allgemein zu viren
-
Ich hab mal gehört es soll auch Viren geben die aus einer Sandbox ausbrechen können ...
-
@_°/° schrieb:
Ich hab mal gehört es soll auch Viren geben die aus einer Sandbox ausbrechen können ...
Rein Theoretisch: Aus einer 100% virtualisierten Maschine könnte ich mir nicht vorstellen wie das gehen soll. Dort ist die VM ja das komplette universum welche der Virus zu sehen bekommen. Problematisch wirds erst dann wenn man anfängt wegen Performance gewisse Funktionen wirklich auf den Darunterliegenden Rechner auszuführen (Sozusagen schwarze Löcher im Universum die auf die echte Welt zeigen), dort könnte man dann wohl ansetzen um Code auch auf den echten System auszuführen. Das ist jetzt der Theoretische Fall, praktisch ist eine VM auch nur ein stück Software und Software ist selten Bugfrei. In beiden Fällen müsste aber der Virus wohl speziell darauf programmiert sein aus einer VM auszubrechen und dazu noch herausfinden das er in einer VM läuft und in welcher. Alles in allen ggf vielleicht nicht unlösbar (dafür kenne ich mich zu wenig mit VM's aus) aber wohl auch nicht gerade Trivial. Obwohl ich mir bei wirklich guter Virtualisierung schon vorstellen kann das man nichmal mitkriegt das man in einer Sandbox läuft.
-
Ein virtuelles System und Programme wie Sandboxie sind zwei unterschiedliche paar Schuhe.
-
Fedaykin schrieb:
In beiden Fällen müsste aber der Virus wohl speziell darauf programmiert sein aus einer VM auszubrechen und dazu noch herausfinden das er in einer VM läuft und in welcher.
Dass man in einer VM läuft ist sehr einfach herauszufinden, denn normalerweise werden VMs nicht mit dem Ziel entwickelt, die Virtualisierung undetektierbar zu machen.
-
Christoph schrieb:
Fedaykin schrieb:
In beiden Fällen müsste aber der Virus wohl speziell darauf programmiert sein aus einer VM auszubrechen und dazu noch herausfinden das er in einer VM läuft und in welcher.
Dass man in einer VM läuft ist sehr einfach herauszufinden, denn normalerweise werden VMs nicht mit dem Ziel entwickelt, die Virtualisierung undetektierbar zu machen.
-
VM-detection kann trivial sein - man denke nur an die typischen Grafikadapter für VMs.
Die API von VMWare erlaubt eine recht zuverlässige Erkennung:mov ecx, 0ah ; 0ah = get_version mov eax, 'VMXh' mov dx, 'VX' in eax, dx ; specially processed io cmd cmp ebx, 'VMXh' je under_VMware// edit:
rüdiger schrieb:
... oder so
-
Eine Möglichkeit ist auch die Zeit abzufragen. Wenn zwischen Befehlen zu viel Zeit vergeht, könnte eine Sampbox aktiv sein.
-
Swordfish schrieb:
MisterX schrieb:
(Allerdings besteht die Gefahr, dass er dabei zu weit ausgeführt wird und die Schadroutine aktiv wird)
... und was kratzt mich das in einer Sandbox?
-
Home@root schrieb:
gut zu wissen, praktisch wenn Mann selbst ein Virus schreibt wird das kein antivirus was merken weil die Signatur nicht im Datenbank liegt. so ungefähr ?
Wenn der Virenscanner einen permanten Virenschutz im Hintergrund laufen läßt, also auch den Speicher und aktive Prozesse prüft, dann wird dein Virus, sofern die Signatur bekannt ist, natürlich entdeckt.
-
bochs emuliert die komplette x86 CPU in Software.
Das ist ein echter Emulator ohne performancesteigernde Ausbrüche.
Daraus auszubrechen ist also bestenfalls durch einen Bug möglich.
Außerdem erlaubt bochs den Virenuntersucher den kompletten Zugriff auf den Speicher der emulierten Maschine aus einer sicheren Umgebung (dem Host System).
Er kann sogar debuggen und eingreifen.
-
Ich möchte jetzt eine Schadsoftware (SSW) schreiben und mache es so: Auf vielen Firmenrechnern sind gehackte Programme installiert. zB Althova XML Spy für die Version 10.2.31. Also nehme ich mir einen Crack für dieses Programm und verbinde ihn mit meiner SSW. Die Antivirenhersteller haben Computer die laufend das Internet durchkämen, wahllos Mist herunter laden und ausführen und dann beobachten ob sich in der VM etwas Verdächtiges tut. Da es aber unwahrscheinlich ist das diese VM den Althova XML Spy in dieser Version installiert hat wird meine SSW nicht aktiv und bleibt unerkannt.
Meine SSW wird entweder von einer Heuristik gefunden (muß ich halt vorher abchecken) oder aber erst wenn ich meinen ersten Bruch gemacht habe und eine Forensiker den geknackten Computer durchleuchtet. Korrekt?
-
bochs schrieb:
Daraus [bochs] auszubrechen ist also bestenfalls durch einen Bug möglich.
Ausbrechen ist auch bei VirtualBox u.ä. bestenfalls durch einen Bug möglich. Aber ein Virus muss ja gar nicht ausbrechen: Er kann sich einfach entscheiden, nicht aktiv zu werden, wenn er merkt, dass er in einer VM läuft. Dann weißt du nicht, ob es ein Virus ist oder nicht, wenn er in einer VM nicht aktiv wird.
Bochs kann man mit Sicherheit ohne großen Aufwand erkennen, denn auch Bochs wurde soweit ich weiß nicht mit dem Ziel entworfen, nicht erkennbar zu sein.
