Grundsätzliches - Laufendes System untersuchen sinnvoll?

foxm2k

Hallo zusammen,

ich bin kein dedizierter Sicherheitsexperte aber beschäftige mich seit fast 20 Jahren mit PCs, Windows, Programmierung (auch systemnah) und vielen Bereichen rund um dieses Themenfeld.

Seit einigen Jahren setze ich bei der Analyse mir privat überlassener Problemfälle sehr gerne auf eine isoliert externe Sicht auf das System. Sprich ein Boot-Linux, von dem aus ich mit diversen Tools und Virenscannern das System durchleuchte. Das Vorgehen gewinnt seit Desinfec't auch allgemein an Popularität.

Daß dabei gerade keine Prozesse laufen sondern sich die Anlayse ausschließlich auf persistent gespeicherte Daten bezieht, habe ich dabei immer als Vorteil verstanden. Schließlich muß sich jedes Schadprogramm irgendwo speichern, um auch beim nächsten Systemstart wieder geladen zu werden.

Auf der anderen Seite kann ich im laufenden System nach einer Infektion nicht mehr sicher sein, welche Systemfunktionen u. U. verbogen wurden. Kernelnahe Hooks könnten einem anfragenden Analyse-Programm eine gefilterte Wirklichkeit weiterreichen. Ein Hook auf die NTCreateProcess könnte den Start einiger bekannter Programme verbieten oder durch den Aufruf täuschend ähnlich aussehender Plazebos inkl. Ausleitung gefälschter Log-Dateien ersetzen.

Soweit ich das bisher beobachtet habe, setzt die Analyse hier im Forum ein breites Arsenal an Programmen ein, die jedoch alle das laufende System untersuchen. Wie steht ihr zu dazu? Mit welchen Maßnahmen wird diesen Risiken begegnet? Gilt z.B. erst ein redundant erhobener Befund oder das Fehlen eines solchen als 'gesichert' (schließlich werden ja praktisch immer eine ganze Reihe Programme nacheinander konsultiert)?

Viele Grüße,
Andreas