie von selbst noch einmal herunter? Oder ist das nicht der Fall, weil das Herunterladen ja bereits einmal stattgefunden hat, und muss man daher die Aktualisierung jedes Mal manuell veranlassen (was ziemlich mühsam wäre)?

Ein ähnliches Problem ergibt sich mit den Windows-Updates. Aber da die ja viel weniger häufig anfallen, hat man das besser unter Kontrolle als beim Virenschutzprogramm.

Bei der Benützung einer Sandbox stellt sich ein vergleichbares Problem ja nicht, weil man dort nur einzelne Anwendungen im virtuellen Bereich laufen hat - typischerweise den Browser - und sich die Aktualisierung der Virenschutzsoftware, Virenschutzdefinitionen usw. außerhalb/unabhängig vom Browser abspielt. (Jedenfalls bei Norton, und ich nehme an, bei den Sicherheitsprodukten anderer Hersteller ebenso.)

Geschrieben von: BluesBrother 31.12.2008, 00:58

hmmm... ich krieg das prog nich installiert. gleich im ersten fenster kommt nach dem next-buttom folgende meldung:

warning! returnil virtual system premium edition is currently loaded! please close the program before continuing.

ich hab das programm allerdings vorher nie installiert...

Geschrieben von: malangao 31.12.2008, 01:12

@BluesBrother & Peter 123

Ich setze gerade XP auf einem Rechner neu auf und werde die beiden Punkte gleich mal ausprobieren.

Geschrieben von: leguan 31.12.2008, 05:17

@Peter 123: Die AV weiß doch nach dem Neustart nichts mehr von den heruntergeladenen Updates. Also wird es sie wieder herunterladen. Ich habe auch noch nie davon gehört daß es pro AV/Rechner nur ein automatisches Update gibt und danach "Handarbeit" angesagt ist.

Geschrieben von: Peter 123 31.12.2008, 05:37

Gut so. Dann bin ich beruhigt. Genau dessen war ich mir nämlich nicht sicher.
Danke!

Geschrieben von: drei-finger-joe 31.12.2008, 12:34

Funktioniert mit dem aktuellen GOTD-Key!

Gruß

Geschrieben von: Clinton 31.12.2008, 14:18

Das hatte ich auch nicht und das Fenster kam auch hier. Du solltest mal warten bis es von alleine weg geht, dann kannst Du normal weiter installieren. Das dauert so 15 sec. So wars zumindest hier.

Geschrieben von: subset 31.12.2008, 14:40

Die Installationsdatei von Returnil ist anscheinend mit ASPack komprimiert, deswegen könnten einige AVs für solche Verzögerungen sorgen.

MfG

Geschrieben von: BluesBrother 31.12.2008, 15:17

naja...

hab heute morgen das file mal vom "mirror 1" runtergeladen. und dann gings auf einmal.. gerade noch so... 20 min war später wär´s zu spät gewesen.

Geschrieben von: Clinton 28.09.2010, 09:34

Heute gibt es bei GOTD eine Jahreslizenz von Returnil System Safe 2011 Pro.

http://de.giveawayoftheday.com/returnil-system-safe-2011-pro/

Gibt es dafür eine Deutsche Sprachdatei? Vllt von subset? Ich nutze nach wie vor die 2008er Version 2.0.1.9002 und da hat subset ja in Deutsches Sprachpaket im Angebot: http://www.file-upload.net/download-1334376/english.ini.dt.txt.html

Geschrieben von: drei-finger-joe 28.09.2010, 10:47

Bei mir nur 6 Monate.


Du kannst auch die Setup-Datei von der Herstellerseite nehmen - geht mit dem GOTD-Freischaltcode (bei der Installation kannst du dann Deutsch auswählen):

http://www.returnilvirtualsystem.com/returnil-system-safe

Geschrieben von: Clinton 28.09.2010, 11:25

Danke für den Hinweis. War so nicht ersichtlich und installiert/ausprobiert hab ich sie noch nicht.



Astrein!

Geschrieben von: FreeBSDler 28.09.2010, 13:44

Kann man das Returnil-system-safe-2011-pro auch zusätzlich mit anderer AV Software benutzen, ist es verträglich ??

Ich möchte das, wenn möglich, unter Win XP Pro , KAV 2010 und Online Armor ++ benutzen.
KAV 2010 und OA ++ laufen zusammen ja bestens, habe keine Probleme oder so.
Und wenn Returnil verträglich ist werde ich zugreifen, habe bisher nur gutes davon gehört.

Danke im voraus für nützliche Infos.
CU

Geschrieben von: Julian 28.09.2010, 13:52

Man kann auch bei der Pro nicht mehr als eine Partition virtualisieren. Toll.

Geschrieben von: subset 28.09.2010, 16:22

Returnil verfolgen mit System Safe ihre eigene Vision von einer Suite.
Das AV ist vollständig integriert, man kann es zwar deaktivieren, aber die Installation nicht verhindern.
Eine Verträglichkeit kann also gegeben sein, oder vielleicht auch nicht.

Wenn schon KAV und OA drauf ist, dann würde ich eher eine reine Virtualisierungslösungen nehmen, wie...
- Returnil Virtual System Lite 2011
- Shadow Defender
- Time Machine

Returnil Virtual System Lite 2011 wird schon ewig als Beta geführt, geradezu versteckt, obwohl es fast die gleichen Funktionen hat wie Shadow Defender.
Kurioserweise wurde es auch schon an FileStream lizenziert und kann dort als SafeShield gekauft werden.

MfG

Geschrieben von: FreeBSDler 28.09.2010, 18:12

Danke subset für die ausführliche Aufklärung.

Dann erspare ich mir das einfach mal und höre auf gierig zu sein.

Ich habe ja noch Shadow Defender schlummernd auf der Platte, nur hab ich das komplett vergessen.
Also wäre es total unsinnig da ich ja ohnehin schon ausreichend bedient bin.

Beste Grüße,
Micha