Malware "einkasten" und beobachten
 

nabend! und hallo!,
in meinem ersten post muss ich gleich mal eine frage stellen.. :)

und zwar suche ich nach einer möglichkeit unter linux, mit einem emulierten systhem (windows)( evtl "VirtualBox"!???), mögliche malware genauer zu beobachten,..

was dabei interessant wäre:

• welche verbindungen werden aufgebaut (verbindung sollte jedoch verhindert werden)
• auf welche prozesse wird zugegriffen
• und welche dateien werden verändert bzw erstellt

ich benutze ubunt feisty....

es wär sehr nett wenn ihr mir darüber etwas sagen könntet!

Hallo.

Was du brauchst ist eine virtuelle Maschine. Du bräuchtest also sowas wie z.B. VMWare, um unter Linux eine virtuelle Windows-Maschine zu erstellen.

Diese Vorhaben um Malware genauer zu beobachten ist prinzipiell eine gute Idee. Ich hab aber schon gehört, dass manche Schädlinge eine VM erkennen und dort ggf. keine Schadroutinen ausführen.

Was genau willst du dazu denn wissen? Wie man das beobachten kann?

danke für die schnelle antwort!
ja genau!, muss man dabei auf windowsprogramme zurückgreifen die man ebenfals in der virtual maschine laufen lässt? oder gibt es da elegantere lösungen?

Hm...also nach meinem Verständnis hat das Host-OS (Linux in deinem Fall) keinen direkten Zugriff auf das Dateisystem des virtuellen Windows - es liegt ja in einer Datei auf der Festplatte vor.
Ich schätze, du musst das System dann auch von der VM aus analysieren.

Link

Dazu benötigst Du einen Datenträger für das zu installierende OS haben.

Have Fun!

Hi,

ich mache sowas öfters. In Vmware, allerdings läuft das auf einem Windowssystem.

Den Netzwerktraffic kann man überwachen, indem man auf dem Hostsystem ein entsprechendes Programm, z.B. Wireshark laufen lässt, das ihn komplett aufzeichnet. Denkbar ist es auch, an das virtuelle Netz eine VM anzuschließen, die das Netz "snifft", da diese nicht als Switch, sondern als Hub arbeiten.

Dabei heißt es aber aufpassen, es darf z.B. nicht passieren, dass dein Versuchssystem Spam versendet oder Angriffe im Netz startet. Deshalb benutze ich mehrere VMs: auf einer läuft ein Linux-Router, der die Verbindung nach draußen hat. Hinter ihm liegen dann an einem Vmware-internen Netzwerk die eigentlichen Versuchssysteme. Damit kann ich auf dem Linux-Router alle unerwünschten Sachen blocken, dabei werden sie gelogt, so dass ich von ihnen erfahren kann.

Zugriffe auf Prozesse innerhalb des Versuchssystems zu ermitteln, kann Schwierigkeiten machen, da kannst Du eigentlich nur die Programme benutzen, wie man sie auch auf einem "normalen" Computer einsetzen würde. Manche Firewalls haben da Möglichkeiten, dann gibt es Processguard, Winpooch und natürlich noch eine Menge mehr. Problem bei all dieser Software ist aber, dass sie auf dem Versuchssystem selber läuft, man daher nie genau wissen kann, wie eventuell auf sie eingewirkt wird und was sie vielleicht nicht bemerkt, weil z.B. ein Rootkit im Spiel ist.

Die Dateien gehe ich meistens so an, dass ich das Versuchssystem mit einer Live-CD starte und von der aus den kompletten Inhalt des Dateisystems in ein Log schreibe. Am besten auch mit Prüfsummen, dann dauert es aber natürlich wesentlich länger. Nach dem Versuch das wiederholen und dann vergleichen. Von BartPE aus kann man auch die nicht aktive Registry laden und exportieren, so dass auch die verglichen werden kann. Sowohl bei Registry als auch Dateisystem gibt es natürlich viele Veränderungen, die nicht auf die Malware zurückzuführen sind.

Gruß, Karl

Hallo,

mein Freund hat Linux und macht das auch manchmal bei Trojanern. Er benutzt "Virtual Box", soweit ich weiß. Besonders Spaß macht ihm, mit diversen Netzwerk-Sniffern Pakete zu manipulieren, oderso. XD

Wie dem auch sei, Du bekommst bestimmt irgendwas zustande. Viel Spaß. ^_^

Kann man eigentlich in einer VMWare nochmal eine Vmware öffnen/starten?

Beispiel: Ich hab auf Windows über VMWare Linux laufen...kann ich dann auf diese Version beispielsweiße "VirtualBox" installiern und darüber dann noch nen Betriebssystem laufen lassen?

Ja, das geht, das Ergebnis ist aber eher Kontraproduktiv.