|
Alles rund um Mac OSX & Linux: Malware "einkasten" und beobachtenWindows 7 Für alle Fragen rund um Mac OSX, Linux und andere Unix-Derivate. |
27.09.2007, 17:01 | #1 |
| Malware "einkasten" und beobachten nabend! und hallo!, in meinem ersten post muss ich gleich mal eine frage stellen.. und zwar suche ich nach einer möglichkeit unter linux, mit einem emulierten systhem (windows)( evtl "VirtualBox"!???), mögliche malware genauer zu beobachten,.. was dabei interessant wäre:
ich benutze ubunt feisty.... es wär sehr nett wenn ihr mir darüber etwas sagen könntet! |
27.09.2007, 17:13 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Malware "einkasten" und beobachten Hallo.
__________________Was du brauchst ist eine virtuelle Maschine. Du bräuchtest also sowas wie z.B. VMWare, um unter Linux eine virtuelle Windows-Maschine zu erstellen. Diese Vorhaben um Malware genauer zu beobachten ist prinzipiell eine gute Idee. Ich hab aber schon gehört, dass manche Schädlinge eine VM erkennen und dort ggf. keine Schadroutinen ausführen. Zitat:
__________________ |
27.09.2007, 17:18 | #3 | ||
| Malware "einkasten" und beobachten danke für die schnelle antwort!
__________________Zitat:
|
27.09.2007, 17:21 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Malware "einkasten" und beobachten Hm...also nach meinem Verständnis hat das Host-OS (Linux in deinem Fall) keinen direkten Zugriff auf das Dateisystem des virtuellen Windows - es liegt ja in einer Datei auf der Festplatte vor. Ich schätze, du musst das System dann auch von der VM aus analysieren.
__________________ Logfiles bitte immer in CODE-Tags posten |
27.09.2007, 18:01 | #5 |
> MalwareDB | Malware "einkasten" und beobachten
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
28.09.2007, 08:34 | #6 |
/// Helfer-Team | Malware "einkasten" und beobachten Hi, ich mache sowas öfters. In Vmware, allerdings läuft das auf einem Windowssystem. Den Netzwerktraffic kann man überwachen, indem man auf dem Hostsystem ein entsprechendes Programm, z.B. Wireshark laufen lässt, das ihn komplett aufzeichnet. Denkbar ist es auch, an das virtuelle Netz eine VM anzuschließen, die das Netz "snifft", da diese nicht als Switch, sondern als Hub arbeiten. Dabei heißt es aber aufpassen, es darf z.B. nicht passieren, dass dein Versuchssystem Spam versendet oder Angriffe im Netz startet. Deshalb benutze ich mehrere VMs: auf einer läuft ein Linux-Router, der die Verbindung nach draußen hat. Hinter ihm liegen dann an einem Vmware-internen Netzwerk die eigentlichen Versuchssysteme. Damit kann ich auf dem Linux-Router alle unerwünschten Sachen blocken, dabei werden sie gelogt, so dass ich von ihnen erfahren kann. Zugriffe auf Prozesse innerhalb des Versuchssystems zu ermitteln, kann Schwierigkeiten machen, da kannst Du eigentlich nur die Programme benutzen, wie man sie auch auf einem "normalen" Computer einsetzen würde. Manche Firewalls haben da Möglichkeiten, dann gibt es Processguard, Winpooch und natürlich noch eine Menge mehr. Problem bei all dieser Software ist aber, dass sie auf dem Versuchssystem selber läuft, man daher nie genau wissen kann, wie eventuell auf sie eingewirkt wird und was sie vielleicht nicht bemerkt, weil z.B. ein Rootkit im Spiel ist. Die Dateien gehe ich meistens so an, dass ich das Versuchssystem mit einer Live-CD starte und von der aus den kompletten Inhalt des Dateisystems in ein Log schreibe. Am besten auch mit Prüfsummen, dann dauert es aber natürlich wesentlich länger. Nach dem Versuch das wiederholen und dann vergleichen. Von BartPE aus kann man auch die nicht aktive Registry laden und exportieren, so dass auch die verglichen werden kann. Sowohl bei Registry als auch Dateisystem gibt es natürlich viele Veränderungen, die nicht auf die Malware zurückzuführen sind. Gruß, Karl |
01.10.2007, 13:20 | #7 |
| Malware "einkasten" und beobachten Hallo, mein Freund hat Linux und macht das auch manchmal bei Trojanern. Er benutzt "Virtual Box", soweit ich weiß. Besonders Spaß macht ihm, mit diversen Netzwerk-Sniffern Pakete zu manipulieren, oderso. XD Wie dem auch sei, Du bekommst bestimmt irgendwas zustande. Viel Spaß. ^_^ |
02.10.2007, 15:38 | #8 |
| Malware "einkasten" und beobachten Kann man eigentlich in einer VMWare nochmal eine Vmware öffnen/starten? Beispiel: Ich hab auf Windows über VMWare Linux laufen...kann ich dann auf diese Version beispielsweiße "VirtualBox" installiern und darüber dann noch nen Betriebssystem laufen lassen? |
10.10.2007, 15:12 | #9 |
| Malware "einkasten" und beobachten Ja, das geht, das Ergebnis ist aber eher Kontraproduktiv. |
Themen zu Malware "einkasten" und beobachten |
abend, dateien, erstell, frage, interessant, könntet, linux, malware, mögliche, möglichkeit, prozesse, stelle, suche, verbindungen, verhindert, verändert, virtualbox, windows |