Natürlich ist das schon passiert, dass ein richtiger Virus (Virut) das eigentliche OS infiziert hat, aber das sind Bugs die wieder behoben wurden, aber diese Fälle sind recht selten. Allerdings ganz gefahrlos würde ich das nicht ausprobieren vor allem bei einem File Infector. Am Besten du nimmst einen alten PC, den du sowieso nicht brauchst, das ist am sichersten. Stellt auch die Situation einer Infektion am realistischsten nach (keine VM Umgebung => keine VM kann erkannt werden).

Ich sehe die ein Bisschen anders:
Es ist theoretisch nicht schwer für eine Malware zu erkennen, ob sie in einer VM-Ware-Umgebung läuft oder nicht.

Es gibt Lücken und Wege um von VM-Ware auf den Host zu kommen.

Nur will eine "normale" Malware dies? Rentiert es sich für eine 08/15-Malware, dies abzufragen, auf eventuelle bzw. eventuell unbehobene Lücken zu hoffen bzw. darauf programmiert zu werden? Ich glaube eher nicht. Jede zusätzliche Routine macht jedes Programm größer (auffälliger, mehr Erkennungsmöglichkeiten), hebt die Fehlerwahrscheinlichkeit, dies gilt auch für Malware (und natürlich sind auch Malware-Programmierer nicht klüger als andere Programmierer und wollen halt auch noch mal was draufpacken). Also in der echten Praxis dürfte die Wahrscheinlichkeit eher niedrig sein, aber auch dabei sollte man trotzdem Vernunft walten lassen. Wildes Rumexperimentieren auf normal genutzten PCs ist auch mit VM-Ware oder ähnlichem ein Unding. VM-Ware sollte hier nur zur besseren Beobachtungsfähigkeit und zum schnelleren Wiederherstellen dienen, das Hostsystem hat in einem solchem Szenario nichts anderes zu sein, als eine Basis für die Experimente. Kein Produktivsystem.

Wegen der Lücken in Vmware Workstation gibt es auch dort Updates, wobei das allerdings auf die Installation einer neuen Version hinausläuft. Mir ist noch kein Fall begegnet, in dem das wirklich probiert wurde.

Die Erkennung ob eine Software auf einem virtuellen oder einem echten Computer läuft, ist sehr einfach. Ein beachtlicher Teil Malware macht das unterdessen und zeigt abhängig vom Ergebnis unterschiedliche Verhaltensweisen. Solche Fälle habe ich schon eine ganze Menge live gesehen. Da hilft dann ein richtiger PC. Kann irgendein geschenkter Uraltrechner sein, solange das Betriebssystem noch drauf starten kann. Kein Trojaner erwartet bisher einen Quad-Code-Prozessor.

Zitat:

Zitat von KarlKarl

Ein beachtlicher Teil Malware macht das unterdessen und zeigt abhängig vom Ergebnis unterschiedliche Verhaltensweisen. .... Da hilft dann ein richtiger PC.

Dem kann ich nur zustimmen.

Zitat:

Zitat von Heike

Dem kann ich nur zustimmen.

Und das ist für solche Programme logischer und verständlicher Selbstschutz.
Wer liegt schon gerne auf dem Seziertisch.

Zitat:

Zitat von cronos

Wer liegt schon gerne auf dem Seziertisch.

Hmmm wie praktisch
Surfe in einer VM und Dir kann nix passieren, da die richtig fiesen Schädlinge eine VM erkennen und ihr Schadpotential nicht voll ausschöpfen werden...

Zitat:

Zitat von cronos

Wer liegt schon gerne auf dem Seziertisch.

Eben, vielleicht ist es ja auch so:
1) netter Crack, infiziert, wie oftmals
2) etwas mißtrauischer User, checkt das File erst mal auf ner VM
3) Ergebnis: Glück gehabt, Crack geht und ist clean
4) Programm auf dem richtigen PC installiert und Crack benutzt
5) owned

Ok besten Dank für die Beiträge.

Werde es nun mal so versuchen: VM mit Win 7 und noch eine VM drin mit Win XP - VM's einfach verschachtelt - denke so kommt keiner durch.. Hoffe es mal - sonst werde ich es schreiben, eigentlich habe ich doch dafür ein sicheres Win 7

Es muss sich ja nicht immer um Passwörter handeln es können ja auch sensible Daten sein die niemand anderes sehen soll solche könnte man dann auch z.b. mit True Crypt verschlüsseln.
Aber das wichtigste wurde eigentlich schon gesagt

Zitat:

Zitat von Jig Saw

Allerdings ganz gefahrlos würde ich das nicht ausprobieren [...]. Am Besten du nimmst einen alten PC, den du sowieso nicht brauchst, das ist am sichersten.

Zitat:

mit True Crypt verschlüsseln

wenn man geowned ist und die Daten gemoutet werden besteht auch darauf Remotezugriff.

wie sagte ich: geowned ist geowned.