[Konzept] Sandbox

[sn0w]

Joa also ich wollte euch mal nen Konzept von mir vorstellen:
Eine VM, wo Microsoft Windows XP SP3 läuft und auch alle .net Frameworks installiert sind. Auf diese VM kann man dann eine verdächtige Datei hochladen.

Was hat das ganze für einen Sinn?
- Analyse eines Files, ohne selbst in Berührung damit zu kommen.
- Anzeigen des Netzwerkverkehrs und der Dateiaktivitäten, sowie Registryveränderungen
- Eingebaute Screenshotfunktion, um mögliche Fakemeldungen zu erkennen.
- Wiederherstellung des Ursprungs nach jeder Datei

Ich wollte einfach mal Fragen, wie ihr meine Idee findet und falls das mal einigermaßen läuft denke ich wird ein selbstständiger PC zum Opfer eurer "suspicious files".

MfG

[Deoxys]

Klingt gut

[blackberry]

Klingt unsicher.

[Jury]

Hört sich schon jetzt geil an, dass würde vieles erleichtern.

[sn0w]

@BlackBerry: Wäre geil, wenn du das etwas erläutern könntest^^In wie fern unsicher? Für die Nutzer, oder für das System?

MfG

[QpL]

Anti VM -> Außer ner Fehlermeldung, die vielleicht nichtmal "verdächtig" sein muss, Doomed.
Ansonsten ist das ein sehr aufwendiger dienst... 2 Aufeinmal können diesen garnicht wahrnehmen, wenn es nur eine VM gibt.

Meiner Meinung nach eine nette Idee, aber wenn jemand wirklich Sorgen hat, dass etwas infected sein könnte, soll er sich selbst eine VM ware einrichten (dauert nicht lange, mit AiO Runtimes ist auch schnell alles drauf) dann kann er selbst testen.

Grüße

[sn0w]

@QpL: Deswegen wenn Interesse bestehen würde, ja auch ein eigener PC.
Zu dem 2. Punkt: Ich denke nicht, dass da so viele Leute drauf zugreifen werden.
(Siehe Anubis, die haben ja auch ihre Warteschlange)
Nochmal zum besseren Verständnis: Datei wird via Webpanel hochgeladen und dann auf dem PC gestartet. Der User hat keinerlei Einfluss mehr auf die Datei. Nachdem die Datei gestartet wurde, wird alles protokolliert und via Email versendet. Danach löscht der PC alles wieder und setzt sich auf Standard zurück.

MfG

[zin]

Ich glaube, ich verstehe das Konzept nicht.. Was ist daran neu? Arbeiten nicht alle VMs mit Sicherheitspunkten so? Whöa?

[sn0w]

Was daran neu ist:
- Es passiert alles extern => Keine Daten auf deinem PC (Vergleichbar mit Anubis)
- Analyse und Versand der analyse via Email
- Keine Installation oder sonstiges notwendig

An sich eine Verbesserung zu den Sandboxen, wie Anubis/Threatexpert, weil .net Frameworks beispielsweise installiert sind.

Wenn noch weitre Fragen da sind, einfach fragen, ich versuche sie zu beantworten

MfG

[zin]

Versteheeee! Habe nicht verstanden, dass das ganze auf einer externen Maschine passiert. Vielleicht überlesen.

Naja, da brauchste aber schon mehr als eine Maschine, denn wenn das ganze so funktioniert wie es soll, werden es sehr viele Anfragen werden..