Computerbeveiliging - Hoe je bad guys buiten de deur houdt

vmware test

31-03-2014, 12:19 door Anoniem, 12 reacties
ik lees hier veel over trojans,malware,en dat soort van rotzooi.in mijn vmware heb ik geen antivirus,alleen malwarebytes en hitman pro,ik klik op elke advertentie,porno....website.ik hou alles in de gaten met proces explorer.na elke bezoek aan een website scan ik met hitman en mbam,niks malware?kan iemand mij dat uitleggen?
Reacties (12)
31-03-2014, 13:36 door Anoniem
Veel geluk hebben! Ik zou eens naar het casino gaan en jouw geld op rood zetten. Wie weet heb je daar hetzelfde geluk? ;-)
31-03-2014, 16:42 door Jan Kol
Volgens mijn (!!) logica zul je in een besturingssysteem dat je via VMWare laat werken geen last van malware (kunnen) hebben. Wel moet het besturingssysteem waaronder de computer draait malware bescherming hebben.

Mijn redenering is: VMWare is 'gewoon' een programma net als alle andere, b.v. om foto's mee te bewerken of om teksten mee te schrijven. Je beveiliging zit dan in je besturingssysteem waaronder het betreffende fotobewerking-, tekstverwerking- of virtuele machine programma draait. Om dan de besturingssystemen in de virtuele machines ook van anti-malware spullen te voorzien is volgens mij dubbel op.

Overigens heb ik in een aantal virtuele machines, die ik gebruik, wel AV-software geïnstalleerd maar dan om te kijken hoe die werkt omdat je slechts één anti-malware programma tegelijk moet gebruiken. Maar voor de feitelijke bescherming ga ik er van uit dat mijn, om het zo maar te noemen hoofdbesturingssysteem deze anti-malware functie uitoefent.

Jan
31-03-2014, 23:07 door Anoniem
Door Anoniem: ik lees hier veel over trojans,malware,en dat soort van rotzooi.in mijn vmware heb ik geen antivirus,alleen malwarebytes en hitman pro,ik klik op elke advertentie,porno....website.ik hou alles in de gaten met proces explorer.na elke bezoek aan een website scan ik met hitman en mbam,niks malware?kan iemand mij dat uitleggen?

veel malware (bijna alle) kan herkennen of het OS waarin ze draait op een virtual machine draait of niet.
Als dat het geval is wordt het niet actief.
01-04-2014, 09:26 door hx0r3z - Bijgewerkt: 01-04-2014, 09:57
Process explorer, are you kidding me?
Niet alle malware/spyware is alleen zichtbaar in user-land.
Er zijn net zo goed ring3 rootkits die een process/registry entry kunnen verbergen, of zelf veel erger al het netwerk verkeer van een bepaald process kunnen verbergen. Om welk besturingssysteem gaat het hier in jouw vm???
En dit gaat dan nog steeds om user-land shit. Als het een bootkit/rootkit is die beter dan dit is. Die er ook zijn dan kan je AV vaak vrij weinig ermee.

En al om het feit dat veel malware extra niet in vmware draait (Anti-VM) voor het lastiger te maken voor onderzoekers.
Deze anti methodes zijn vaan kopieer en plak werk van de makers en niks speciaals. Dit kijkt met een query in de registry of er een bepaalde key of value is en dan terminatie of verwijdert hij zichzelf gewoon.
Zet gewoon een test systeem op, dat hoeft niks speciaals te zijn (bijvoorbeeld een oude P4 cpu met 1gbtje ram en XP). Wat ik je wel aanraad is om een extra vlan aan te maken voor je test pc en deze netwerken van elkaar af te scheiden, misschien een vpn zou ook handig zijn. De reden hieraan toe is omdat er malware bestaat die met winpcap een arp poisoning op je lokaal netwerk kan doen en misschien je andere pcs kan infecteren (iets wat je niet wilt)... Al is het meer een shit pptp vpn verbinding die over een goedkoop router/modempje draait. Doet er niet toe. Dit beter dan een hoop problemen ;)

Door Jan_Kol: Volgens mijn (!!) logica zul je in een besturingssysteem dat je via VMWare laat werken geen last van malware (kunnen) hebben. Wel moet het besturingssysteem waaronder de computer draait malware bescherming hebben.

100% onzin. Je vm is zeker kwetsbaar, alleen niet op netwerk level als je de vm NIET doet afscheiden van je netwerk kaart die je host gebruik maar shared(NAT) gebruikt. Daarom moet je zoiets ook multihomed doen of gewoon met een vlan. Dan zal de AV op de host het traffic van de guest ook scannen op malicious domains/ips/data-streams(aka trojanies) en tegenhouden/blokkeren net zo goed als dat van de host zelf.

Mensen leer je eens aan als je iets niet zeker weet om dan maar een hele hoop shit te gaan lullen over dingen die niet waar zijn.
01-04-2014, 09:41 door Anoniem
Door Jan_Kol: Volgens mijn (!!) logica zul je in een besturingssysteem dat je via VMWare laat werken geen last van malware (kunnen) hebben. Wel moet het besturingssysteem waaronder de computer draait malware bescherming hebben.

Mijn redenering is: VMWare is 'gewoon' een programma net als alle andere, b.v. om foto's mee te bewerken of om teksten mee te schrijven. Je beveiliging zit dan in je besturingssysteem waaronder het betreffende fotobewerking-, tekstverwerking- of virtuele machine programma draait. Om dan de besturingssystemen in de virtuele machines ook van anti-malware spullen te voorzien is volgens mij dubbel op.

Overigens heb ik in een aantal virtuele machines, die ik gebruik, wel AV-software geïnstalleerd maar dan om te kijken hoe die werkt omdat je slechts één anti-malware programma tegelijk moet gebruiken. Maar voor de feitelijke bescherming ga ik er van uit dat mijn, om het zo maar te noemen hoofdbesturingssysteem deze anti-malware functie uitoefent.

Jan
Jan, je snapt er niks van. ;-)
en VM is een gewone pc, maar dan virtueel. Hierin kunnen alle soorten virussen rondwaren, terwijl je gast OS schoon is, en de virusscanner niets detecteert. Andersom kan het ook. Beide Ossen hebben totaal geen interactie, behalve dan soms via je clipboard, of een speciale share.
Sommige malware draait niet in een VM, omdat onderzoekers vaak VM's gebruiken.

Dus: een virusscanner op je hoofdsysteem laat een virus op je VM keurig met rust.
01-04-2014, 10:27 door Anoniem
niet waar!mijn avast av op mijn hoofdsysteem ziet wel een trojan of virus in mijn virtualbox.als ik malware bestanden test moet ik mijn avast uitzetten.
01-04-2014, 12:01 door Anoniem
ik doe ook al een hele tijd testen met malware in een vm,maar ik heb vir files gevonden maar ik krijg het niet open?
01-04-2014, 12:44 door Anoniem
Door Anoniem: niet waar!mijn avast av op mijn hoofdsysteem ziet wel een trojan of virus in mijn virtualbox.als ik malware bestanden test moet ik mijn avast uitzetten.

Heb je niet toevallig een gedeelde map met je VM?
Of was het niet een melding van je guest AV scanner?
01-04-2014, 12:51 door hx0r3z
Door Anoniem: niet waar!mijn avast av op mijn hoofdsysteem ziet wel een trojan of virus in mijn virtualbox.als ik malware bestanden test moet ik mijn avast uitzetten.

Pure onzin, dit kan alleen als je filesystem passthrough gebruikt. Wat niet mogelijk is met Windows en alleen met Linux kan zover ik weet. En waarom zou je dit voor een simpele test omgeving gebruiken, dat klopt dus niet. Je lult uit je nek. Laat het anders maar eens zien, maak er een video van en post hem op Youtube ofzoiets.
01-04-2014, 14:42 door Anoniem
nikste onzin!als ik malware sampels afhaal schiet mijn avast meteen in actie.en nee in mijn vm heb ik geen av het is puur om te testen.zelfs heb ik gedeelte mappen niet aanstaan.
01-04-2014, 15:42 door Sisko - Bijgewerkt: 01-04-2014, 15:43
Door Anoniem: niet waar!mijn avast av op mijn hoofdsysteem ziet wel een trojan of virus in mijn virtualbox.als ik malware bestanden test moet ik mijn avast uitzetten.

Ik denk dat je dan beter je VM kan uitzetten ipv je AV................zucht
01-04-2014, 16:15 door hx0r3z - Bijgewerkt: 01-04-2014, 16:50
Door Anoniem: nikste onzin!als ik malware sampels afhaal schiet mijn avast meteen in actie.en nee in mijn vm heb
Wees eens duidelijk man. Hoe kom je aan die samples in je vm, ik neem aan Internet, ohja je hebt NAT aan. Zucht.
Je hebt duidelijk kennis tekort, en lezen is ook niet je sterkste kant. Lees mijn quote en reply van 09:26.

Zal maar even in paint laten zien hoe het werkt zodat je een idee krijgt van wat er mis gaat.
http://i.imgur.com/wm5xl3I.png
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.