Hallo, Avira bietet ja an, dass man Datein hochladen kann um sie vom Virus Labor untersuchen zu lassen:
http://analysis.avira.com/samples/index.php
Mich würde sehr interessieren, wie so etwas gemacht wird.
Wenn der Vorgang zu kompliziert ist, würde ich mich auch über eine einfache theoretische Antwort freuen.
Dankeschön.
Mich würde sehr interessieren, wie so etwas gemacht wird.
Kann man sicher auf verschiedene Weisen machen. Eine Möglichkeit wäre, dass man den vermeintlichen Virus in einer virtuellen Umgebung oder Sandbox startet und einfach schaut, was das Ding macht, sobald man es ausführt.
Mich würde sehr interessieren, wie so etwas gemacht wird.
Kann man sicher auf verschiedene Weisen machen. Eine
Möglichkeit wäre, dass man den vermeintlichen Virus in einer
virtuellen Umgebung oder Sandbox startet und einfach schaut,
was das Ding macht, sobald man es ausführt.
Hallo,
weißt du auch wie sie es machen wenn sie einen Trojaner kriegen, der Remote… macht (RAT). Ich vermnute mal über den Hexeditor oder?
weißt du auch wie sie es machen wenn sie einen Trojaner
kriegen, der Remote… macht (RAT). Ich vermnute mal über den
Hexeditor oder?
Wieso sollte man es bei einem Trojaner anders machen als bei einem Virus?
Weil der ja nicht gleich alles kaputt machen muss, sodass man es mert
Weil der ja nicht gleich alles kaputt machen muss, sodass man
es mert
Deswegen kann man ja trotzdem überwachen, was der Trojaner macht. Versucht er über das Netzwerk zu kommunizieren. Wenn ja wohin. Legt er Registry-Schlüssel an? Wenn ja welche und wozu. Versucht er Tastatureingaben abzufangen etc.
Das von dir verlinkte Mamutu-Programm macht ja auch genau das, um festzustellen, ob ein Programm ein Trojaner sein könnte oder nicht.
Weil der ja nicht gleich alles kaputt machen muss, sodass man
es mertDeswegen kann man ja trotzdem überwachen, was der Trojaner
macht. Versucht er über das Netzwerk zu kommunizieren. Wenn ja
wohin. Legt er Registry-Schlüssel an? Wenn ja welche und wozu.
Versucht er Tastatureingaben abzufangen etc.
Gibt es dafür Seiten wo man lernen kann, diese Sachen zu kontrollieren.
Besonders das mit den Verbindungen würde mich interessieren, da reich netstat -a doch nicht aus oder *auch da weiß ich nicht wirklich wie man da sieht welches Programm welche Verbindung macht.*
Das von dir verlinkte Mamutu-Programm macht ja auch genau das,
um festzustellen, ob ein Programm ein Trojaner sein könnte
oder nicht.
Hmm dann ist es mit einem Viren+Spywarenscanner + Firewall doch der optimale Schutz, den man Softwaretechnisch geben kann.
Aber wenn man Datein überprüfen lässt, kommt ja auch zurück in der Datei wurde kein Schadecode gefunden. Den müssen die ja auch irgendwie finden.
Danke
Besonders das mit den Verbindungen würde mich interessieren,
da reich netstat -a doch nicht aus oder *auch da weiß ich
nicht wirklich wie man da sieht welches Programm welche
Verbindung macht.*
Eine Virtualisierung simuliert einen PC. Der Trojaner wird auf diesem virtuellen PC ausgeführt. Welche Verbindungen der Trojaner über das Netzwerk aufbauen will, kann man ohne Probleme von außerhalb der virtuellen Umgebung erkennen.
Das von dir verlinkte Mamutu-Programm macht ja auch genau das,
um festzustellen, ob ein Programm ein Trojaner sein könnte
oder nicht.Hmm dann ist es mit einem Viren+Spywarenscanner + Firewall
doch der optimale Schutz, den man Softwaretechnisch geben
kann.
Was soll dir eine Firewall bitte bringen? Die hilft weder gegen Viren, Würmer noch Trojaner. Auf einem Heim-PC ist eine Firewall eigentlich schlichtweg überflüssig und erhöht eher das Risiko.
Aber wenn man Datein überprüfen lässt, kommt ja auch zurück in
der Datei wurde kein Schadecode gefunden. Den müssen die ja
auch irgendwie finden.
Die Überprüfung ist ja auch nicht 100%ig zuverlässig. Nur weil kein Schadcode gefunden wurde, heißt das ja noch lange nicht, dass keiner da ist. Vielleicht wird das Ding nur später aktiv und spielt erstmal eine Zeit lang das brave Software-Programm.
die suchen schlicht nach bekannten Mustern, sog. Signaturen.
Deshalb finden sie nur das, was sie kennen, anders gesagt, sie
hinken den Erfindern von Malware immer hinterher.
Die Signaturen fallen aber nicht vom Himmel. Irgendwann muss ein Virus ja mal als solcher identifiziert werden, damit man überhaupt eine Signatur davon erstellen kann. Die Frage war daher: Woran erkennen die Hersteller von Antiviren-Software bei einem neuen Virus, von dem es offensichtlich ja noch keine Signatur gibt, dass es sich überhaupt um einen Virus handelt.
Eine Virtualisierung simuliert einen PC. Der Trojaner wird auf
diesem virtuellen PC ausgeführt. Welche Verbindungen der
Trojaner über das Netzwerk aufbauen will, kann man ohne
Probleme von außerhalb der virtuellen Umgebung erkennen.
Und wie?
Was soll dir eine Firewall bitte bringen? Die hilft weder
gegen Viren, Würmer noch Trojaner. Auf einem Heim-PC ist eine
Firewall eigentlich schlichtweg überflüssig und erhöht eher
das Risiko.
Von Risiko Erhöhung habe ich da noch nichts gehört, aber ich habe auch keine auf meinem Rechner.
Die Überprüfung ist ja auch nicht 100%ig zuverlässig. Nur weil
kein Schadcode gefunden wurde, heißt das ja noch lange nicht,
dass keiner da ist. Vielleicht wird das Ding nur später aktiv
und spielt erstmal eine Zeit lang das brave Software-Programm.
OMG daran habe ich gar nicht mehr gedacht. Hmm das ist wirklich hart.
Danke
Moin,
Die Signaturen fallen aber nicht vom Himmel. Irgendwann muss
ein Virus ja mal als solcher identifiziert werden, damit man
überhaupt eine Signatur davon erstellen kann.
ah ja. Und die Signaturen, die die AV-Hersteller erstellen, pappen sie dann an die Viren, um sie zukünfig wiederzuerkennen. Tholl.
Gruß Ralf