Joa also ich wollte euch mal nen Konzept von mir vorstellen:
Eine VM, wo Microsoft Windows XP SP3 läuft und auch alle .net Frameworks installiert sind. Auf diese VM kann man dann eine verdächtige Datei hochladen.

Was hat das ganze für einen Sinn?
- Analyse eines Files, ohne selbst in Berührung damit zu kommen.
- Anzeigen des Netzwerkverkehrs und der Dateiaktivitäten, sowie Registryveränderungen
- Eingebaute Screenshotfunktion, um mögliche Fakemeldungen zu erkennen.
- Wiederherstellung des Ursprungs nach jeder Datei

Ich wollte einfach mal Fragen, wie ihr meine Idee findet und falls das mal einigermaßen läuft denke ich wird ein selbstständiger PC zum Opfer eurer "suspicious files".

MfG

Klingt gut :)

Klingt unsicher.

Hört sich schon jetzt geil an, dass würde vieles erleichtern.

@BlackBerry (http://free-hack.com/member.php?u=43591): Wäre geil, wenn du das etwas erläutern könntest^^In wie fern unsicher? Für die Nutzer, oder für das System?

MfG

Anti VM -> Außer ner Fehlermeldung, die vielleicht nichtmal "verdächtig" sein muss, Doomed.
Ansonsten ist das ein sehr aufwendiger dienst... 2 Aufeinmal können diesen garnicht wahrnehmen, wenn es nur eine VM gibt.

Meiner Meinung nach eine nette Idee, aber wenn jemand wirklich Sorgen hat, dass etwas infected sein könnte, soll er sich selbst eine VM ware einrichten (dauert nicht lange, mit AiO Runtimes ist auch schnell alles drauf) dann kann er selbst testen.

Grüße

@QpL (http://free-hack.com/member.php?u=35856): Deswegen wenn Interesse bestehen würde, ja auch ein eigener PC.
Zu dem 2. Punkt: Ich denke nicht, dass da so viele Leute drauf zugreifen werden.
(Siehe Anubis, die haben ja auch ihre Warteschlange)
Nochmal zum besseren Verständnis: Datei wird via Webpanel hochgeladen und dann auf dem PC gestartet. Der User hat keinerlei Einfluss mehr auf die Datei. Nachdem die Datei gestartet wurde, wird alles protokolliert und via Email versendet. Danach löscht der PC alles wieder und setzt sich auf Standard zurück.

MfG

Ich glaube, ich verstehe das Konzept nicht.. Was ist daran neu? Arbeiten nicht alle VMs mit Sicherheitspunkten so? Whöa?

Was daran neu ist:
- Es passiert alles extern => Keine Daten auf deinem PC (Vergleichbar mit Anubis)
- Analyse und Versand der analyse via Email
- Keine Installation oder sonstiges notwendig

An sich eine Verbesserung zu den Sandboxen, wie Anubis/Threatexpert, weil .net Frameworks beispielsweise installiert sind.

Wenn noch weitre Fragen da sind, einfach fragen, ich versuche sie zu beantworten ;)

MfG

Versteheeee! Habe nicht verstanden, dass das ganze auf einer externen Maschine passiert. Vielleicht überlesen.

Naja, da brauchste aber schon mehr als eine Maschine, denn wenn das ganze so funktioniert wie es soll, werden es sehr viele Anfragen werden..

Im Grunde finde ich die Idee ganz gut.
Aber was ich noch nicht verstehe: Lässt du eine VM laufen, oder einen Rechner, der Isoliert steht und sich nach jedem ausführen zurücksetzt?
Wegen der VM (die letzte Antwort von dir hat da keine Aufklärung gebracht) die wird doch sicherlich erkannt, wenn es die bekannten sind. (VMWare, VBox, ...)

Zusätlich würde ich (um die Wartezeit zu verkürzen) vorher einen MD5/Hash Check zu machen, und in einer Datenbank nach einem bereits durchgeführten Test zu suchen.

Mfg

@zin (http://free-hack.com/member.php?u=39581): Ich denke in der Beta werden es nicht allzu viele Leute sein. Und wenn selbst wenn jeder Test 5 min braucht, ist das bisschen warten sicherlich kein Weltuntergang ;)
Wenn doch, kann man immer noch "upgraden" :D

@houston (http://free-hack.com/member.php?u=39894): Am Anfang wird es nur eine VM sein, da ich imo keinen Rechner über habe, ich denke, dass dies später aber der Fall sein wird, genau aus den Gründen, die du genannt hast. Die Idee mit den MD5s ist ne super Sache und wird denke ich eingebaut ;)

Falls noch weiteres Feedback/Vorschläge vorhanden sind, immer her damit :D

MfG

Also im grunde sowas : Joebox a secure Sandbox Application for Windows to analyse the Behaviour of Malware (http://joebox.org/submit.php)