Software testen - Umgebung - Fragen - Rootkits - vmware

[Angelika]

Hallo,

Ich möchte umfangreich Software testen, ohne mein System zu zerschießen.

Ideal wäre dafür natürlich ein eigener Rechner, den man immer wieder platt machen könnte.

Sandboxie hält Schadsoftware nicht 100 prozentig in der Box.

Daher suche ich alternative Programme und Möglichkeiten.

Ich starte das Setup Beispiel.exe.

(1)
Welche Software zeigt an, auf welcher Festplatte (Partition) das gestartete Programm Beispiel.exe etwas schreibt?

(2)
Welche Software protokolliert, *was* das gestartete Programm Beispiel.exe auf Partition X der Festplatte Y schreiben möchte? Jeder Versuch soll jedoch unterbunden oder zumindest später rückgängig gemacht werden.

Gleiche Frage gilt für den Zugriff auf die Registry - es soll zwar protokolliert werden, was geschrieben werden soll, aber es soll nicht wirklich geschrieben bzw. später rückgängig gemacht werden.

(3)
Wenn man ein Image (Acronis) von der Systemfestplatte (C:\) und der Windowsfestplatte (zum Beispiel D:\) anlegt und diese beiden Images nach umfangreichen Tests zurück spielen würde, würden damit eventuell installierte Rootkits überspielt werden oder gibt es mittlerweile Rootkits, die gegen diese Maßnahmen resistent sind?

Gibt es inzwischen Schadsoftware, die noch schwerer als Rootkits aufzuspüren ist?

(4)
Der Versuch mit VMware 7 unter Windows XP (4 GB RAM - 3,25 GB) zeigte, dass die Geschwindigkeit in der VMware signifikant sank (um nicht zu sagen, unerträglich langsam wurde). Es liefen keine anderen speicherintensiven Programme und Anwendungen.


vmware-Gastsystem
(Windows XP, 2 GB RAM, 2 von 4 CPU von Intel Quad Q9550 2,83 GHz, 20 GB Speicher auf einer SATA Festplatte)

(4 a)
Mit welchem einfachen Benchmark-Programm kann man in einer VMware und auf dem "normalen" PC die für Softwaretests relevanten Geschwindigkeiten messen (Installation des Setups, Ausführungsgeschwindigkeit von Programmen, Festplattengeschwindigkeit)?

(4 b)
Wie lässt sich die Geschwindigkeit in einer VMware steigern?
(außer über neue Hardware)

(4 c)
Welche Computerkomponenten wären heute im erschwinglichen Rahmen für eine VMware Umgebung sinnvoll, wenn man einen kompletten neuen Computer dafür zusammenstellen möchte? Auf dem Computer soll nicht gespielt werden (auch keine Bildbearbeitung, keine Videobearbeitung) etc., es sollen ausschließlich Programme sehr schnell installiert, getestet und wieder runter geworfen werden können.

(5)
Gibt es bereits die Möglichkeit, Windows XP bzw. Windows 7 auf einer USB 3.0 Festplatte zu installieren und dort zu starten, so dass das eigentliche System auf dem Computer davon getrennt ist?
Ich vermute, das könnte in Richtung "Booten von der USB-Festplatte" gehen.

(6)
Welche weiteren Alternativen gibt es, um Software in einer abgesicherten Umgebung zu testen, ohne das eigene System zu gefährden?

Danke
Angelika

[octopussy]

(6)Dazu fällt mir nur ein: Ein vollständig isoliertes System und Process Explorer, welcher während der Installation loggt.

[adhome]

Du kannst ein Backup machen und es nach den Versuch zurück spielen.
Alternativ gibts Programme die dein System zurücksetzen.

Dann gibts noch Windows PE und Linux boot CDs. Nur dort haste kein ganzes System.

[DrSnuggles]

Zitat:

Zitat von Angelika

Ich möchte umfangreich Software testen, ohne mein System zu zerschießen.

Kannst du in einer VM nicht, da viel Schadsoftware VMs erkennt und sich anders verhält.

Rechner per Netzwerk booten und automatisch mit frischem Image versehen.

Zitat:

Zitat von Angelika

Wenn man ein Image (Acronis) von der Systemfestplatte (C:\) und der Windowsfestplatte (zum Beispiel D:\) anlegt und diese beiden Images nach umfangreichen Tests zurück spielen würde, würden damit eventuell installierte Rootkits überspielt werden oder gibt es mittlerweile Rootkits, die gegen diese Maßnahmen resistent sind?

BIOS-Rootkits sind nur rein akademisch.

Zitat:

Zitat von Angelika

(4)
Der Versuch mit VMware 7 unter Windows XP (4 GB RAM - 3,25 GB) zeigte, dass die Geschwindigkeit in der VMware signifikant sank (um nicht zu sagen, unerträglich langsam wurde). Es liefen keine anderen speicherintensiven Programme und Anwendungen.

Wenn du was ausführst? Videoencoding? Normale Software läuft für einen Benutzer normalerweise nicht spürbar(!) langsamer.

Zitat:

Zitat von Angelika

vmware-Gastsystem
(Windows XP, 2 GB RAM, 2 von 4 CPU von Intel Quad Q9550 2,83 GHz, 20 GB Speicher auf einer SATA Festplatte)

Separate Platte für VMware verwenden!

Zitat:

Zitat von Angelika

Wie lässt sich die Geschwindigkeit in einer VMware steigern?

Garnicht. Meinst du VMs werden künstlich gebremst?

Zitat:

Zitat von Angelika

(4 c)
Welche Computerkomponenten wären heute im erschwinglichen Rahmen für eine VMware Umgebung sinnvoll, wenn man einen kompletten neuen Computer dafür zusammenstellen möchte? Auf dem Computer soll nicht gespielt werden (auch keine Bildbearbeitung, keine Videobearbeitung) etc., es sollen ausschließlich Programme sehr schnell installiert, getestet und wieder runter geworfen werden können.

4-6 Kerne (im Serverbereich (ESX) auch mehr), viel RAM, SSDs

Zitat:

(5)
Gibt es bereits die Möglichkeit, Windows XP bzw. Windows 7 auf einer USB 3.0 Festplatte zu installieren und dort zu starten, so dass das eigentliche System auf dem Computer davon getrennt ist?
Ich vermute, das könnte in Richtung "Booten von der USB-Festplatte" gehen.

Booten von USB geht bei Windows 7, aber USB 3 kannst du knicken, weil es noch kein BIOS gibt was das kann. USB 3 sind immer Zusatzchips

Zitat:

Welche weiteren Alternativen gibt es, um Software in einer abgesicherten Umgebung zu testen, ohne das eigene System zu gefährden?

siehe oben

[Antitrack]

(6) Eine relativ gut abgesicherte "Gastumgebung" ist noch immer der Gastbenutzer unter Windows XP.
Nur wird sich eine Malware dann auch anders verhalten, klarerweise.

[sterin]

Was für eine Art Software soll denn eigentlich getestet werden und was soll das Ergebnis der Tests sein?

/sterin

[Brummelchen]

Zitat:

Sandboxie hält Schadsoftware nicht 100 prozentig in der Box.

Diese These begründest du als unbedarfter Benutzer wie?

Ansonsten spreche ich dir jegliche Fähigkeit ab, irgendwas mit deinem Laienauge erkennen
zu können, dafür hast du genügend Beispiele hier im Forum abgegeben. Ebenso zeugt dein
Fragenkatalog, dass du blutiger Anfänger bist.

Ansonsten siehe sterin!

PS Booten von USB ist möglich, aber gerade wegen USB die schlechteste Option, egal ob 2 oder 3.

[DrSnuggles]

Zitat:

Zitat von Brummelchen

Diese These begründest du als unbedarfter Benutzer wie?

Das ist eine triviale Festellung. Könnte Sandboxie alles virtualisieren wäre es VMware mit einem darin installierten Windows.

Sandboxie kann nicht alle Syscalls abfangen und schon garnicht wilde Speichermaniupulationen im RAM verhindern.

[Angelika]

Zitat:

Zitat von sterin

Was für eine Art Software soll denn eigentlich getestet werden und was soll das Ergebnis der Tests sein?
/sterin

Im Ergebnis möchte ich Software nur dann in meiner Arbeitsumgebung installieren, wenn ich mir weitgehenst sicher sein kann, dass sie keinen Schadcode enthält.

Klar fehlen mir dazu noch einige Kenntnisse - die werde ich mir mit der Zeit (und Hilfe jener die helfen möchten) bestimmt aneignen können.

Danke für Eure Tipps und allen einen guten Rutsch ins Jahr 2012
Angelika

[sterin]

Zitat:

Zitat von Angelika

Im Ergebnis möchte ich Software nur dann in meiner Arbeitsumgebung installieren, wenn ich mir weitgehenst sicher sein kann, dass sie keinen Schadcode enthält.

Das sollte dann IMHO aber schon aus Spaß an der Freud und aus Lerninteresse sein, denn Malwareanalyse ist keine "triviale" Tätigkeit, wie DrSnuggles vielleicht sagen würde. Der Zeitaufwand und der Sicherheitsgewinn werden sich da kaum in ein ökonomisches Verhältnis bringen lassen.

100%ige Sicherheit dass Software keinen Schadcode enthält gibt es einerseits sowieso nicht, es sei dann Du hast ein Zeit-und Kompetenzkontigent zur Verfügung dass dem bei der Entwicklung der Software aufgewendeten nahe kommt. Andererseits bringt ganz banal nur verbreitete Software aus möglichst vertrauenswürdiger Quelle installieren schon mal einiges an Sicherheit ohne dass man selbst irgendwas testet.
Am Anfang einer langen Lernkurve "enttarnst" Du mit Hauskenntnissen und Hausmitteln, würde ich fürchten, erstmal recht lange nur sehr sehr einfach gestrickte Malware.

Grüße
/sterin

[Brummelchen]

Ich werf mal Anibus in den Raum für die erste Schritte
http://anubis.iseclab.org/

[MegaDeath]

Ich würde regelmäßig Backups machen, und wenn man irgend einen verdacht hat schaut man mit Filemon und Regmon mal etwas genauer nach.

Und natürlich nicht jeden scheiß installieren vorher überlegen ob man das überhaupt braucht, und nach möglichkeit aus einigermaßen vertrauenswürdigen quellen.

Ansonsten kann man die Freizeit sicherlich sinnvoller gestalten als irgendwelchen Paranoia nachzujagen

[DrSnuggles]

Filemon und Regmon sind über 3 Jahre veraltet ...
Process Monitor

[MegaDeath]

Laß mich raten, das letzte Update war vor 3 Jahren

Ich finde die Bedienung der beiden Programme nicht schlecht aber kann gut sein das der Process Monitor besser ist werde ich mir auch mal etwas genauer ansehen.

[Brummelchen]

Besser nicht zwingend, aber da aktueller, bekommt PM wohl mehr mit.
Buttons zur Trennung der einzelnen Abteilungen (Reg/File/etc) sind vorhanden.

[DrSnuggles]

deutlich beser ...

[MegaDeath]

Mußte ich erstmal suchen wo ich die Schnüffelei auf ein Programm begrenzen kann

Funktioniert gut, ist im Prinzip die beiden Programme in eines zusammengefaßt.