Hallo zusammen,

ich bin kein dedizierter Sicherheitsexperte aber beschäftige mich seit fast 20 Jahren mit PCs, Windows, Programmierung (auch systemnah) und vielen Bereichen rund um dieses Themenfeld.

Seit einigen Jahren setze ich bei der Analyse mir privat überlassener Problemfälle sehr gerne auf eine isoliert externe Sicht auf das System. Sprich ein Boot-Linux, von dem aus ich mit diversen Tools und Virenscannern das System durchleuchte. Das Vorgehen gewinnt seit Desinfec't auch allgemein an Popularität.

Daß dabei gerade keine Prozesse laufen sondern sich die Anlayse ausschließlich auf persistent gespeicherte Daten bezieht, habe ich dabei immer als Vorteil verstanden. Schließlich muß sich jedes Schadprogramm irgendwo speichern, um auch beim nächsten Systemstart wieder geladen zu werden.

Auf der anderen Seite kann ich im laufenden System nach einer Infektion nicht mehr sicher sein, welche Systemfunktionen u. U. verbogen wurden. Kernelnahe Hooks könnten einem anfragenden Analyse-Programm eine gefilterte Wirklichkeit weiterreichen. Ein Hook auf die NTCreateProcess könnte den Start einiger bekannter Programme verbieten oder durch den Aufruf täuschend ähnlich aussehender Plazebos inkl. Ausleitung gefälschter Log-Dateien ersetzen.

Soweit ich das bisher beobachtet habe, setzt die Analyse hier im Forum ein breites Arsenal an Programmen ein, die jedoch alle das laufende System untersuchen. Wie steht ihr zu dazu? Mit welchen Maßnahmen wird diesen Risiken begegnet? Gilt z.B. erst ein redundant erhobener Befund oder das Fehlen eines solchen als 'gesichert' (schließlich werden ja praktisch immer eine ganze Reihe Programme nacheinander konsultiert)?

Viele Grüße,
Andreas

Ein Forum wie dieses und eine Live CD sind an sich schon verschiedene Dinge.
Mit der Live CD oder Stick, ist man erst mal alleine, hier im Forum nicht.
Jeder der es will, schafft hier eine sagen wir mal, fundierte Bereinigung des Systems ohne profunde PC Kentnisse.
Allein das erstellen einer Live CD stellt einige User schon vor Probleme.
Zu den Tools die hier verwendet werden ist zu sagen, das sie eine Kombination von privat und durch firmen erstellte Software sind und sicher redundante Prozesse durchspielen. Aber jedes dabei mit einer anderen Engine und am Ende auch anderem Ergebnis.
Meiner persönlichen Meinung nach, würde ich mich, wie jeder andere hier wahrscheinlich auch, am liebsten selber an jeden infizierten Rechner setzten.
Die Wahrheit ist aber die eine Bereinigung in nachvollziehbare Schritte zu zerlegen, den User diese abarbeiten zu lassen und nach dem Stand der Technik, am Ende die meisten Systeme dann auch sauber zu haben.

Nach erfolgter Bereinigung werden, das solltest Du auch gesehen haben, immer die Tools, wenn nötig, entfernt und Verhaltenshinweise gegeben.

Hallo Alexander,

ich hab das Gefühl, daß du dich persönlich oder die Community angegriffen gesehen hast. Aber das ist nicht richtig.

Die Arbeit die hier geleistet wird ist höchst professionell. Ich freue mich, daß es rund um das Thema Schädlings-Entfernung eine so große und aktive Community gibt! Und ich gebe dir recht, jemand der unter Linux sein System analysieren kann wird hier selten selbst als Fragensteller auftreten.

Aber das war auch gar nicht der Punkt. Wie im Thread-Titel schon geschrieben geht es mir um Grundsätzliches zu diesem Thema.

Nochmal kurz zusammengefasst:
Es gibt prinzipiell 2 Herangehensweisen. Die Untersuchung des Systems von außerhalb und die von innerhalb bzw. am laufenden Objekt.

Die Analyse-Ergebnisse aus einem laufenden, kompromittierten System heraus beinhalten meines Wissens immer das Risiko verfälscht zu sein. Stealth Techniken und Kernel Hooks gehören zum gängigen Repartoire.

Wenn ein System erst einmal komprimittiert ist, bin ich persönlich / von meinem Gefühl her nie mehr ganz sicher ob ich den Anzeigen / Antworten aus dem System noch trauen kann. Ich stelle mal ganz provokant die Frage: Wieso mache ich eine Untersuchung, um etwas zu beweisen oder auszuschließen, wenn ich mir im Falle des Ausschlußes aber nicht 100% sicher sein kann? (In diesem Fall habe ich eben nicht wirklich ausgeschlossen)

Und gerade weil hier die große Expertise zu diesem Thema versammelt ist, stelle ich die Frage wie ihr damit umgeht. Ist dieses Risiko viel geringer als ich es gerade einschätze? Ist es ein Restrisiko das bewußt eingegangen wird weil es nunmal keine bessere Lösung gibt?

Ich stelle mir diese Fragen seit Jahren und habe gehofft hier Leute zu finden um ein paar Gedanken auszutauschen und darüber zu diskutieren.

Viele Grüße,
Andreas

Ich fühle mich nicht angegriffen, die anderen sicher auch nicht.
Die Fragen, die Du stellst, habe ich mir auch schon alle gestellt. Ich sehe nicht zwei Herangehensweisen, sondern jedes mal eine individuelle. Auch Live CDs kommen hier zum Einsatz.
Tools wie GMER die Hooks finden sollen, werden schon seit Jahren von Schadsoftware erkannt, daher wird die Datei bei jeden download auch umbenannt, Sigchecks werden von vielen Tools durchgeführt. Prüfsummen können manipuliert werden, der MBR ist auch keine sicherer Hafen mehr für Malware. Der ADS ist auch nicht so geheim, wie es den Anschein macht.
Neuster aufgedeckter Angriffsvektor sind die Biose der unterschiedlichen Systeme. Hier scannt noch nichts, auch Bad USB spielt in dem Bereich.
Hier muss man immer die Verhältnismäßigkeit mit abwägen, ich für mich bin auch eher der Formatinator. Aber das ist nicht immer die Beste Lösung im Benutzerkontext. Und was taucht hier am Ende auf? Alles was in the wild ist und etwas mehr.
Aber: Aufgrund der Unwägbarkeiten insgesamt, stehe ich der Fernbereinigung skeptischer den je gegenüber.

Wir setzen auch Scans von Aussen an. Aber dann immer noch mit Tools unserer Wahl. Ich persönlich halte von Notfall Cds gar nichts, also wirklich überhaupt gar nichts.

Klar werden dann von aussen Malware-Files gefunden, es wird ja die Platte gescannt.

Aber wieviele der schönen CDs laden denn die Windows Registry, um diese zu scannen`?

File von aussen gelöscht, leerer/defekter Reg Eintrag oder Dienst bleibt zurück.

CD raus, Windows normal booten.

Hey, Malware ist weg, ok, Windows auch, bootet jetzt gar nicht mehr, but nobody is perfect

Zitat:

Zitat von schrauber

Wir setzen auch Scans von Aussen an. Aber dann immer noch mit Tools unserer Wahl. Ich persönlich halte von Notfall Cds gar nichts, also wirklich überhaupt gar nichts.

Aber wenn Du vor dem Rechner sitzen würdest, könntest Du Dir den Einsatz auch vorstellen, oder?

Ich finde die Arbeit hier auch gut. Die mit den hier aufgeführten Tools gereinigten Windows-Systeme sind danach wahrscheinlich weit sauberer als der Durschnitts-Rechner. Ich würde aber nach einem Schadcodebefall doch lieber neu installieren. Weder ein Scannen im laufenden System noch von einer Live-CD halte ich für ausreichend um wirklich sicher zu sein.

Zitat:

Zitat von iceweasel

Ich finde die Arbeit hier auch gut. Die mit den hier aufgeführten Tools gereinigten Windows-Systeme sind danach wahrscheinlich weit sauberer als der Durschnitts-Rechner.

Zitat:

Zitat von iceweasel

Ich würde aber nach einem Schadcodebefall doch lieber neu installieren. Weder ein Scannen im laufenden System noch von einer Live-CD halte ich für ausreichend um wirklich sicher zu sein.

Das ist auch der beste Weg um ein vertrauenswürdiges Windows zurückzubekommen. Noch besser man spielt ein Image zurück das man sich vor dem Befall angelegt hat, dann dauert es ca. 20 Minuten und es geht weiter.

Zitat:

Zitat von Kronos60

Das ist auch der beste Weg um ein vertrauenswürdiges Windows zurückzubekommen. Noch besser man spielt ein Image zurück das man sich vor dem Befall angelegt hat, dann dauert es ca. 20 Minuten und es geht weiter.

Zitat:

Aber wenn Du vor dem Rechner sitzen würdest, könntest Du Dir den Einsatz auch vorstellen, oder?

nein, weil die nix können. USB Stick, FRST aus der RE, dauert 2 Minuten und alle Probleme sind aus der Welt. Und es wird nur das gemacht was ich machen will.

und Kronos sollte sich am Besten gleich raus halten, die letzte Nummer war doch peinlich genug oder?

Die Bereiniger:


Möchte aber nicht schon wieder eine Grundsatzdiskussion starten, da gibt es eh schon einen Thread dafür....

Zitat:

Zitat von schrauber

die letzte Nummer war doch peinlich genug oder?

Für wen denn....

Zitat:

Zitat von schrauber

nein, weil die nix können.

Also das die nix können, würde ich jetzt nicht sagen, CDs haben z.B. den Vorteil, das ein Fileinfector da nur sehr schwer drauf kommt.
Insgesamt ist die Entscheidung, wie vorgegangen wird, aber doch immer eine individuelle, auch wenn es sehr gleichartig aussehen mag.
Und wer will, kann ja auch formatigern.

Zitat:

Für wen denn....

Für dich, mal wieder.

Zitat:

Also das die nix können, würde ich jetzt nicht sagen

ich zitiere mich mal

Zitat:

Klar werden dann von aussen Malware-Files gefunden, es wird ja die Platte gescannt.

Aber wieviele der schönen CDs laden denn die Windows Registry, um diese zu scannen`?

File von aussen gelöscht, leerer/defekter Reg Eintrag oder Dienst bleibt zurück.

CD raus, Windows normal booten.

Hey, Malware ist weg, ok, Windows auch, bootet jetzt gar nicht mehr, but nobody is perfect

Warum also so ne tolle Möchtegern-CD nutzen, wenn ich das dann nicht mehr bootende System doch mit FRST bearbeiten muss? Dann nehm ich lieber gleich das Bessere

Hallo zusammen,

zunächst mal freu ich mich, daß jetzt doch eine Diskussion entstanden ist! :-)

Daß Live-CDs "nix können" find ich ein bißchen hart. Wenn ich erreiche, daß ich den Schadcode von meinem System bekomme, dann ist das für mich streng genommen schon das Ziel. Und das schafft eine Live-CD, die 4 große Virenscanner nacheinander drüber laufen läßt recht zuverlässig.

Ich geb dir aber recht, verwaiste Registry / Start-Einträge bleiben dann normal über. So lange das Windows trotzdem startet stören mich diese Einträge aber auch nicht. Praktisch jede Software die ich mal kurz gestartet oder gar installiert habe tut das auch.

Daß Windows dann nicht mehr startet, weil z.B. der Einsprungspunkt auf den Windows Explorer geändert wurde, hatte ich auch schon mal erlebt. Allerdings erst einmal. Und ja, dann muß man doch wieder manuell und remote an der registry fummeln.

Ihr habt vollkommen recht damit, daß das auf jeden Fall eine sehr individuelle Entscheidung ist. Bei meinen eigenen Rechnern würde ich sofort formatieren (mußte ich zum Glück schon viele Jahre nicht mehr ) bei Rechnern von Bekannten stecke ich da aber in der Zwickmühle. Das Backup der Daten, Formatieren, neu installieren, einrichten der Treiber und Software etc. muß da nämlich auch ich machen. Dafür fehlt mir meist schlicht die Zeit.

Und so komme ich dann immer auf die genannten Fragen. Wir leben in einer Zeit, in der es Schädlinge gibt, die eine laufende Windows-Instanz in eine virtuelle Maschine verfrachten können ohne daß es der Anwender bemerkt (Stichwort blue pill). Wie sicher kann ich mir da noch bei der Vollständigkeit und Authentizität von Log-Files sein?

Mir ist jetzt die Idee gekommen es vielleicht einfach mal selbst zu versuchen ein Programm als system service zu schreiben, das einen hook implementiert. Es sollte versuchen Anfragen nach der Prozess-Liste vor Weitergabe an die anfragenden Prozesse um den eigenen Eintrag zu filtern. Mal schaun ob ich in der nächsten Zeit mal ein wenig Freiraum dafür finde, wäre ein interessantes Projekt

Viele Grüße,
Andreas