Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Grundsätzliches - Laufendes System untersuchen sinnvoll?

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 04.03.2015, 20:25   #1
foxm2k
 
Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Hallo zusammen,

ich bin kein dedizierter Sicherheitsexperte aber beschäftige mich seit fast 20 Jahren mit PCs, Windows, Programmierung (auch systemnah) und vielen Bereichen rund um dieses Themenfeld.

Seit einigen Jahren setze ich bei der Analyse mir privat überlassener Problemfälle sehr gerne auf eine isoliert externe Sicht auf das System. Sprich ein Boot-Linux, von dem aus ich mit diversen Tools und Virenscannern das System durchleuchte. Das Vorgehen gewinnt seit Desinfec't auch allgemein an Popularität.

Daß dabei gerade keine Prozesse laufen sondern sich die Anlayse ausschließlich auf persistent gespeicherte Daten bezieht, habe ich dabei immer als Vorteil verstanden. Schließlich muß sich jedes Schadprogramm irgendwo speichern, um auch beim nächsten Systemstart wieder geladen zu werden.

Auf der anderen Seite kann ich im laufenden System nach einer Infektion nicht mehr sicher sein, welche Systemfunktionen u. U. verbogen wurden. Kernelnahe Hooks könnten einem anfragenden Analyse-Programm eine gefilterte Wirklichkeit weiterreichen. Ein Hook auf die NTCreateProcess könnte den Start einiger bekannter Programme verbieten oder durch den Aufruf täuschend ähnlich aussehender Plazebos inkl. Ausleitung gefälschter Log-Dateien ersetzen.

Soweit ich das bisher beobachtet habe, setzt die Analyse hier im Forum ein breites Arsenal an Programmen ein, die jedoch alle das laufende System untersuchen. Wie steht ihr zu dazu? Mit welchen Maßnahmen wird diesen Risiken begegnet? Gilt z.B. erst ein redundant erhobener Befund oder das Fehlen eines solchen als 'gesichert' (schließlich werden ja praktisch immer eine ganze Reihe Programme nacheinander konsultiert)?

Viele Grüße,
Andreas

Alt 04.03.2015, 21:28   #2
BataAlexander
> MalwareDB
 
Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Ein Forum wie dieses und eine Live CD sind an sich schon verschiedene Dinge.
Mit der Live CD oder Stick, ist man erst mal alleine, hier im Forum nicht.
Jeder der es will, schafft hier eine sagen wir mal, fundierte Bereinigung des Systems ohne profunde PC Kentnisse.
Allein das erstellen einer Live CD stellt einige User schon vor Probleme.
Zu den Tools die hier verwendet werden ist zu sagen, das sie eine Kombination von privat und durch firmen erstellte Software sind und sicher redundante Prozesse durchspielen. Aber jedes dabei mit einer anderen Engine und am Ende auch anderem Ergebnis.
Meiner persönlichen Meinung nach, würde ich mich, wie jeder andere hier wahrscheinlich auch, am liebsten selber an jeden infizierten Rechner setzten.
Die Wahrheit ist aber die eine Bereinigung in nachvollziehbare Schritte zu zerlegen, den User diese abarbeiten zu lassen und nach dem Stand der Technik, am Ende die meisten Systeme dann auch sauber zu haben.

Nach erfolgter Bereinigung werden, das solltest Du auch gesehen haben, immer die Tools, wenn nötig, entfernt und Verhaltenshinweise gegeben.
__________________

__________________

Alt 04.03.2015, 22:21   #3
foxm2k
 
Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Hallo Alexander,

ich hab das Gefühl, daß du dich persönlich oder die Community angegriffen gesehen hast. Aber das ist nicht richtig.

Die Arbeit die hier geleistet wird ist höchst professionell. Ich freue mich, daß es rund um das Thema Schädlings-Entfernung eine so große und aktive Community gibt! Und ich gebe dir recht, jemand der unter Linux sein System analysieren kann wird hier selten selbst als Fragensteller auftreten.

Aber das war auch gar nicht der Punkt. Wie im Thread-Titel schon geschrieben geht es mir um Grundsätzliches zu diesem Thema.

Nochmal kurz zusammengefasst:
Es gibt prinzipiell 2 Herangehensweisen. Die Untersuchung des Systems von außerhalb und die von innerhalb bzw. am laufenden Objekt.

Die Analyse-Ergebnisse aus einem laufenden, kompromittierten System heraus beinhalten meines Wissens immer das Risiko verfälscht zu sein. Stealth Techniken und Kernel Hooks gehören zum gängigen Repartoire.

Wenn ein System erst einmal komprimittiert ist, bin ich persönlich / von meinem Gefühl her nie mehr ganz sicher ob ich den Anzeigen / Antworten aus dem System noch trauen kann. Ich stelle mal ganz provokant die Frage: Wieso mache ich eine Untersuchung, um etwas zu beweisen oder auszuschließen, wenn ich mir im Falle des Ausschlußes aber nicht 100% sicher sein kann? (In diesem Fall habe ich eben nicht wirklich ausgeschlossen)

Und gerade weil hier die große Expertise zu diesem Thema versammelt ist, stelle ich die Frage wie ihr damit umgeht. Ist dieses Risiko viel geringer als ich es gerade einschätze? Ist es ein Restrisiko das bewußt eingegangen wird weil es nunmal keine bessere Lösung gibt?

Ich stelle mir diese Fragen seit Jahren und habe gehofft hier Leute zu finden um ein paar Gedanken auszutauschen und darüber zu diskutieren.

Viele Grüße,
Andreas
__________________

Alt 04.03.2015, 22:42   #4
BataAlexander
> MalwareDB
 
Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Ich fühle mich nicht angegriffen, die anderen sicher auch nicht.
Die Fragen, die Du stellst, habe ich mir auch schon alle gestellt. Ich sehe nicht zwei Herangehensweisen, sondern jedes mal eine individuelle. Auch Live CDs kommen hier zum Einsatz.
Tools wie GMER die Hooks finden sollen, werden schon seit Jahren von Schadsoftware erkannt, daher wird die Datei bei jeden download auch umbenannt, Sigchecks werden von vielen Tools durchgeführt. Prüfsummen können manipuliert werden, der MBR ist auch keine sicherer Hafen mehr für Malware. Der ADS ist auch nicht so geheim, wie es den Anschein macht.
Neuster aufgedeckter Angriffsvektor sind die Biose der unterschiedlichen Systeme. Hier scannt noch nichts, auch Bad USB spielt in dem Bereich.
Hier muss man immer die Verhältnismäßigkeit mit abwägen, ich für mich bin auch eher der Formatinator. Aber das ist nicht immer die Beste Lösung im Benutzerkontext. Und was taucht hier am Ende auf? Alles was in the wild ist und etwas mehr.
Aber: Aufgrund der Unwägbarkeiten insgesamt, stehe ich der Fernbereinigung skeptischer den je gegenüber.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 05.03.2015, 08:39   #5
schrauber
/// the machine
/// TB-Ausbilder
 

Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Wir setzen auch Scans von Aussen an. Aber dann immer noch mit Tools unserer Wahl. Ich persönlich halte von Notfall Cds gar nichts, also wirklich überhaupt gar nichts.

Klar werden dann von aussen Malware-Files gefunden, es wird ja die Platte gescannt.

Aber wieviele der schönen CDs laden denn die Windows Registry, um diese zu scannen`?

File von aussen gelöscht, leerer/defekter Reg Eintrag oder Dienst bleibt zurück.

CD raus, Windows normal booten.

Hey, Malware ist weg, ok, Windows auch, bootet jetzt gar nicht mehr, but nobody is perfect

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 05.03.2015, 13:08   #6
BataAlexander
> MalwareDB
 
Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Zitat:
Zitat von schrauber Beitrag anzeigen
Wir setzen auch Scans von Aussen an. Aber dann immer noch mit Tools unserer Wahl. Ich persönlich halte von Notfall Cds gar nichts, also wirklich überhaupt gar nichts.
Aber wenn Du vor dem Rechner sitzen würdest, könntest Du Dir den Einsatz auch vorstellen, oder?
__________________
--> Grundsätzliches - Laufendes System untersuchen sinnvoll?

Alt 05.03.2015, 14:41   #7
iceweasel
 
Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Ich finde die Arbeit hier auch gut. Die mit den hier aufgeführten Tools gereinigten Windows-Systeme sind danach wahrscheinlich weit sauberer als der Durschnitts-Rechner. Ich würde aber nach einem Schadcodebefall doch lieber neu installieren. Weder ein Scannen im laufenden System noch von einer Live-CD halte ich für ausreichend um wirklich sicher zu sein.

Alt 05.03.2015, 14:55   #8
BataAlexander
> MalwareDB
 
Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Zitat:
Zitat von iceweasel Beitrag anzeigen
Ich finde die Arbeit hier auch gut. Die mit den hier aufgeführten Tools gereinigten Windows-Systeme sind danach wahrscheinlich weit sauberer als der Durschnitts-Rechner.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 05.03.2015, 15:37   #9
Kronos60
 
Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Zitat:
Zitat von iceweasel Beitrag anzeigen
Ich würde aber nach einem Schadcodebefall doch lieber neu installieren. Weder ein Scannen im laufenden System noch von einer Live-CD halte ich für ausreichend um wirklich sicher zu sein.
Das ist auch der beste Weg um ein vertrauenswürdiges Windows zurückzubekommen. Noch besser man spielt ein Image zurück das man sich vor dem Befall angelegt hat, dann dauert es ca. 20 Minuten und es geht weiter.

Alt 05.03.2015, 15:48   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Grundsätzliches - Laufendes System untersuchen sinnvoll? - Icon17

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Zitat:
Zitat von Kronos60 Beitrag anzeigen
Das ist auch der beste Weg um ein vertrauenswürdiges Windows zurückzubekommen. Noch besser man spielt ein Image zurück das man sich vor dem Befall angelegt hat, dann dauert es ca. 20 Minuten und es geht weiter.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.03.2015, 15:52   #11
schrauber
/// the machine
/// TB-Ausbilder
 

Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Zitat:
Aber wenn Du vor dem Rechner sitzen würdest, könntest Du Dir den Einsatz auch vorstellen, oder?
nein, weil die nix können. USB Stick, FRST aus der RE, dauert 2 Minuten und alle Probleme sind aus der Welt. Und es wird nur das gemacht was ich machen will.

und Kronos sollte sich am Besten gleich raus halten, die letzte Nummer war doch peinlich genug oder?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 05.03.2015, 15:56   #12
Kronos60
 
Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Die Bereiniger:


Möchte aber nicht schon wieder eine Grundsatzdiskussion starten, da gibt es eh schon einen Thread dafür....

Zitat:
Zitat von schrauber Beitrag anzeigen
die letzte Nummer war doch peinlich genug oder?
Für wen denn....

Alt 05.03.2015, 16:06   #13
BataAlexander
> MalwareDB
 
Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Zitat:
Zitat von schrauber Beitrag anzeigen
nein, weil die nix können.
Also das die nix können, würde ich jetzt nicht sagen, CDs haben z.B. den Vorteil, das ein Fileinfector da nur sehr schwer drauf kommt.
Insgesamt ist die Entscheidung, wie vorgegangen wird, aber doch immer eine individuelle, auch wenn es sehr gleichartig aussehen mag.
Und wer will, kann ja auch formatigern.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 05.03.2015, 16:10   #14
schrauber
/// the machine
/// TB-Ausbilder
 

Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Zitat:
Für wen denn....
Für dich, mal wieder.

Zitat:
Also das die nix können, würde ich jetzt nicht sagen
ich zitiere mich mal

Zitat:
Klar werden dann von aussen Malware-Files gefunden, es wird ja die Platte gescannt.

Aber wieviele der schönen CDs laden denn die Windows Registry, um diese zu scannen`?

File von aussen gelöscht, leerer/defekter Reg Eintrag oder Dienst bleibt zurück.

CD raus, Windows normal booten.

Hey, Malware ist weg, ok, Windows auch, bootet jetzt gar nicht mehr, but nobody is perfect
Warum also so ne tolle Möchtegern-CD nutzen, wenn ich das dann nicht mehr bootende System doch mit FRST bearbeiten muss? Dann nehm ich lieber gleich das Bessere
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 05.03.2015, 17:13   #15
foxm2k
 
Grundsätzliches - Laufendes System untersuchen sinnvoll? - Standard

Grundsätzliches - Laufendes System untersuchen sinnvoll?



Hallo zusammen,

zunächst mal freu ich mich, daß jetzt doch eine Diskussion entstanden ist! :-)

Daß Live-CDs "nix können" find ich ein bißchen hart. Wenn ich erreiche, daß ich den Schadcode von meinem System bekomme, dann ist das für mich streng genommen schon das Ziel. Und das schafft eine Live-CD, die 4 große Virenscanner nacheinander drüber laufen läßt recht zuverlässig.

Ich geb dir aber recht, verwaiste Registry / Start-Einträge bleiben dann normal über. So lange das Windows trotzdem startet stören mich diese Einträge aber auch nicht. Praktisch jede Software die ich mal kurz gestartet oder gar installiert habe tut das auch.

Daß Windows dann nicht mehr startet, weil z.B. der Einsprungspunkt auf den Windows Explorer geändert wurde, hatte ich auch schon mal erlebt. Allerdings erst einmal. Und ja, dann muß man doch wieder manuell und remote an der registry fummeln.

Ihr habt vollkommen recht damit, daß das auf jeden Fall eine sehr individuelle Entscheidung ist. Bei meinen eigenen Rechnern würde ich sofort formatieren (mußte ich zum Glück schon viele Jahre nicht mehr ) bei Rechnern von Bekannten stecke ich da aber in der Zwickmühle. Das Backup der Daten, Formatieren, neu installieren, einrichten der Treiber und Software etc. muß da nämlich auch ich machen. Dafür fehlt mir meist schlicht die Zeit.

Und so komme ich dann immer auf die genannten Fragen. Wir leben in einer Zeit, in der es Schädlinge gibt, die eine laufende Windows-Instanz in eine virtuelle Maschine verfrachten können ohne daß es der Anwender bemerkt (Stichwort blue pill). Wie sicher kann ich mir da noch bei der Vollständigkeit und Authentizität von Log-Files sein?

Mir ist jetzt die Idee gekommen es vielleicht einfach mal selbst zu versuchen ein Programm als system service zu schreiben, das einen hook implementiert. Es sollte versuchen Anfragen nach der Prozess-Liste vor Weitergabe an die anfragenden Prozesse um den eigenen Eintrag zu filtern. Mal schaun ob ich in der nächsten Zeit mal ein wenig Freiraum dafür finde, wäre ein interessantes Projekt

Viele Grüße,
Andreas

Antwort

Themen zu Grundsätzliches - Laufendes System untersuchen sinnvoll?
allgemein, analyse, aufruf, diverse, forum, frage, hallo zusammen, infektion, jahre, nicht mehr, pcs, privat, programme, prozesse, scan, scanner, seite, setzt, speichern, system, systemstart, tools, virenscanner, voll, windows



Ähnliche Themen: Grundsätzliches - Laufendes System untersuchen sinnvoll?


  1. computer auf bedrohungen untersuchen und beheben
    Log-Analyse und Auswertung - 22.10.2014 (3)
  2. Traffic und gesamten Computer auf ein Wort untersuchen?
    Diskussionsforum - 01.10.2014 (9)
  3. Nach Hack-Verdacht: jQuery-Entwickler untersuchen ihre Server
    Nachrichten - 24.09.2014 (0)
  4. mailanhang untersuchen lassen
    Diskussionsforum - 08.04.2014 (2)
  5. Grundsätzliches Lob
    Lob, Kritik und Wünsche - 27.01.2014 (0)
  6. Ist der Versuch möglich/sinnvoll ein infiziertes System per Fernzugriff reparieren zu wollen?
    Alles rund um Windows - 13.12.2011 (7)
  7. Dateien (keine Mails) auf Viren untersuchen und desinfizieren
    Plagegeister aller Art und deren Bekämpfung - 13.03.2010 (10)
  8. Bitte Logfile untersuchen!
    Log-Analyse und Auswertung - 05.08.2009 (10)
  9. Trojaner einfangen, untersuchen und zerlegen
    Diskussionsforum - 21.05.2008 (1)
  10. Grundsätzliches zu Viren, Bakterien und anderem Gefleuchs...
    Plagegeister aller Art und deren Bekämpfung - 06.05.2008 (7)
  11. Bitte einmal meine Log untersuchen ob alles in Ordnung ist.
    Log-Analyse und Auswertung - 30.04.2008 (11)
  12. Hohe System-Auslastung! Bitte untersuchen!
    Log-Analyse und Auswertung - 01.07.2007 (2)
  13. Log untersuchen bitte
    Mülltonne - 06.12.2006 (1)
  14. Laufendes Programm bei Rechnerstart, Firefox extrem langsam
    Log-Analyse und Auswertung - 23.05.2006 (7)
  15. Sinnvoll ?
    Alles rund um Windows - 28.08.2005 (9)
  16. Kann mir jemand dieses Logfile untersuchen?
    Log-Analyse und Auswertung - 17.04.2005 (2)
  17. Grundsätzliches
    Plagegeister aller Art und deren Bekämpfung - 25.03.2005 (23)

Zum Thema Grundsätzliches - Laufendes System untersuchen sinnvoll? - Hallo zusammen, ich bin kein dedizierter Sicherheitsexperte aber beschäftige mich seit fast 20 Jahren mit PCs, Windows, Programmierung (auch systemnah) und vielen Bereichen rund um dieses Themenfeld. Seit einigen Jahren - Grundsätzliches - Laufendes System untersuchen sinnvoll?...
Archiv
Du betrachtest: Grundsätzliches - Laufendes System untersuchen sinnvoll? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.