PC IT/Technik Viren und Schädlinge?
Hi ich möchte ein paar Seiten testen ob die downloads dort seriös sind oder nicht. Doch ich habe kein Plan ob die ja halt einen Virus oder sonstiges enthalten und meine Frage ist ob wenn ich mir die virtualbox runterlade und über der virtualbox den download mache kann dann der virus auch auf meinem Gerät trotzdem landen oder wegen der virtualbox nicht ?
2 Antworten
Jein - du kannst sowas nicht mal eben so machen. Wie bereits erwähnt gibt es die Möglichkeit, dass die Software ausbricht. Dies kann nicht nur durch das Netzwerk oder die genannten Wege passieren sondern auch durch Fehler in Virtualbox.
Außerdem erkennt Schadware, dass sie in einer VM steckt und verhält sich anders um zB die Erkennung oder eine Untersuchung zu erschweren.
Dazu kommt, dass Schadware oftmals nicht offensichtlich ist - du kannst unter Umständen nur schwer erkennen, dass Schadware etwas macht wenn diese von einen Command & Control Server (C2) Anweisungen erhält.
Du musst vielen dieser Programme also Internetzugang gewähren und auch dann ist nicht immer offensichtlich was das Ding macht denn zB ein Keylogger würde nur Eingaben überwachen und gelegentlich dann diese an den C2-Server melden...
Was du da vorhast sind Aufgaben die teilweise sogar für uns IT-Forensiker schwer sind und sehr sehr viel Wissen über den inneren Aufbau des Betriebssystems und diverse andere Dinge erfordern!
Die einfachere Variante wäre es eine Datei bei Virustotal.com hochzuladen oder dergleichen aber auch da müsste man dann genug wissen um falsch-positive Meldungen zu erkennen.
Insbesondere VMs nutzen am Ende des Tages Ressourcen eines Hosts. Selbst wenn die VM sichtlich abgeschottet wurde und die Software selbst keine direkte Lücke hat, müssen wir uns immer die Ressourcen des Hosts zu nutze machen, was uns immer irgendwie das Genick brechen kann.
Der Hypervisor sollte verhindern, dass Gast und Host ungewollt Daten austauschen. Genau das meinte ich mit der Sicherheitslücke bzw. dem "Fehler"...
Wenn du dies anders konfigurierst natürlich nicht.
Das größte Problem ist aber, dass sich sehr viel Schadware in einer VM einfach tot stellt. Daher betreiben wir oft gehörigen Aufwand um alle Spuren zu maskieren damit Schadware es nicht mitbekommt wenn Sie in einer VM steckt oder man nutzt eigens dafür bereitgestellte Hardware.
Der Virus kann sich auf den Host verbreiten, wenn du die Maschine nicht vollständig isoliert hast. Z.B. durch geteilte Ordner oder das Netzwerk.
Ok danke. Gibt es vielleicht irgendwo ein video wie ich darüber alles erfahre also wie ich die Maschine vollständig isoliere und einrichte ?
Klar aber nicht eines sondern hunderte von den Netzwerk-Grundlagen über die entsprechenden Tools zur Analyse, etc.
Was glaubst du wirst du sehen wenn du Schadware startest?! Da kommt in der Regel keine Meldung die sagt dein System ist infiziert.
Weißt du überhaupt welche Arten von Schadware es gibt und was diese so treibt?
Jetzt bitte nicht falsch verstehen - ich will dich auf keinen Fall niedermachen. Eventuell klingen die Postings von mir etwas hart - war aber nicht so gemeint!
Worauf ich hinaus will ist, dass dies was du machen willst mind. 90% der Arbeit ist die Virenhersteller betreiben.
Wurde Schadware erst mal erkannt und identifiziert muss nur noch eine Virensignatur extrahiert werden und diese kann dann der Datenbank hinzugefügt werden. Das ist dann nach der Analyse allerdings nur noch eine Kleinigkeit.
Dazu muss noch Software geschrieben werden bzw. aktuell gehalten werden die alle Dateien am PC mit den Virensignaturen vergleicht und Updates zieht. Aber auch das ist in Vergleich zur Arbeit an den neuen Schadware-Signaturen nur ein kleiner Buchteil der Arbeit.
Was du meinst mal eben so nebenbei zu machen um schnell was zu testen ist in Wirklichkeit eine der anspruchsvollsten Aufgaben im Umfeld der IT Sicherheit!
Leute die dies machen können was du vorhast, können bei jedem Hersteller von Antivirus-Software für ein 6-stelliges oder beinahe 6-stelliges Gehalt anheuern.
Am Ende des Tages gibt es wohl kein System, welches 100% sicher ist. Genau das ist das Problem. Insbesondere VMs nutzen am Ende des Tages Ressourcen eines Hosts. Selbst wenn die VM sichtlich abgeschottet wurde und die Software selbst keine direkte Lücke hat, müssen wir uns immer die Ressourcen des Hosts zu nutze machen, was uns immer irgendwie das Genick brechen kann.
So als Ergänzung. :-)