1 / 15

Malware austricksen I

Malware austricksen I. Bisher vorgestellte Tools, Techniken und Vorgehensweisen zielten darauf ab, Malware an der Verbreitung und/oder am Anrichten von Schaden (sei es finanziell, bzgl. Maschi-nenverfügbarkeit oder -beschädigung oder durch Ressourcen-verbrauch) zu hindern.

vian
Download Presentation

Malware austricksen I

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Malware austricksen I Bisher vorgestellte Tools, Techniken und Vorgehensweisen zielten darauf ab, Malware an der Verbreitung und/oder am Anrichten von Schaden (sei es finanziell, bzgl. Maschi-nenverfügbarkeit oder -beschädigung oder durch Ressourcen-verbrauch) zu hindern.

  2. Malware austricksen II Ein weiterer, eigentlich sogar eleganterer Weg ist, von Anfang an Bedingungen zu schaffen, die beliebiger Malware das Anrichten von Schäden dadurch unmöglich macht, dass diese Schäden schlicht so gut wie keine Auswirkungen mehr haben. Wie kann man das erreichen? Durch Virtualisierung! (Die selbe Technik, die auch die besten Rootkits zu ihrer Tarnung einsetzen)

  3. Malware austricksen III Was ist Virtualisierung? Virtualisierung ist die Bezeichnung für das Abbilden von kompletten Rechnern incl. vieler Peripherie in Software. Einen virtualisierten Rechner bezeichnet man als Gast (bzw. englisch guest) auf dem realen System, das ihn und die darunter liegende Virtualisierungssoftware ausführt

  4. Malware austricksen IV Was ist Virtualisierung? II Der einen oder mehrere guests ausführende Rechner wird als Gastgeber bzw. (Virtualisierungs-) Host bezeichnet. Auf ihm sind der Gast oder die Gäste als normale Dateien gespeichert, also auch (von ihrer Größe abgesehen) leicht und schnell kopierbar.

  5. Malware austricksen V Was nützt Virtualisierung gegen Malware? Der Gast bzw. die Gäste können (außer bei fehlerhafter Virtualisierungssoftware) nicht unerlaubt auf die Ressourcen des Hosts zugreifen und es ist möglich, nur den Gast/die Gäste mit Netzzugriff auszustatten  Host bleibt sauber Bei Verdacht auf Infektion des Gastes diesen löschen und die saubere Kopie neu einspielen.

  6. Malware austricksen VI Virtualisierer gibt es mittlerweile viele, die erste (kommerziell) erfolgreiche Software dieser Art wurde vom Unternehmen VMWare programmiert. Von VMWare gibt es seit geraumer Zeit auch eine im Funktionsumfang reduzierte, aber dafür für den Privatgebrauch kostenlose Version, den VMWare Player.

  7. Malware austricksen VII Der VMWare Player kann nach einer Registrie-rung unter www.vmware .com heruntergela-den werden, aktuell ist Version 4.0.3 Sein Name ist ein wenig irreführend, denn es ist möglich mit ihm auch neue, eigene virtuelle Maschinen zu generieren. Als Hostsysteme eignen sich alle Windows-versionen ab incl. XP sowie alle modernen Linuxdistributionen.

  8. Malware austricksen VIII Als Gäste eignen sich ebenso die als Hosts geeigneten Systeme sowie bereits die letzten DOS-Versionen und alle Windows-Versionen ab 95 und die Linux-Versionen aus den letzten 10 Jahren. Nach der Aufzählung dieser positiven Eigen-schaften sollen auch diverse Nachteile bzw. Einschränkungen angesprochen werden.

  9. Malware austricksen IX • Speicherbedarf: allerunterste Grenze für erträgliches Arbeiten ist auf einem Windows-XP-Host 2 GB RAM, was für den Host (1 GB Speicher sollte ihm immer erhalten bleiben) und einen Gast (mit 512 MB) knapp ausreicht • CPU/Prozessor: Pentium 4 (Intel) bzw. Athlon XP (AMD) mit mindestens 2,5 GHz oder neuer; Mehrkern-CPUs der letzten vier bis fünf Jahre reichen generell für allgemeine Zwecke aus

  10. Malware austricksen X • Plattenplatz (als Datei auf dem Host abgelegt): nach Bedarf bzw. persönlichem Geschmack; für ein Linux reichen im allgemeinen 20 GB aus, für die diversen Windows-Varianten evtl. einiges mehr • Generell: nicht mehr RAM zuweisen, als physisch vorhanden ist und möglichst nicht mehr CPU(-Kerne) nutzen als das System hat

  11. VMWare Player – ein Überblick I • Linker Bereich des Startfensters zeigt die vorhandenen virtuellen Maschinen (VMs) an • File/Datei bietet Möglichkeiten zum „Bauen“ einer neuen (mittels DVD/CD und Host-Laufwerk oder ISO-Datei) oder Öffnen einer vorhandenen VM; Importieren von evtl. bekannten anderen VM-Formaten, Herunterladen fertiger VMs und diverse Verhaltenseinstellungen passieren ebenso hier

  12. VMWare Player – ein Überblick II Virtual Machine Settings enthält die bei der Erzeugung einer VM angegebenen Einstellungen für Speicher, CPU-Anzahl, HD-Platz, optisches Laufwerk (Hardware des Hosts oder ISO-Datei) und Floppy/Diskette. Network Adapter lässt sich zwischen „Bridged“ und „NAT“ auswählen, wobei die erste Einstellung dem Gast eine vom Host unabhängige Netzverbindung erlaubt.

  13. VMWare Player – ein Überblick III Die Einstellung „NAT“ (Network Address Translation) bewirkt ein Einklinken der VM in die Netzverbindung des Hosts (also Host aus dem Netz  VM aus dem Netz!) Die eingestellten Daten für USB Controller, Sound Card, Printer und Display brauchen normalerweise nicht geändert zu werden.

  14. VMWare Player – ein Überblick IV Removable Devices bietet einen Überblick über die von der aktuellen VM aus erreich-baren Geräte (üblicherweise per USB ange-schlossen, USB 3.0 wird unterstützt ab V4). Dies dient wie sonst auch dem Datenaus-tausch (anfangs auch mit dem Host, mittler-weile wird Kopieren und Einfügen Host -> VM und VM -> Host unterstützt) und der Sicherung.

  15. VMWare Player – ein Überblick V Power bietet Play VM, was die gewählte VM startet, Reset bewirkt einen Neustart der VM (wie das Drücken des entsprechenden Knopfs an einem echten Rechner), Suspend friert den augenblicklichen Zustand der VM ein (Start bzw. Resume geht danach schneller) und Power Off beendet die aktuelle VM.

More Related