Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

3 Seiten V   1 2 3 >  
Reply to this topicStart new topic
> Returnil Free Test, Virtualisieren gegen Viren
subset
Beitrag 26.12.2008, 20:53
Beitrag #1



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.902
Mitglied seit: 05.11.2007
Wohnort: Österreich
Mitglieds-Nr.: 6.548

Betriebssystem:
Linux, Windows
Virenscanner:
Sandboxie
Firewall:
Privatefirewall



Hi,

ein kleiner Test mit dem kostenlosen Virtualisierungsprogramm Returnil Virtual System Personal Edition 2.0.0.5011.
http://www.returnilvirtualsystem.com/rvspersonal.htm

Getestet habe ich mit einem System mit einer Festplatte und einer Partition, da Returnil aktuell nur die Systempartition virtualisiert.
Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt.

Als Testmenü gab es schwer verdauliche Kost: KillMBR, Vundo, Phide, Bagle, Rustock usw.



Als nächstes habe ich den Sitzungsschutz von Returnil aktiviert.
Anschließend als Infektionszähler Avira in das virtualisierte System installiert und alles auf "Ignorieren" gestellt.

Dann die 12 Schadprogramme nacheinander gestartet.
Avira kam insgesamt auf 43 Malware Funde.



Danach wurde es schwierig. Eigentlich wollte ich das infizierte System scannen, um den Schaden zu dokumentieren.
Aber sobald ein Programm installiert war oder ein Scan startete, wurde kurz danach das System heruntergefahren.
Versucht habe ich es insgesamt viermal, mit dem AVP Tool, CureIt, Avira Premium und KAV 2009.
Jedes Mal das durch Returnil geschützte System erneut verseucht, zu Scannen versucht und... Neustart.
Vielleicht war das Bagle Dings schuld, vielleicht ein anders Dings, jedenfalls waren die "SuperAVs" allesamt vollkommen nutzlos.

Also habe ich das aufgegeben und das echte System nach den ganzen Verseuchungen gescannt.

Zuerst mit CureIt, das hat nix gefunden.
Also mit der Ausnahme, dass es das Sysinternals Tool PsKill bemängelt...



Danach KAV 2009 im echten System installiert, hat aber auch nix gefunden.



Resümee:
- Returnil hat den Test mühelos mehrmals bestanden.
- Zu den restlichen "Schutzprogrammen" erspare ich mir lieber einen Kommentar.

MfG


--------------------
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 27.12.2008, 07:05
Beitrag #2



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



Dieser kleine Test hat auch unter Returnil stattgefunden, wobei sich das Programm wie schon in Subsets Test bravourös geschlagen hat. Es tut einfach das, was es soll. Übrigens gibt es solch eine ähnliche Software kostenfrei auch direkt von Microsoft, allerdings gespickt mit weiteren/anderen Funktionen. Leider nicht deutschsprachig. Microsoft TechNet Magazine: Windows SteadyState. Installation und Einrichtungvon Windows SteadyState.

ZITAT(subset @ 26.12.2008, 20:52) *
- Zu den restlichen "Schutzprogrammen" erspare ich mir lieber einen Kommentar.


confused.gif


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
Oldi
Beitrag 27.12.2008, 09:49
Beitrag #3



Ist neu hier


Gruppe: Mitglieder
Beiträge: 1
Mitglied seit: 27.12.2008
Mitglieds-Nr.: 7.291



Zuerst mal wünsche ich allen Forenmitgliedern ein nettes Wochenende, und hoffe, ihr hattet schöne Weihnachtsfeiertage. rolleyes.gif

Derzeit ist bei mir häufig die Virtualisierungslösung "Try and decide" von True Image 11 in Gebrauch, womit ich gute Erfahrungen gemacht habe.

Allerdings besteht der Unterschied zu echten Virtualisierungsprogrammen wohl darin, daß nur Veränderungen am bestehenden System gespeichert und rückgängig gemacht werden (ähnlich wie bei sandboxie).

Gefährlich scheint mir dabei, daß ein übellauniger Bösewicht, den man sich im Virtualisierungsmodus einfängt, schon Daten aus dem Originalsystem klauen und in`s Netz verschicken kann, bevor er wieder eleminiert wird, da er sich ja im Originalsystem bewegt, bevor dieses zurückgesetzt wird.

Wenn ich mich recht erinnere, gab es hier im Forum auch schon mal etwas zu der Problematik bezüglich sandboxie zu lesen.
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 27.12.2008, 10:23
Beitrag #4



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



ZITAT(Oldi @ 27.12.2008, 09:48) *
Gefährlich scheint mir dabei, daß ein übellauniger Bösewicht, den man sich im Virtualisierungsmodus einfängt, schon Daten aus dem Originalsystem klauen und in`s Netz verschicken kann, bevor er wieder eleminiert wird, da er sich ja im Originalsystem bewegt, bevor dieses zurückgesetzt wird.


Das ist richtig, deshalb hat ein Malware-Test nichts auf einem Produktiv-System zu erfolgen, auf welchem Passwörter oder andere schützenswerte sensible Daten vorhanden sind. Eine System-Wiederherstellung kann zu spät erfolgt sein.


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
Kenshiro
Beitrag 27.12.2008, 12:05
Beitrag #5



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 5.344
Mitglied seit: 02.04.2005
Wohnort: Localhost
Mitglieds-Nr.: 2.320

Betriebssystem:
W10 [x64]
Virenscanner:
EAM
Firewall:
EAM



Danke subset für diesen Test notworthy.gif


--------------------
Dr. Web' s Updates List
Dr. Web' s Virusbibliothek

Dr. Web´s History

"Kenshi" sagt sayonara
Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort]


Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden."
[Jewgenij Kaspersky]

Ubuntu Beryl Matrix 3D Desktop
Go to the top of the page
 
+Quote Post
rolarocka
Beitrag 27.12.2008, 13:08
Beitrag #6



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.173
Mitglied seit: 11.06.2007
Wohnort: Whitelist
Mitglieds-Nr.: 6.272



Die versuchung solche Pragramme wie Returnil/ShadowDefender zu benutzen ist wirklich groß. Sie verbrauchen keine CPU und das System bleibt gleich wie am ersten Tag. Wenn man aber wie ich gerne neue Programme ausprobiert ist es zu umständlich immer aus dem Shadow Modus erst raus zu müssen um die Programme zu behalten. Dabei weiß ich natürlich nicht ob das jeweilige Programm "sauber" ist. Benutzt man den Rechner nur zum surfen ist Returnil ideal am besten noch mit Sandboxie kombiniert.
Go to the top of the page
 
+Quote Post
Gast_Nightwatch_*
Beitrag 27.12.2008, 15:31
Beitrag #7






Gäste






Danke subset!

Programme wie Returnil oder ShadowDefender sind für mich seit Anfang des Jahres zu einem "Must-Have" geworden. Praktisch, schnell, unkompliziert und relativ sicher und zuverlässig. Und günstig, wenn man bedenkt, dass ich für SD einmalig 39$ für eine Lifetime-Lizenz ausgegeben habe.

Zu den restlichen Schutzprogrammen (Avira/Kaspersky etc.):
Ich sehe diesen direkten Vergleich problematisch, da das System ja bereits massiv verseucht war. Dieser Vorsprung verschafft etliche Möglichkeiten, sich vor diesen Programmen zu verbergen. Ich wage zu bezweifeln, dass das System mit aktiviertem On-Access-/und On-Execution-Schutz so beschädigt worden wären.

Aber trotzdem stimme ich Dir zu, dass Returnil eine sehr gute Waffe im Kampf gegen Viren & Co. ist.

Gruß,
Nightwatch

Go to the top of the page
 
+Quote Post
Peter 123
Beitrag 27.12.2008, 18:31
Beitrag #8



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.560
Mitglied seit: 19.07.2008
Wohnort: Österreich
Mitglieds-Nr.: 6.967

Betriebssystem:
Windows 10 (Home, 64 bit)
Virenscanner:
Windows Defender
Firewall:
Router / Windows-Firewall



ZITAT(Oldi @ 27.12.2008, 09:48) *
Gefährlich scheint mir dabei, daß ein übellauniger Bösewicht, den man sich im Virtualisierungsmodus einfängt, schon Daten aus dem Originalsystem klauen und in`s Netz verschicken kann, bevor er wieder eleminiert wird, da er sich ja im Originalsystem bewegt, bevor dieses zurückgesetzt wird.

Wenn ich mich recht erinnere, gab es hier im Forum auch schon mal etwas zu der Problematik bezüglich sandboxie zu lesen.

Du beziehst dich wahrscheinlich auf diesen Thread:
http://www.rokop-security.de/index.php?showtopic=16824

Dort hat subset Konfigurationsmöglichkeiten für Sandboxie dargestellt, mit denen man das von dir angesprochene Risiko zumindest beträchtlich reduzieren (oder sogar ganz ausschließen?) kann.

Ob es auch bei Virtualisierungsprogrammen wie Returnil (bzw. Shadow Defender usw.) vergleichbare Konfigurationsmöglichkeiten gibt, müssten die Nutzer dieser Programme wissen. Ich habe ein solches (noch) nicht in Verwendung.

Dass ich diesbezüglich noch abwartend bin, hängt damit zusammen, dass ich es umgekehrt wie rolarocka sehe wink.gif :

ZITAT(rolarocka @ 27.12.2008, 13:07) *
Benutzt man den Rechner nur zum surfen ist Returnil ideal am besten noch mit Sandboxie kombiniert.

Gerade wenn man (so wie ich) den Rechner (fast) nur zum Surfen verwendet, scheint mir eigentlich Sandboxie (bzw. eine andere Sandbox) die ideale Lösung zu sein, die man allenfalls noch mit Returnil (oder Shadow Defender usw.) kombinieren kann.

Warum?
- Ich brauche nach dem Besuch im Internet nur die Sandbox zu schließen (und sie dann allenfalls manuell zu leeren, wenn ich das automatische Leeren nicht aktiviert habe), um alle etwaigen Schädlinge loszuwerden. Um denselben Effekt mit Returnil zu erreichen, muss ich offenbar den Computer herunterfahren und neustarten (wenn ich die Funktionsweise richtig verstehe). Das ist doch bedeutend aufwändiger/schwerfälliger.

- Mit dem eben Erwähnten in Zusammenhang: Ich kann mit Sandboxie meine (allenfalls riskanten) Aufenthalte im Internet kurz halten.
Beispiel 1: Ich surfe z.B. nur ein einzige Seite an, die mir gefährlich erscheint, schließe dann sofort wieder Browser + Sandboxie (und leere sie allenfalls manuell). Erst dann starte ich den nächsten Aufenthalt im Internet durch ein neuerliches Öffnen des Browsers (wieder in der Sandbox).
Beispiel 2: Ich möchte zB. ein Online-Bankgeschäft abwickeln: Dann öffne ich gezielt nur für diese eine Transaktion den Browser bzw. die Sandbox, rufe nur meine Bankseite auf und schließe nach Beendigung der Transaktion sofort wieder Browser + Sandbox. ---> Ich glaube, mit dieser Methode lässt sich auch das Risiko, das ein Keylogger meine Bankdaten ausspionieren könnte, sehr gering halten (selbst ohne besondere Konfiguration der Sandbox).

Und das alles funktioniert eben bei Sandboxie mit ein oder zwei Mausklicks. thumbup.gif
Außerdem ist nach dem Gesagten die "Aufenthaltsdauer" eines etwaigen Schädlings im (virtuellen) System bei Nutzung einer Sandbox typischerweise kürzer als bei einer (ausschließlichen) Verwendung von Returnil. Insofern habe ich mit Sandboxie ein besseres Sicherheitsgefühl.

Returnil (oder Shadow Defender) scheint mir in zweierlei Hinsicht nützlich:

- Wenn ich am Rechner z.B. öfter neue Programme/Software gefahrlos ausprobieren möchte. Dafür ist in einer Sandbox manchmal "zu wenig Platz", insbesondere, wenn man sie "streng" konfiguriert hat.

- Wenn man befürchtet, dass ein Schädling aus der Sandbox ausbrechen und sich im System festsetzen könnte. Dann böte die Virtualisierung z.B. mit Returnil ein zweites Schutzschild: Der Schädling wäre zwar vorübergehend am Rechner, aber mit dem Herunterfahren und Neustarten wäre er beseitigt.

Der Beitrag wurde von Peter 123 bearbeitet: 27.12.2008, 18:51
Go to the top of the page
 
+Quote Post
Gast_Nightwatch_*
Beitrag 27.12.2008, 19:09
Beitrag #9






Gäste






Hallo Peter 123 smile.gif

ZITAT(Peter 123 @ 27.12.2008, 18:30) *
- Mit dem eben Erwähnten in Zusammenhang: Ich kann mit Sandboxie meine (allenfalls riskanten) Aufenthalte im Internet kurz halten.

[...]

Außerdem ist nach dem Gesagten die "Aufenthaltsdauer" eines etwaigen Schädlings im (virtuellen) System bei Nutzung einer Sandbox typischerweise kürzer als bei einer (ausschließlichen) Verwendung von Returnil. Insofern habe ich mit Sandboxie ein besseres Sicherheitsgefühl.


Das stimmt vollkommen. Nur ist imo eine Teilvirtualisierung (über Sandbox) noch einmal eine andere Nummer. Wenn man Programme wie Returnil etc. einsetzt, muss man zwangsläufig das Vertrauen entgegenbringen, dass selbst bei einem dauerhaften Verbleib in der VM etwaige Schädlinge nichts ausrichten können. Da ist es dann egal, ob sie zehn Minuten oder zehn Tage auf der Schattenpartition aktiv sind. Dass Sandbox-Programme solche Probleme haben können, wie Oldi sie beschrieb, ist klar. Sie virtualisieren einzelne Anwendungen und müssen viele externe Rechtanforderungen umgehen. Bei Returnil kommen wir hingegen dann zum entscheidenden Punkt, wenn nach einem Neustart der VM-Modus verlassen wird. Hier gibt es einige (theoretische) Möglichkeiten, wie man das System umgehen könnte. Somit haben beide Technologien an unterschiedlichen Zweigen ihre Schwierigkeiten, die meiner Meinung nach aber nichts damit zutun haben, wie lange ein Schädling in der VM aktiv ist. Entweder es bricht gleich, oder es hält ewig smile.gif .
Im Endeffekt würde ich persönlich auch unterstreichen, dass eine Sandbox vor allem dann sehr nützlich ist, wenn ich mich vor Exploits oder "bösartigen" Websites schützen möchte (Java-Apletts/ scripts etc.). Für Programminstallationen und Malware-Spielereien eben dann Returnil oder andere (wie Du schon sagtest).

Ich habe im vergangenen Sommer mal versucht, nur im Shadow-Mode zu bleiben und auf jegliche andere Sicherheitssoftware zu verzichten (bis auf F-Secure only on-demand). Und da kommt man schon recht schnell an die Grenzen. An seine eigenen und an die des Systems smile.gif . Kurzum: Es ist schwierig und nervig. Flexibilität ist hier nicht angesagt. Und seitdem nutze ich ShadowDefender immer nur dann, wann ich ihn brauche. Eigentlich schade, denn man könnte sich so einiges andere ersparen...lästige Software-Updates, problematische Signaturen, FP´s, Performance-Einbußen usw.

Aber ich hoffe noch darauf, dass sich die Technologie noch weiter ausreift. Returnil ist da schon auf ziemlich gutem Weg. Falls ich mich irgendwann noch einmal durchringen sollte, es ganz mit Virtualisierung zu versuchen, würde ich mittlerweile Returnil bevorzugen. Sonst allerdings nicht, weil SD deutlich günstiger ist.
Eine Sandbox nutze ich nicht. Ich bin auch mit 2Klicks im Shadow-Mode.

Gruß,
Nightwatch
Go to the top of the page
 
+Quote Post
Peter 123
Beitrag 27.12.2008, 20:24
Beitrag #10



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.560
Mitglied seit: 19.07.2008
Wohnort: Österreich
Mitglieds-Nr.: 6.967

Betriebssystem:
Windows 10 (Home, 64 bit)
Virenscanner:
Windows Defender
Firewall:
Router / Windows-Firewall



ZITAT(Nightwatch @ 27.12.2008, 19:08) *
Somit haben beide Technologien an unterschiedlichen Zweigen ihre Schwierigkeiten, die meiner Meinung nach aber nichts damit zutun haben, wie lange ein Schädling in der VM aktiv ist. Entweder es bricht gleich, oder es hält ewig smile.gif .

Ich dachte hauptsächlich an den Fall, dass ein Schädling Daten ausspioniert, Tastatureingaben mitprotokolliert und dergleichen mehr. Da könnte es, glaube ich, schon eine Rolle spielen, ob sich dieser Schädling nur 5 Minuten oder z.B. 2 Tage im virtuellen System eingenistet hat (zB. wenn ich in der fraglichen Zeit Passwörter eintippe). Aber davon abgesehen gebe ich zu, dass es für mich vor allem auch einen positiven psychologischen Effekt hat, wenn allfällige Schädlinge so kurz wie nur möglich am Rechner (in der virtuellen Umgebung) sind. laugh.gif

ZITAT(Nightwatch @ 27.12.2008, 19:08) *
Wenn man Programme wie Returnil etc. einsetzt, muss man zwangsläufig das Vertrauen entgegenbringen, dass selbst bei einem dauerhaften Verbleib in der VM etwaige Schädlinge nichts ausrichten können. Da ist es dann egal, ob sie zehn Minuten oder zehn Tage auf der Schattenpartition aktiv sind.

Wenn ich es richtig sehe, ist ein solches Vertrauen typischerweise aber eigentlich nur dann berechtigt, wenn ich während dieser Zeit ohne Internetverbindung bin; also zB in folgender Konstellation: Ich lade mir (zu Testzwecken) ein gefährliches (= mit einem Schädling versehenes) Programm aus dem Internet ins virtuelle System herunter, trenne anschließend die Verbindung des Rechners zum Internet, führe (erst) dann das Programm aus und experimentiere damit herum. Etwaige Schäden, die damit angerichtet werden, beseitige ich durch ein Herunterfahren und Neustarten des Computers. Erst danach gehe ich wieder online.
Würde ich das hingegen bei bestehender Verbindung mit dem Internet machen, müsste ich ja befürchten, dass der Schädling mit dem Internet Kontakt aufnimmt, also von dort etwas nachlädt, etwas dorthin übermittelt usw.

---> Wenn meine Überlegung so stimmt, dann schließt sich damit der Kreis zu dem, was auch du bereits erwähnt hast:

ZITAT(Nightwatch @ 27.12.2008, 19:08) *
Im Endeffekt würde ich persönlich auch unterstreichen, dass eine Sandbox vor allem dann sehr nützlich ist, wenn ich mich vor Exploits oder "bösartigen" Websites schützen möchte (Java-Apletts/ scripts etc.). Für Programminstallationen und Malware-Spielereien eben dann Returnil oder andere

Vielleicht kann man es daher vereinfacht so beschreiben, welche Sicherheitslösung zweckmäßiger ist:
- für "normales" Surfen und für Online-Experimente eher eine Sandbox (und allenfalls ergänzend Returnil oder Shadow Defender usw.)
- für Offline-Experimente (Programmtests, Malware-Spielereien, ...) eher Returnil & Co.

Der Beitrag wurde von Peter 123 bearbeitet: 27.12.2008, 20:35
Go to the top of the page
 
+Quote Post
Gast_Nightwatch_*
Beitrag 27.12.2008, 22:06
Beitrag #11






Gäste






ZITAT(Peter 123 @ 27.12.2008, 20:23) *
Aber davon abgesehen gebe ich zu, dass es für mich vor allem auch einen positiven psychologischen Effekt hat, wenn allfällige Schädlinge so kurz wie nur möglich am Rechner (in der virtuellen Umgebung) sind. laugh.gif


Sowas kenne ich smile.gif .Jeder hat da glaub ich so seine Leichen im Keller. Ich zum Beispiel ertappe mich momentan immer wieder dabei, dass ich täglich ein BackUp-Image anstoße, obwohl ich gar nichts neues erstellt habe stirnklatsch.gif . Liegt immer noch an meinem Festplatten-Crash im Februar...

ZITAT(Peter 123 @ 27.12.2008, 20:23) *
Wenn ich es richtig sehe, ist ein solches Vertrauen typischerweise aber eigentlich nur dann berechtigt, wenn ich während dieser Zeit ohne Internetverbindung bin;


Also ich bin 24/7 im Internet. Wenn schon mit Malware spielen, dann richtig biggrin.gif . Wenn ich einer VM vertraue, dann kann das Ding noch so viele Rootkits aus dem Netz ziehen. Sie sollten alle nicht auf der Systempartition landen. Und wenn die Datei schon beim ersten Mal auf der HDD Schaden anrichtet, dann ist es auch ganz egal, ob ich zu diesem Zeitpunkt noch im Internet bin oder schon offline. Denn die Datei holt das dann nach, wenn wieder eine Verbindung besteht.

ZITAT(Peter 123 @ 27.12.2008, 20:23) *
Vielleicht kann man es daher vereinfacht so beschreiben, welche Sicherheitslösung zweckmäßiger ist:
- für "normales" Surfen und für Online-Experimente eher eine Sandbox (und allenfalls ergänzend Returnil oder Shadow Defender usw.)
- für Offline-Experimente (Programmtests, Malware-Spielereien, ...) eher Returnil & Co.


In etwa sehe ich das ganz genauso. Bis auf die Online-Offline-Beschränkungen. Wenn ich ein Backdoor ausführen möchte, um zu schauen, was er macht oder wie meine Sicherheitsprogramme darauf reagieren, würde ich persönlich das niemals in einer kleinen Sandbox machen. Dafür lohnt es sich auf der anderen Seite aber auch wieder nicht, nur für Surf-Sitzungen immer eine Komplettvirtualisierung anzuschmeißen.

Der Beitrag wurde von Nightwatch bearbeitet: 27.12.2008, 22:15
Go to the top of the page
 
+Quote Post
Peter 123
Beitrag 27.12.2008, 23:23
Beitrag #12



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.560
Mitglied seit: 19.07.2008
Wohnort: Österreich
Mitglieds-Nr.: 6.967

Betriebssystem:
Windows 10 (Home, 64 bit)
Virenscanner:
Windows Defender
Firewall:
Router / Windows-Firewall



Da muss ich jetzt noch einmal etwas nachfragen. Denn entweder verstehe ich bei der Funktionsweise der Virtualisierungsprogramme etwas falsch, oder du bist sehr mutig/risikofreudig. laugh.gif Du schreibst:

ZITAT(Nightwatch @ 27.12.2008, 22:05) *
Also ich bin 24/7 im Internet. Wenn schon mit Malware spielen, dann richtig biggrin.gif . Wenn ich einer VM vertraue, dann kann das Ding noch so viele Rootkits aus dem Netz ziehen. Sie sollten alle nicht auf der Systempartition landen. Und wenn die Datei schon beim ersten Mal auf der HDD Schaden anrichtet, dann ist es auch ganz egal, ob ich zu diesem Zeitpunkt noch im Internet bin oder schon offline.

Das leuchtet mir ein für jene Art von Malware, die "nur" auf der Festplatte selbst schaden anrichtet (bzw. anrichten würde, wenn sie nicht in einem virtuellen System isoliert wäre), aber keinen Kontakt "nach außen" sucht.
Aber wie schützt du dich gegen jene Art von Schädlingen, die Oldi in seinen Posting beschrieben hat? Nämlich:

ZITAT(Oldi @ 27.12.2008, 09:48) *
Gefährlich scheint mir dabei, daß ein übellauniger Bösewicht, den man sich im Virtualisierungsmodus einfängt, schon Daten aus dem Originalsystem klauen und in`s Netz verschicken kann, bevor er wieder eleminiert wird, da er sich ja im Originalsystem bewegt, bevor dieses zurückgesetzt wird.

Hast du Returnil (und/oder Shadow Defender) so konfiguriert, dass dieses Risiko (also Keylogger etc.) derartig gering ist, dass man es vernachlässigen kann (so wie das zB. bei Sandboxie durch entsprechende Einstellungen möglich ist)? Oder gibt es eine solche Konfigurationsmöglichkeit gar nicht, und begnügst du dich insofern mit dem Schutz, den dein herkömmliches Virenschutzprogramm bietet?

Auch subset hat in seinem Beitrag ja darauf hingewiesen, dass er bei seinem Experiment nicht mit dem Internet verbunden war:

ZITAT(subset @ 26.12.2008, 20:52) *
Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt.

Ich nehme an, dass war von ihm eben auch als Vorsichtsmaßnahme gegen Datenklauer etc. gedacht.

_______

PS: Ich habe zu dem Thema jetzt noch ein passendes Zitat aus einem Beitrag in "Wilders Security Forums" gefunden:

ZITAT
I love Returnil Virtual System! Its great, but if you become infected with whatever then you could have already compromised your data before a system reboot. If you don't have anything on your computer worth protecting then don't worry about it, but if you have personal info or work info / etc.. then it may still leak out before you reboot. Lets say you are making an online purchase or a transaction with your bank. You are filling out some sort of an application etc.. There's a window of opportunity that you could be compromised. Of course after you reboot you will no longer be infected, but the damage could have already been done.

(Quelle: http://www.wilderssecurity.com/showpost.ph...mp;postcount=52 )

---> Dieses Problem meine ich. wink.gif

Der Beitrag wurde von Peter 123 bearbeitet: 27.12.2008, 23:33
Go to the top of the page
 
+Quote Post
Gast_Nightwatch_*
Beitrag 28.12.2008, 00:11
Beitrag #13






Gäste






ZITAT(Peter 123 @ 27.12.2008, 23:22) *
Da muss ich jetzt noch einmal etwas nachfragen. Denn entweder verstehe ich bei der Funktionsweise der Virtualisierungsprogramme etwas falsch, oder du bist sehr mutig/risikofreudig.

[...]

Das leuchtet mir ein für jene Art von Malware, die "nur" auf der Festplatte selbst schaden anrichtet (bzw. anrichten würde, wenn sie nicht in einem virtuellen System isoliert wäre), aber keinen Kontakt "nach außen" sucht.
Aber wie schützt du dich gegen jene Art von Schädlingen, die Oldi in seinen Posting beschrieben hat?


Hi Peter smile.gif

Ok. Jetzt hab ich den Punkt verstanden. Danke für Deine Geduld!
Das stimmt natürlich. Gegen diesen Datenklau gibt´s eigentlich nur zwei Mittel und Wege...entweder man hat noch ein zusätzliches AV-Programm parat, welches den Schädling evtl. abfängt, oder aber man arbeitet mit eingeschränkten Rechten. Sonst ist das in der Tat ein riskantes Problem.
Bei mir gibt´s zwar auf meinem "Surf-Rechner" nichts wichtiges zu stehlen, aber auf einem Geschäfts-PC sieht das wohl schon anders aus. Aber wenn ich ein Sample zum Test ausführe, weiß ich ja in der Regel vorher, worauf ich mich einlasse. Etwas risikofreudig ist das Ganze sicherlich schon smile.gif .

ZITAT(Peter 123 @ 27.12.2008, 23:22) *
Hast du Returnil (und/oder Shadow Defender) so konfiguriert, dass dieses Risiko (also Keylogger etc.) derartig gering ist, dass man es vernachlässigen kann (so wie das zB. bei Sandboxie durch entsprechende Einstellungen möglich ist)? Oder gibt es eine solche Konfigurationsmöglichkeit gar nicht, und begnügst du dich insofern mit dem Schutz, den dein herkömmliches Virenschutzprogramm bietet?

Ich habe Returnil leider schon länger nicht mehr getestet. Was ShadowDefender anbelangt, so gibt es diesbezüglich keine entsprechenden Konfigurationsmöglichkeiten. Ist ja auch schwer. Entweder es kommt mit einer eigenständigen Erkennung daher, oder einer Hips-ähnlichen Technologie. Fein wäre aber z.B., wenn es die Option gäbe, dass bestimmte Ordner und Zielverzeichnisse während der Virtualisierung auch innerhalb der Virtualisierung nicht zur Verfügung stünden. Dann wäre die Sache klarer und wesentlich sicherer.

SD ist jedenfalls bei mir schon länger nicht mehr im produktiven Einsatz. Wenn ich sehe, dass ein Sample durchrutscht beginne ich auch meist zügig mit dem Neustart. Ansonsten ist Dein berechtigter Einwand mit der Internet-Verbindung nochmal eine wichtige Gedächtnisstütze und Anregung für mich, die ich nicht ganz außer Acht lassen sollte.

Btw. Gedächtnis: Hatte irgendwie noch im Kopf, dass wir schon einmal eine ähnliche Diskussion geführt haben und bin nach der Board-Suche darüber "gestolpert":
http://www.rokop-security.de/index.php?sho...=shadowdefender

Wie auch hier sehr interessant thumbup.gif (nicht ironisch gemeint, sondern ernsthaft)

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 28.12.2008, 00:24
Go to the top of the page
 
+Quote Post
subset
Beitrag 28.12.2008, 00:29
Beitrag #14


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.902
Mitglied seit: 05.11.2007
Wohnort: Österreich
Mitglieds-Nr.: 6.548

Betriebssystem:
Linux, Windows
Virenscanner:
Sandboxie
Firewall:
Privatefirewall



Hi,

jetzt geht es mit der Fortsetzung weiter - Sandboxing gegen Viren.

Die Schadprogramme bleiben die gleichen, nur kommt jetzt Sandboxie statt Returnil zum Einsatz.



Das war einfacher zu Testen, da sich alles auf die Sandbox begrenzt abspielte.
Eine Momentaufnahme, was zum Zeitpunkt des Screenshots gerade alles in der Sandbox lief.



Nachdem alle 12 ausgeführt waren, habe ich den Sandbox Ordner mit KAV gescannt.
Einige Meldungsfenster davon sind hier als GIF zusammengefasst.



Nachdem ich mit Sandboxie alle Programme, die in der Sandbox liefen, beendete und die Sandbox gelöscht habe, habe ich KAV deinstalliert und nach einem Neustart Avira Premium installiert und die Festplatte gescannt.



Mit dem gleichen Ergebnis wie schon zuvor beim Returnil Test.
Gefunden wurde nichts.

Wenn ich mich zwischen Sandboxie oder Returnil entscheiden müsste, würde ich beide nehmen. lmfao.gif

Zum Keylogger Thema möchte ich zu bedenken geben, dass die meisten mit oder ohne Returnil dagegen nicht geschützt sind, da den meistens verwendeten Programmen (Suiten) sämtliche technischen Voraussetzungen zur Erkennung von Keyloggern fehlen (abgesehen von der signaturbasierenden Erkennung).
Welche Suiten oder AVs, um die sich hier ständig alles dreht, können einen Hook based oder gar Kernel based Keylogger am Verhalten erkennen?

MfG


--------------------
Go to the top of the page
 
+Quote Post
Gast_Nightwatch_*
Beitrag 28.12.2008, 00:33
Beitrag #15






Gäste






Erneut super Test subset!!
Interessant, dass hier beide so gut abschneiden. Vielleicht sollte ich mir Sandboxie doch mal genauer anschauen.

ZITAT(subset @ 28.12.2008, 00:28) *
Welche Suiten oder AVs, um die sich hier ständig alles dreht, können einen Hook based oder gar Kernel based Keylogger am Verhalten erkennen?

MfG


Auch nicht Hips, die mit Kernelhooks arbeiten?

Gruß,
Nightwatch




Go to the top of the page
 
+Quote Post
Peter 123
Beitrag 28.12.2008, 01:59
Beitrag #16



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.560
Mitglied seit: 19.07.2008
Wohnort: Österreich
Mitglieds-Nr.: 6.967

Betriebssystem:
Windows 10 (Home, 64 bit)
Virenscanner:
Windows Defender
Firewall:
Router / Windows-Firewall



Nochmals kurz ich.

@ Nightwatch:
Danke für deine ausführliche Antwort. smile.gif

Was das betrifft:

ZITAT(Nightwatch @ 28.12.2008, 00:10) *
Btw. Gedächtnis: Hatte irgendwie noch im Kopf, dass wir schon einmal eine ähnliche Diskussion geführt haben und bin nach der Board-Suche darüber "gestolpert":
http://www.rokop-security.de/index.php?sho...=shadowdefender

In der Tat! Das war mir nicht mehr in Erinnerung. laugh.gif
Aber dieser neue Thread hier war eine gute Gelegenheit, noch einmal diese grundsätzlichen Fragen zu erörtern. smile.gif

Zu subset's Präferenzen:
ZITAT(subset @ 28.12.2008, 00:28) *
Wenn ich mich zwischen Sandboxie oder Returnil entscheiden müsste, würde ich beide nehmen.

Das war zu erwarten. biggrin.gif

Der Beitrag wurde von Peter 123 bearbeitet: 28.12.2008, 01:59
Go to the top of the page
 
+Quote Post
StormRider
Beitrag 28.12.2008, 09:34
Beitrag #17



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.230
Mitglied seit: 29.12.2003
Mitglieds-Nr.: 295

Betriebssystem:
LinuxMint
Virenscanner:
Virenscanner? Was'n das?



OT:

Angeregt durch diese Diskussion bin ich auf die Idee gekommen, Sandboxie für mein virtuelles Win zu installieren. Returnil kenne ich, da ich diese Software schon mal getestet hatte, jedoch scheint mir eine Sandbox für meine gelegentlichen Ausflüge ins Windows geeigneter. Leider scheiterte die Installation von Sandboxie daran, dass ich ein genügsames W2k verwende, dem GDI+ fehlt, und dessen Installation scheitert an meinem Dickkopf: WGA wird dazu benötigt und kommt nicht in die Tüte - contract.gif  EULA abgelehnt, Zustimmung verweigert, kein Download. Und XP müßte ich in der virt. Maschine erst installieren und dann wieder registrieren und und und...: «Götz von Berlichingen»

Es gibt aber noch eine andere Sandbox: von Artificial Dynamics. Leider wird hier mindestens ein XP gefordert und ich wäre wieder einen Satz höher in meinem Text  no.gif

Kennt jemand der Spezialisten eine brauchbare Sandbox, die erstens Freeware und zweitens W2k geeignet ist (ohne nachzuinstallierende Erweiterungen {SP sind installiert})?

Merçi.

StormRider

Go to the top of the page
 
+Quote Post
Gast_Scrapie_*
Beitrag 28.12.2008, 09:56
Beitrag #18






Gäste






Morgen

Alles Recht und Gut.
Ihr solltet aber im Hinterkopf behalten, dass ein Verhalten unter virtueller Umgebung nicht unbedingt dem Verhalten entspricht, welches auf echter Hardware ausgelebt wird...


Scrapie
Go to the top of the page
 
+Quote Post
Heike
Beitrag 28.12.2008, 11:21
Beitrag #19



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.694
Mitglied seit: 15.04.2003
Wohnort: Hamburg
Mitglieds-Nr.: 13

Betriebssystem:
win2k, XP, Vista
Virenscanner:
keinen
Firewall:
keine



dem stimme ich zu 100% zu, ich würde nie ein File als "sauber" ansehen, welches unter einer virtuellen Umgebung getestet worden ist.

Was spricht gegen einen PC aus der Bastelkiste? Er muß ja nichts tolles sein, ist ja nur zum Spielen. Keine persönlichen Daten auf dem PC (Windows Serial würde auch darunter fallen), und schon sollte nichts mehr passieren können.

natürlich besteht immer ein Restrisiko, bloß keiner würde seine Treiber auf dem virtuellen PC updaten, das wird auf dem "echten" gemacht, tja, und auch die Treiber könnten infiziert sein, weil sie jemand auf dem Server ausgetauscht hat.


--------------------


Lust auf Telefonsex? Unbeschwert nur hier.

Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)
Go to the top of the page
 
+Quote Post
Julian
Beitrag 28.12.2008, 14:55
Beitrag #20



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.794
Mitglied seit: 28.06.2007
Mitglieds-Nr.: 6.287

Betriebssystem:
Windows 7 x64
Virenscanner:
Sandboxie
Firewall:
NAT|Comodo (HIPS)



ZITAT(subset @ 28.12.2008, 00:28) *
Welche Suiten oder AVs, um die sich hier ständig alles dreht, können einen Hook based oder gar Kernel based Keylogger am Verhalten erkennen?

Zumindest unter XP32: NIS & KIS, die ja nicht gerade selten verwendet werden...

IMO ist Sandboxing zu unkomfortabel und der Nutzen mit einem halbwegs sicheren Browser zu gering. Ich kenne niemanden, der Firefox benutzt und schon mal Opfer eines Exploits wurde.

Der Beitrag wurde von Julian bearbeitet: 28.12.2008, 14:56


--------------------
Go to the top of the page
 
+Quote Post

3 Seiten V   1 2 3 >
Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 28.03.2024, 10:19
Impressum