Hallo,

Ich analysiere aus Interesse Malware auf ner Virtual Machine (VM).

Aber: Es gibt immer mehr "To0lz", welche erkennen, dass man sie in einer VM startet, sodass man diese nicht analysieren kann.

Gibt es eine Möglichkeit diesen "Schutz" zu umgehen?

Die meisten VM-Detections vergleichen die Hardware.
Könnte man also eine andere Hardware vorgaukeln?

mfg

Zitat:

Zitat von b6d

Aber: Es gibt immer mehr "To0lz", welche erkennen, dass man sie in einer VM startet, sodass man diese nicht analysieren kann.
Gibt es eine Möglichkeit diesen "Schutz" zu umgehen?
Die meisten VM-Detections vergleichen die Hardware.
Könnte man also eine andere Hardware vorgaukeln?

SRY, hier ist kein Hackerboard.

Rama

und was hat das damit zu tun?

Wir geben keine Hilfe bei Leuten die mit Malware rumspielen. Um Malware zu analysieren braucht es ein großes Wissen ein sehr großes und ich sehe es nicht gerne wenn Leute die nicht so ein großes Wissen haben damit rumspielen.

woher wollt ihr wissen, wie groß mein wissen ist? :P

naja, dann nicht. hätte eh keiner eine antwort gehabt...

Hättest du mehr Wissen hättest du nicht gefragt

glaub schon dass einige eine Antwort gehabt hätten

Zitat:

Hättest du mehr Wissen hättest du nicht gefragt

glaub schon dass einige eine Antwort gehabt hätten

daraus entnehme ich mal, dass du selbst auch keine antwort hast. somit sind wir (da wir uns nicht kennen) auf dieser basis mit gleichem wissen ausgestatten :P

somit ist

Zitat:

Wir geben keine Hilfe bei Leuten die mit Malware rumspielen.

vollkommen ungerechtfertigt...

hehe

Zitat:

Zitat von b6d

daraus entnehme ich mal, dass du selbst auch keine antwort hast. somit sind wir (da wir uns nicht kennen) auf dieser basis mit gleichem wissen ausgestatten :P

Falsch entnommen. Wie kommst du darauf? Ich wollte unter anderem wieder damit sagen, dass es keine Hilfe gibt bei Leuten die mit Malware herumspielen!
Wie du schon richtig gesagt hast du kennst mich nicht darum kannst du auch nicht sagen mit welchem Wissen ich ausgestattet bin und ich garrantiere dir dass ich auf dem Gebiet mehr Wissen habe.


somit ist

Zitat:

Wir geben keine Hilfe bei Leuten die mit Malware rumspielen.

vollkommen ungerechtfertigt...

hä? nein eigentlich nicht! Wie kommst du darauf? Das ist vollkommen gerechtfertigt! Oder lässt man "Nicht-Mediziner" mit der Schweinegrippe experimentieren?!

Hi,
AntiVM-Patches werden in der Regel nicht frei verteilt, einfach weil man versuchen will, die Dinger so lang wie möglich vor den Malwareautoren geheimzuhalten. Wenn sie mal bekannt sind, dann sind sie nicht mehr viel wert.

Davon abgesehen muss ich sagen, dass derartige Patch nicht viel bringen. In der Regel dauert es keine 3 Monate, bis die Patches bekannt sind und Malware dann anderweitig auf ne VM überprüft.

Mein Tipp ist eigentlich kauf dir nen billigen alten Rechner und mach daraus ne Testmaschine.
Ich hab meinen alten Rechner dazu umfunktioniert, statt ihn zu verkaufen.
Ebay zeigt mir auch ne ganze menge Angebote die noch unter 20 Euro liegen.
Ich würd (bzw hab) das Geld investieren.

Viel angenehmer als VM.

lg myrtille

Ich sehe es wie myrtille. Virtualisierung ist nichts, um mal eben malware auf die Menschheit loszulassen. Zum einen fehlt ein objektives Testszenario, da die HW eben nur virtualisiert ist, und zum anderen fallen VMs regelmäßig durch hübsche Exploits auf.

ok, aber der große vorteil bei einer vm ist, dass man in handumdrehen jegliche schäden durch malware beseitigen kann, da es snapshot funktionen oder rückgangig-datenträger gibt.

Hi,

leg dir ein sauberes Image an, dann kannst du den Rechner auch immer noch auf einen "sauberen" Zeitpunkt zurücksetzen.

Ich ziehe nen "richtigen" Rechner der VM vor, einfach weil es unkomplizierter ist: Keine Notwendigkeit Patches einzuspielen, keine Sorgen wegen eventuellen Lücken in der Machine.
Ich hab hinterher (oder zwischendrin) per Dualboot problemlos Zugriff auf Platten und Registry um zu schauen was genau die Malware abgelegt hat.

Ich hab allerdings auch wenig Interesse daran den Befall "zurückzusetzen", ich bin mehr daran interessiert ihn erfolgreich zu entfernen.

lg ymrtille

Zitat:

Zitat von myrtille

Ich ziehe nen "richtigen" Rechner der VM vor, einfach weil es unkomplizierter ist:...

Das einzige Szenario das mir einfällt, bei dem ein tatsächlicher Rechner vielleicht unkomplizierter ist als eine vm.

Allerdings hat es mehr als nur akademischen Charakter sich zu fragen, wie sich eine Schadsoftware in einer vm verhält, gerade wenn man virtualisierte Umgebungen im Unternehmen einsetzt. Wahrscheinlich sind die vms einer der Hauptangriffspunkte in der Zukunft.

Marc

in baldiger zukunft hab ich nen alten rechner zur verfügung, dann geht das^^

Zitat:

ich bin mehr daran interessiert ihn erfolgreich zu entfernen

viellt kannst du hier mal schauen. normalerweiße kann ich malware auch entfernen, aber hier hab ich keine ahnung (kann dir die datei auch schicken...)

http://www.trojaner-board.de/72921-keylogger-unloeschbar.html#post434550

Zitat:

Zitat von Jig Saw

Hättest du mehr Wissen hättest du nicht gefragt

glaub schon dass einige eine Antwort gehabt hätten

Das sollte die entscheidende Antwort gewesen sein

Rama