![]() |
|
Diskussionsforum: Verseuchte Datei sicher ausführenWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
![]() |
|
![]() | #1 |
| ![]() Verseuchte Datei sicher ausführen Guten Tag Ich habe Windows 7 mit der VMWare Workstation (VM mit WinXP SP3). Ich studiere Informatik mit der Vertiefung IT-Security. Nun zu meiner Frage. Kann ich in der VMWare wie wild rumexperimentieren oder besteht dabei die Gefahr, dass ein Virus von der VM auf das "normale" Betriebssystem swapt? Ich habe auch bereits gegooglet. Einige sagen kommt draufan andere nicht.. Was stimmt nun? Oder besser. Wie kann ich eine verseuchte Exe-Datei sicher ausführen? Besten Dank. Gruss Simon |
![]() | #2 |
![]() ![]() ![]() ![]() | ![]() Verseuchte Datei sicher ausführen Hallo,
__________________es gibt einige Viren die erkennen, dass man in einer VM unterwegs ist. Das aber von der VM Viren auf das "eigentliche" BS übergesprungen ist sah und hörte ich bisher noch nicht.
__________________ |
![]() | #3 |
| ![]() Verseuchte Datei sicher ausführen Besten Dank erstmal für die rasche Rückmeldung.
__________________So in diese Richtung habe ich viel gelesen. Einige meinten eben, dass die Viren/Trojaner die VM erkennen und so Lücken in der VM ausnutzen könnten um so auf das "normale" BS zu gelangen. Hoffe es gibt noch weitere Meinungen und eine interessante Diskussion dazu. |
![]() | #4 |
/// Helfer-Team ![]() ![]() ![]() | ![]() Verseuchte Datei sicher ausführen Natürlich ist das schon passiert, dass ein richtiger Virus (Virut) das eigentliche OS infiziert hat, aber das sind Bugs die wieder behoben wurden, aber diese Fälle sind recht selten. Allerdings ganz gefahrlos würde ich das nicht ausprobieren vor allem bei einem File Infector. Am Besten du nimmst einen alten PC, den du sowieso nicht brauchst, das ist am sichersten. Stellt auch die Situation einer Infektion am realistischsten nach (keine VM Umgebung => keine VM kann erkannt werden).
__________________ A fool with a tool is still a fool |
![]() | #5 |
/// Mr. Schatten ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Verseuchte Datei sicher ausführen Ich sehe die ein Bisschen anders: Es ist theoretisch nicht schwer für eine Malware zu erkennen, ob sie in einer VM-Ware-Umgebung läuft oder nicht. Es gibt Lücken und Wege um von VM-Ware auf den Host zu kommen. Nur will eine "normale" Malware dies? Rentiert es sich für eine 08/15-Malware, dies abzufragen, auf eventuelle bzw. eventuell unbehobene Lücken zu hoffen bzw. darauf programmiert zu werden? Ich glaube eher nicht. Jede zusätzliche Routine macht jedes Programm größer (auffälliger, mehr Erkennungsmöglichkeiten), hebt die Fehlerwahrscheinlichkeit, dies gilt auch für Malware (und natürlich sind auch Malware-Programmierer nicht klüger als andere Programmierer und wollen halt auch noch mal was draufpacken). Also in der echten Praxis dürfte die Wahrscheinlichkeit eher niedrig sein, aber auch dabei sollte man trotzdem Vernunft walten lassen. Wildes Rumexperimentieren auf normal genutzten PCs ist auch mit VM-Ware oder ähnlichem ein Unding. VM-Ware sollte hier nur zur besseren Beobachtungsfähigkeit und zum schnelleren Wiederherstellen dienen, das Hostsystem hat in einem solchem Szenario nichts anderes zu sein, als eine Basis für die Experimente. Kein Produktivsystem.
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
![]() | #6 |
/// Helfer-Team ![]() ![]() ![]() ![]() | ![]() Verseuchte Datei sicher ausführen Wegen der Lücken in Vmware Workstation gibt es auch dort Updates, wobei das allerdings auf die Installation einer neuen Version hinausläuft. Mir ist noch kein Fall begegnet, in dem das wirklich probiert wurde. Die Erkennung ob eine Software auf einem virtuellen oder einem echten Computer läuft, ist sehr einfach. Ein beachtlicher Teil Malware macht das unterdessen und zeigt abhängig vom Ergebnis unterschiedliche Verhaltensweisen. Solche Fälle habe ich schon eine ganze Menge live gesehen. Da hilft dann ein richtiger PC. Kann irgendein geschenkter Uraltrechner sein, solange das Betriebssystem noch drauf starten kann. Kein Trojaner erwartet bisher einen Quad-Code-Prozessor. |
![]() | #7 |
/// Helfer-Team ![]() ![]() ![]() | ![]() Verseuchte Datei sicher ausführen Es muss sich ja nicht immer um Passwörter handeln es können ja auch sensible Daten sein die niemand anderes sehen soll solche könnte man dann auch z.b. mit True Crypt verschlüsseln. Aber das wichtigste wurde eigentlich schon gesagt ![]()
__________________ A fool with a tool is still a fool Geändert von Jig Saw (18.11.2009 um 19:05 Uhr) |
![]() | #8 | |
![]() | ![]() Verseuchte Datei sicher ausführenZitat:
wie sagte ich: geowned ist geowned. ![]()
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
![]() | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Verseuchte Datei sicher ausführen Eine VM in einer VM ist ziemlich ![]() Mach doch einfach ein Image des Rechners vorher und führ dann die Datei aus. Wenn was ist spielst du das Image einfach zurück. Statt der VM kannst Du es auch mit dem Tool Sandboxie testen. Was willst Du da überhaupt ausführen?
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #10 |
![]() | ![]() Verseuchte Datei sicher ausführen cosinus, Deine Idee ist fast gut, aber nur fast. ![]() denke mal an die Passwörter, die auf einem PC sind, an unterschiedlichsten Stellen. so würde es mit einem Image-Tool (etwas in der Art von Acronis Disk Director wäre zusätzlich erforderlich) gehen: 1) persönliches System backuppen. 2) Active Partition formatieren und Neuinstallation eines Test-Systems in der selben Partition, backuppen Das Test-System steht somit als "echter" PC ohne personliche Daten zur Verfügung. Zum Testen wird das Test-Image zurückgespielt, die Partitionen mit persönlichen Daten werden mit Acronis Disk Director "versteckt", dann sollte nicht schief gehen können. Eine Daten-Partition für Test-Files wäre praktisch, so könnte man mit dem "persönlichen" System gefahrlos Files gemeinsam nutzen. @simons, eine VM ist zum Testen eher ungeeignet, Du kannst es glauben. ![]()
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
![]() | #11 | |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Verseuchte Datei sicher ausführenZitat:
![]()
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #12 |
![]() | ![]() Verseuchte Datei sicher ausführen Passwörter verschlüsselt gespeichert zu haben ist kein Allheilmittel wenn man geowned ist, kommt natürlich auf Wissen und Zeit des remoteAdmin an.
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
![]() | #13 | |
/// Winkelfunktion /// TB-Süch-Tiger™ ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Verseuchte Datei sicher ausführenZitat:
![]() Prinzipiell hast Du aber schon recht, mit dem Image ist es eleganter wenn man eine "saubere" echte Testumgebung (non-VM) hat. ![]()
__________________ Logfiles bitte immer in CODE-Tags posten ![]() |
![]() | #14 | |
![]() | ![]() Verseuchte Datei sicher ausführen wir gehen off-topic, aber es muß sein. Zitat:
KeePass Password Safe es gibt keylogger, auch für "copy and paste". geowned ist geowned, ich würde mich um keinen Cent sicherer fühlen, wenn ich KeePass oder ähnliches benutzen würde. ![]()
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
![]() | #15 |
![]() ![]() ![]() ![]() | ![]() Verseuchte Datei sicher ausführen Ich will in dem Zusammenhang nochmal auf die Gefahren einer VM hinweisen. Ich hatte mir malware in der VM installiert, um einem user hier eine sinnvolle Antwort geben zu können. Vergaß dabei allerdings, Freigaben des Hosts zu deaktivieren, mit dem Ergebnis: Daten futsch. War nicht tragisch, aber den Preis für den DAU der Woche habe ich locker abgeräumt. Installierst du dir einen SPAMbot oder so ein Zeug, sei dir bewußt, dass du dann wirklich SPAM versendest und zur Verbreitung von diesem Mist beiträgst. Gleiches gilt, wenn deine VM (sei es nur zeitweise) als Hoster für illegalen Dreck herhält. Denkbar ist auch ein Frickeln am Router. Sowas macht sich deutlich leichter aus dem LAN. Wie realistisch das ist, hängt von Software und Konfiguration des Routers ab. Kann ich schwer einschätzen, wollte es aber mal erwähnt haben. (Bei der Fritzbox reicht http://fritz.box/html/vergessen.html - iirc ![]() |
![]() |
Themen zu Verseuchte Datei sicher ausführen |
andere, ausführen, bereits, betriebssystem, datei, exe-datei, gefahr, guten, normale, sp3, tiere, verseuchte, virus, vmware, windows, windows 7, winxp, works, workstation |