Snapshot auslesen?

[cotec]

Hallo,

das Thema Snapshots auslesen gab es 2010 hier schonmal. Allerdings kann ich nicht ganz nachvollziehen was der Threadersteller damals meinte.

Ist es grundsätzlich möglich die Änderung an einer VM so zu dokumentieren, das diese sichtbar sind?
Ich würde gern bestimmte Schadprogramme analysieren was diese im Dateisystem herumfuhrwerken oder Registryänderungen vornehmen.

Ist das überhaupt möglich? Sind Snapshots lesbar?

cotec

[Tschoergez]

Sowas geht über snapshots gar nicht (dort werden nur die block änderungen an der Platte mitgeschrieben). Du kannst höchstens einen alten snapshot in eine neue vmdk konsolidieren , in die VM mounten und dann vergleichen.

Was Du aber eigentlich suchst ist VMware workstation, mit Live Debugger...
http://blogs.vmware.com/workstation/200 ... vmwar.html

Gabs früher noch cooler mit record-replay, das ist aber leider geschichte.
http://blogs.vmware.com/workstation/201 ... today.html
http://www.replaydebugging.com/

Oder natürlich (wenn Du gezielt die software installieren kannst), der Thinapp packager und dessen log monitor. Der protokolliert seeeehr genau mit, was passiert während das programm installiert wird bzw. das erste mal läuft:
http://blogs.vmware.com/thinapp/2009/05 ... oting.html
http://www.screencast.com/t/NmE4NGIy
http://www.doegel.de/log_monitor/ (Der zeigt recht gut wie mächtig das Ding ist...)

Viele Grüße,
Jörg

[Dayworker]

Auch interessant in solchen Fällen ist TrackWinstall. Das Programm wirft auf Wunsch sogar eine Textdatei mit allen Änderungen aus.

[cotec]

Vielen Dank für die Infos...

Manche Progs sind echt klasse, hab mir noch den ProcessMonitor und ProcessExplorer geholt, auch Klasse Tools... =)

Netzwerkmäßig hab ich mir nen Proxy gebaut über den der Schadware-PC ins Internet geht und auf dem Proxy läuft einfach Wireshark =)

[Dayworker]

Netzwerkmäßig hab ich mir nen Proxy gebaut über den der Schadware-PC ins Internet geht

Den zweiten Teil halte ich für einen grossen Fehler. Sobald die Schad-SW einen Inet-Zugang hat, hilft dir dein Proxy nicht mehr weiter. Die weitere Kommunikation läuft meist verschlüsselt ab und Wireshark sieht dann nur noch Rauschen.
In der c't vom Heise-Verlag gab es vor einiger Zeit entsprechende Artikel, wo solche Untersuchungen mal aufgezeigt wurden und dabei auch ansatzweise auf die dafür genutzte SW sowie den betriebenen Aufwand eingegangen wurde. Falls du einfach mal irgendwelchen Links nachspiogieren wolltest, bist du mit sämtlichen Desktop-Browsern zudem einem unkalkulierbaren Risiko ausgesetzt. Selbst der Einsatz von Lynx als Text-Browser kann das Risiko einer Infektion nicht vollständig verhindern sondern nur minimieren.

Du solltest zudem auch immer im Hinterkopf haben, auch wenn bisher keine grösseren Ausbrüche aus einer VM publik geworden sind, können sie trotzdem möglich sein. Lies dir auch mal die VMware Security-Bulletins durch. Selbst der VMware SVGA-Treiber war bereits Gegenstand einer solchen Kompromittierung...

[cotec]

Du solltest zudem auch immer im Hinterkopf haben, auch wenn bisher keine grösseren Ausbrüche aus einer VM publik geworden sind, können sie trotzdem möglich sein.

Ist mir nicht unbekannt Danke

[Tschoergez]

auf der anderen Seite gibt's auch jede Menge schadsoftware, die ihr Verhalten ändert oder sich sogar komplett deaktiviert, wenn sie in einer VM läuft.
Denn die meisten honeypots der schadsoftware analysten laufen mit VMs....

Allerdings laufen in der zwischenzeit auch immer mehr Zielsysteme virtuell....

Viele grüße,
Jörg

[cotec]

auf der anderen Seite gibt's auch jede Menge schadsoftware, die ihr Verhalten ändert oder sich sogar komplett deaktiviert

wie zum Beispiel der Skype-Virus
gibt aber auch noch etliche die nicht so fortschrittlich sind und sogar unverschlüsselt im Hintergrund Webseiten aufrufen
Ich finds putzig was hier grad abgeht...