Virencheck einer VM mit ct Desinfect

[hans123]

Hallo

Ich wollte mit der (Ubuntu-basierten) c't Desinfect 2013 eine WXP-VM booten um so VM Viren pruefen zu koennen. Leider schaffe ich es nicht einmal, Desinfect zu booten.
(schwarzer Bildschirm ohne Meldung). Das Booten von anderen Linux LiveCDs funktioniert in dieser VM hingegen problemlos.

Frage:
Koennte dieses Ansatz ueberhaupt funtionieren? Falls sich Desinfect in der VM booten liesse, muesste es ja auch noch auf das Dateisystem zugreiffen koennen?

Vielen Dank fuer jeden Tipp!

Hans


PS
Der Ansatz eine VM mit der Ubuntu-basierten ct-Desinfect DVD auf Viren zu ueberpruefen reizt mich sehr.
Theoretisch koennte die User-Daten auch auf ein Speichernedium kopiert werden
umd danach von einem normalen Virus-Scanenr geprueft zu werden.
Und die VM mit dem verseuchten OS einfach geloescht und neu aufgesettz werden..

[rprengel]

PS
Der Ansatz eine VM mit der Ubuntu-basierten ct-Desinfect DVD auf Viren zu ueberpruefen reizt mich sehr.
Theoretisch koennte die User-Daten auch auf ein Speichernedium kopiert werden
umd danach von einem normalen Virus-Scanenr geprueft zu werden.
Und die VM mit dem verseuchten OS einfach geloescht und neu aufgesettz werden..

Hallo,

ich nutze diese Cd per PXE um Systeme zu prüfen. Funktioniert eigentlich auch mit Vm Gastsystemen ohne Probleme.

Gruss

[~thc]

Koennte dieses Ansatz ueberhaupt funtionieren? Falls sich Desinfect in der VM booten liesse, muesste es ja auch noch auf das Dateisystem zugreiffen koennen?

Der schreibende Zugriff auf NTFS-Dateisysteme von Linux aus ist ja schon viele Jahre möglich. Also: prinzipiell ja, aber Ubuntu 12 als Live-System kann durchaus höhere Anforderungen an die vHardware stellen als XP. Wenn deine VM genug vRAM besitzt, probiere doch die Tipps unter

http://www.heise.de/ct/hotline/FAQ-Desi ... 56614.html

aus.

[stefan.becker]

Wenn du es direkt mit der DVD versucht hast, teste mal alternativ ein ISO-Image.

Außerdem gibt es ja Alternativen, wenn das nicht geht:

http://support.kaspersky.com/4162

https://www.botfrei.de/rescuecd.html

Oder du machst eine Analyse per OTL oder frst über ein Fachforum. Diese Tools erstellen Logs und zeigen Spuren von Malware, die ein Scanner nicht unbedingt erkennt.

Grundsätzlich hast du eh das Problem, das bei frischer Malware die Erkennungsrate eher gegen 0 als gegen 99,99 % tendiert. Wer es nicht glaubt: Einfach die typischen Anhänge von Spam-Mails mit Mahnung/Anzeige des Anwalts mal bei virustotal hochladen, dann sieht man das Elend.

Wobei bei wirklichem Befall eh das Einspielen der Backups der VM vorzuziehen ist. Dazu eben ne dicke USB-Platte, wo ein eine Kopie der vmdk-Datei liegt. Oder gleich das ganze Verzeichnis des Gastes.

[Dayworker]

Prinzipiell kann Ubuntu schon seit vielen Versionen (mindestens seit 8.10) auf NTFS-Laufwerke zugreifen. Den entscheidenden Punkt dürfte in deinem Fall die genaue LTS-Version, vermutlich 12.04.3 mit Kernel 3.8, spielen.
Daher die Fragen, welche CPU mit welchem OS und welcher WS-Version kommt auf deinem Host zum Einsatz?

[hans123]

Prinzipiell kann Ubuntu schon seit vielen Versionen (mindestens seit 8.10) auf NTFS-Laufwerke zugreifen. Den entscheidenden Punkt dürfte in deinem Fall die genaue LTS-Version, vermutlich 12.04.3 mit Kernel 3.8, spielen.
Daher die Fragen, welche CPU mit welchem OS und welcher WS-Version kommt auf deinem Host zum Einsatz?

Sorry, da habe ich wohl wichtige Infos unterschlagen

- CPU Intel i7
- HostOS Ubuntu10.04
- GastOS = WXP (in dieser VM habe ich schon problemlos andere Linuxe wie Knoppix 6.7, Mint13) gebootet
- VMware Workstation 7.15

Gruss,

Hans

[leo]

Hast Du schon probiert, die Disinfect-DVD in einer neuen VM zu booten, mit den passenden Einstellungen für das Linux-Betriebssystem?

Wenn das geht, kannst Du die Platten der ausgeschalteteten Windows-VM temporär in die Disinfect-VM einbinden und scannen.

[hans123]

Vielen Dank fuer Eure Rueckmeldungen!

Hast Du schon probiert, die Disinfect-DVD in einer neuen VM zu booten, mit den passenden Einstellungen für das Linux-Betriebssystem?

Nachdem ich den Arbeitsspeicher von 500MB auf 2GB erhoeht habe. laesst sich Desinfect problemlos booten

Wenn das geht, kannst Du die Platten der ausgeschalteteten Windows-VM temporär in die Disinfect-VM einbinden und scannen.

Kannst Du mir einen Tipp geben, wie die VM-Dateien gemountet werden muessen?


Vielen Dank fuer jede Rueckmeldung!

Hans

[Dayworker]

Am einfachsten gehst du in die Einstellungen der Desinfect-VM und fügst eine neue Festplatte hinzu. Dabei wirst du gefragt, ob du eine neue erstellen oder eine vorhandene einbinden willst. Dort wählst du vorhandene einbinden und wirst dann nach dem Speicherort gefragt. Jetzt kannst du dich zu deiner Windows-VM durchhangeln und deren Platte auswählen. Das machst du dann für alle Festplatten deiner Windows-VM und startest erst dann die Desinfect-VM. Die Windows-VM muß dann solange ausbleiben.

[rprengel]

[moderator]Direktquoting der Übersicht halber entfernt[/moderator]

Hallo,
ich meine es gibt da auch einen Button alle Windows-Laufwerke einbinden.

Gruss

[Dayworker]

Na das macht es ja rein theoretisch noch leichter, wenn SCSI als Plattentyp ausgewählt wurde. Bei IDE ist ja bekanntlich bei 4 Datenträger das Ende erreicht.
Falls die Workstation dann aber nicht eventuell vorhandene Snapshots beachtet, werden dann die falschen bzw in diesem Fall veraltete Datenbestände eingebunden und wenn Desinfect auch noch einen Virus in den alten Beständen entfernt, beschwert sich nachher die Windows-VM, daß die Basis-VMDK verändert wurde und verweigert daraufhin sogar den Start.

Der von mir bisher noch nicht weiter beachteten Snapshotproblematik zufolge, sollte man sich die VMX-Datei der Win-VM mal in einem Texteditor ansehen (eventuell reicht es hier auch aus, die VM-Einstellungen hinsichtlich der momentan genutzten vDISK-Datei durchzusehen) und genau diese VMDK in Desinfect einzubinden. Das man dazu seinen Explorer "reparieren" und die Dateiendungen auch von bekannten Dateitypen immer einblenden lassen muß, setze ich mal als langjährig bekannt voraus. Diese Dumpfbackeneinstellung gibt es schließlich schon seit der ersten Windows-Version und verursacht auch genauso lange schon Schäden...

[hans123]

Hallo,
ich nutze diese Cd per PXE um Systeme zu prüfen. Funktioniert eigentlich auch mit Vm Gastsystemen ohne Probleme.
Gruss

Interessant.. Handelt es sich dabei um viele Gastsysteme, die Du so auf Viren ueberpruefst? Wo erfolgt der Virensignaturen-Update? In jedem Gastsystem einzeln, oder
haelst Du immer ein aktualisiertes Desinfect-ISO bereit (welches die Cleints per PXE herunterladen) ?


Vielen Dank!

Hans

[Dayworker]

Da Virenupdates mehrmals am Tag kommen, ist jedes ISO nach seiner Erstellung bereits veraltet und Desinfect will deshalb zur Aktualisierung auch einen Inet-Zugang haben. Das ISO wird wohl trotzdem regelmäßig aktualisiert, da mit zunehmender Updategrösse sonst der vRAM zum begrenzenden Faktor wird.