Virtuelle Maschine zur Erkennung von Schadsoftware

haiopai

Lt. Commander
Registriert
Juli 2009
Beiträge
1.269
Hallo, eine Frage ans Forum,

gibt es einen gewissen Schutz, wenn ich z.b Software/Dateien auf fragwürdigen Quellen erst in einer Virtuellen Maschine (Win10) entpacke/installiere, und auf Schad Software prüfen lasse, oder ist im Falle einer Schadsoftware auch direkt das Native System betroffen?

Ich hoffe ich konnte es halbwegs verständlich ausdrücken.

Vielen Dank
 
Kommt auf die Schadsoftware an. Es ist sicherlich ein besserer Ansatz als es auf deinem Hauptsystem zu entpacken.
 
  • Gefällt mir
Reaktionen: madmax2010
Rein vom Enpacken kannst Du Dir nichts holen.

Es bringt also nichts.

Falls es um die Installation von Software aus dubiosen Quellen geht, da hast Du immer ein Risiko.
 
geht ja ums entpacken und installieren bzw ausführen,
was wäre denn ein besserer schutz?
 
Aus einer VM ausbrechen ist theoretisch möglich, aber nur über Exploits, die nicht für gewöhnliche Angriffe verbrannt werden, sondern wenn überhaupt im Enterprise- und Serverumfeld zum Einsatz kommen.

Es gibt allerdings Viren, die erkennen, das sie gerade in einer virtualisierten Umgebung laufen (viele Antiviren-Lösungen arbeiten ja heute mit Sandboxes, die sowas ähnliches sind) und machen dann gar nichts. Oder sie schlafen generell erstmal für einige Tage. Oder du erkennst halt gar nicht, was sie im Hintergrund überhaupt machen.

Also ja, es hilft schon, aber manuell einen Virus erkennen ist schwer. Schaden tuts aber natürlich auch nicht, erstmal zu gucken, was die Software tut.
 
  • Gefällt mir
Reaktionen: xexex und Bob.Dig
Schadsoftware ist so vielschichtig wie ihre Angriffsziele und -vektoren. Sie kann Systemdateien angreifen, Backdoors einrichten oder versuchen andere Systeme über das Netzwerk zu infizieren.

Die einzig valide Antwort auf die Frage wie man mit Software aus fragwürdigen Quellen umgehen sollte ist also ganz einfach: Gar nicht erst runterladen.
 
  • Gefällt mir
Reaktionen: wesch2000, proserpinus, madmax2010 und eine weitere Person
haiopai schrieb:
was wäre denn ein besserer schutz?
Keine fragwürdige Software ausführen. Sorry aber viel mehr kann man da leider tatsächlich nicht empfehlen. Außer ggf. die Software immer in der VM laufen zu lassen, wenns denn unbedingt nötig ist.
 
  • Gefällt mir
Reaktionen: Cris-Cros und Kleiner69
haiopai schrieb:
gibt es einen gewissen Schutz
Es ist definitiv sicherer als auf dem Hauptsystem, klar.
Aber drauf verlassen würde ich mich nicht. Rein theoretisch kann sie natürlich ausbrechen und im schlimmsten Fall durchs Netzwerk wandern.
Wenn man sich den Spaß gönnen will, dann am Besten einen eigene PC dafür nutzen. Und dann am Besten auch alle Geräte im Netzwerk abklemmen, damit die nicht erreicht werden können.
Das der Virus dann den Router befällt, natürlich nicht unmöglich, aber doch sehr unwahrscheinlich.
Nur garantieren kann das natürlich auch niemand.
 
  • Gefällt mir
Reaktionen: Raijin und madmax2010
Schau dir mal die Windows Sandbox an. Die ist genau für sowas gedacht:

2023-11-28 10_41_19-Windows-Features.png
 
Installation in der VM bietet nicht unbedingt Aufschluß. Gibt Schädlinge, die erkennen die virtuelle Umgebung und halten die Füße still. Werden sie dann, da man annimmt es wäre sicher, auf einem physischen System installiert, ist die Bescherung da.
 
Sagen wir es mal so: der Vorab-Test eines unbekannten Programms (bzw. einer neuen Version) in einer VM ist nie ganz ganz verkehrt. Es geht ja nicht bloß nur um das Malware-Risiko, sondern auch darum, ob das Programm das leistet, was man sich davon verspricht. Möglicherweise aber lautet das Test-Fazit: "Nee, ist nicht das Wahre". Dann setzt man die VM einfach auf den letzten Sicherungspunkt zurück (oder löscht sie ganz). Während man auf dem nativen System das Programm explizit deinstallieren muß - und nie wirklich sicher sein kann, ob es nicht doch irgendwo irgendwelchen schädlichen Kram hinterlassen hat.
 
haiopai schrieb:
gibt es einen gewissen Schutz, wenn ich z.b Software/Dateien auf fragwürdigen Quellen erst in einer Virtuellen Maschine (Win10) entpacke/installiere, und auf Schad Software prüfen lasse, oder ist im Falle einer Schadsoftware auch direkt das Native System betroffen?
Für mich stellen sich dabei folgende Fragen auf:
  • Wieso will man unbedingt Software/Dateien aus fragwürdigen Quellen installieren? -> auf diese Frage gibt es nur eine Antwort, die man für sich beantworten kann. Ansonsten gibt's keine fragwürdigen Quellen.
  • Woran machst du am Ende die Entscheidung, dass die Software aus fragwürdiger Quellen doch ok ist und man es woanders installieren kann, fest?
 
  • Gefällt mir
Reaktionen: Raijin
oicfar schrieb:
Für mich stellen sich dabei folgende Fragen auf:
erstens, was geht dich das an, was ich mit meinem Computer mache, und warum wieso weshalb?
Wie lautet denn deine eine Antwort?
Meine Antwort dazu:

Jeder hat doch diesen Freund, der sich nicht allzu viele Gedanken um dieses Thema macht, und alles aus dem Netz zieht was er finden kann. Nun wenn ich jetzt Dateien von Ihm bekomme (z.b Per mail oder über USB) auch wenn's bloß eigens aufgenommene Bilder sind, die waren ja auf seinem Rechner, und sind u.U als zip oder 7z.exe verpackt.

Wie kann ich sicher gehen, dass ich mir da keine Seuche auf den PC hole? ggf befindet sich ja noch etwas auf der Platte oder hat sich beim Packen mit ins Archiv geschlichen.

zu deiner zweiten Frage:
Wenn das System keine Anomalien zeigt, und ein Scan des gesamten Systems auch keine fragwürdigen Dateien findet. Einen 100%igen Schutz gibt es nicht, das ist klar, ich dacht wenn ich erst alles in eine VM packe hab ich schonmal etwas getan.

Hilft dir das jetzt weiter? oder Ändert das irgendetwas an der Hilfestellung und Aufklärung in diesen Thema?
 
haiopai schrieb:
erstens, was geht dich das an, was ich mit meinem Computer mache, und warum wieso weshalb?
Mir ist wurscht, was man mit seiner Hardware anstellt. Es war eine theoretische Frage. ;)
haiopai schrieb:
Wie lautet denn deine eine Antwort?
Den Use-Case wie du beschrieben hast, habe ich nicht. Deswegen habe ich mir die Frage nie gestellt.
haiopai schrieb:
Meine Antwort dazu:

Jeder hat doch diesen Freund, der sich nicht allzu viele Gedanken um dieses Thema macht, und alles aus dem Netz zieht was er finden kann. Nun wenn ich jetzt Dateien von Ihm bekomme (z.b Per mail oder über USB) auch wenn's bloß eigens aufgenommene Bilder sind, die waren ja auf seinem Rechner, und sind u.U als zip oder 7z.exe verpackt.
Ja, kenne ich. Aber ob man so was aufmacht oder löscht, muss jeder für sich entscheiden. Ich habe so was nie aufgemacht.
haiopai schrieb:
Wie kann ich sicher gehen, dass ich mir da keine Seuche auf den PC hole? ggf befindet sich ja noch etwas auf der Platte oder hat sich beim Packen mit ins Archiv geschlichen.
Sicher kann man sich nie sein. Aber sobald man "unbekannte" Dateien öffnet, kann man ein Problem bekommen. So war es schon immer und es wird so bleiben.
haiopai schrieb:
zu deiner zweiten Frage:
Wenn das System keine Anomalien zeigt, und ein Scan des gesamten Systems auch keine fragwürdigen Dateien findet.
Eine Anomalie kann auch viel später in Erscheinung treten. Deswegen ist dieses Vorgehen auch schwierig.
haiopai schrieb:
Einen 100%igen Schutz gibt es nicht, das ist klar, ich dacht wenn ich erst alles in eine VM packe hab ich schonmal etwas getan.

Hilft dir das jetzt weiter? oder Ändert das irgendetwas an der Hilfestellung und Aufklärung in diesen Thema?
Ich habe auch schon mal auf meiner Proxmox Umgebung mir die eine oder oder andere VM installiert um paar Tools auszuprobieren. Hier ging es um auszuprobieren und nicht um sicher zu sein, dass sie befallen sind. Ich persönlich würde es mir schwer tun entscheiden zu müssen, dass die Software ok ist und ich diese auf meinem richtigen System installiere.

Ich hatte auch schon mal den Fall, dass ich ein Open-Source Tool (von GitHub) installieren wollte und Windows Defender eingeschlagen ist. In dem Fall schickte ich die Datei zusätzlich zum Online Check. Auch bei einem Steam Steam hatte ich mal den Fall, dass Windows Defender die Datei löschte. Am Ende war alles ein False-Flag.
Ergänzung ()

Proxmox kann ich hier sehr empfehlen. Ich nutze es nur für Linux VMs. Dann habe ich paar Templates und kann mir so schnell eine neue TestVM aufsetzen ohne den ganzen Setup durchlaufen zu müssen. Mit Hilfe von Terraform und Coder kann man so was auch automatisieren. Spart an der Stelle Zeit.
 
Das alleinige Anschließen eines Datenträgers führt schon lange nicht mehr zu einer Infektion des Rechners. Zumindest nicht bei 99% aller aktiven Malware.

Auch Malware in zip oder 7z wird nicht von alleine aktiv. Kannst du per virustotal vor dem entpacken scannen lassen.
 
Zurück
Oben