Malware austricksen I Bisher vorgestellte Tools, Techniken und Vorgehensweisen zielten darauf ab, Malware an der Verbreitung und/oder am Anrichten von Schaden (sei es finanziell, bzgl. Maschi- nenverfügbarkeit oder -beschädigung oder durch Ressourcen-verbrauch) zu hindern.

Malware austricksen II Ein weiterer, eigentlich sogar eleganterer Weg ist, von Anfang an Bedingungen zu schaffen, die beliebiger Malware das Anrichten von Schäden dadurch unmöglich macht, dass diese Schäden schlicht so gut wie keine Auswirkungen mehr haben. Wie kann man das erreichen? Durch Virtualisierung! (Die selbe Technik, die auch die besten Rootkits zu ihrer Tarnung einsetzen)

Malware austricksen III Was ist Virtualisierung? Virtualisierung ist die Bezeichnung für das Abbilden von kompletten Rechnern incl. vieler Peripherie in Software. Einen virtualisierten Rechner bezeichnet man als Gast (bzw. englisch guest) auf dem realen System, das ihn und die darunter liegende Virtualisierungssoftware ausführt

Malware austricksen IV Was ist Virtualisierung? II Der einen oder mehrere guests ausführende Rechner wird als Gastgeber bzw. (Virtualisierungs-) Host bezeichnet. Auf ihm sind der Gast oder die Gäste als normale Dateien gespeichert, also auch (von ihrer Größe abgesehen) leicht und schnell kopierbar.

Malware austricksen V Was nützt Virtualisierung gegen Malware? Der Gast bzw. die Gäste können (außer bei fehlerhafter Virtualisierungssoftware) nicht unerlaubt auf die Ressourcen des Hosts zugreifen und es ist möglich, nur den Gast/die Gäste mit Netzzugriff auszustatten Host bleibt sauber Bei Verdacht auf Infektion des Gastes diesen löschen und die saubere Kopie neu einspielen.

Malware austricksen VI Virtualisierer gibt es mittlerweile viele, die erste (kommerziell) erfolgreiche Software dieser Art wurde vom Unternehmen VMWare programmiert. Von VMWare gibt es seit geraumer Zeit auch eine im Funktionsumfang reduzierte, aber dafür für den Privatgebrauch kostenlose Version, den VMWare Player.

Malware austricksen VII Der VMWare Player kann nach einer Registrie- rung unter heruntergela- den werden, aktuell ist Version Sein Name ist ein wenig irreführend, denn es ist möglich mit ihm auch neue, eigene virtuelle Maschinen zu generieren. Als Hostsysteme eignen sich alle Windows- versionen ab incl. XP sowie alle modernen Linuxdistributionen.

Malware austricksen VIII Als Gäste eignen sich ebenso die als Hosts geeigneten Systeme sowie bereits die letzten DOS-Versionen und alle Windows-Versionen ab 95 und die Linux-Versionen aus den letzten 10 Jahren. Nach der Aufzählung dieser positiven Eigen- schaften sollen auch diverse Nachteile bzw. Einschränkungen angesprochen werden.

Malware austricksen IX Speicherbedarf: allerunterste Grenze für erträgliches Arbeiten ist auf einem Windows- XP-Host 2 GB RAM, was für den Host (1 GB Speicher sollte ihm immer erhalten bleiben) und einen Gast (mit 512 MB) knapp ausreicht CPU/Prozessor: Pentium 4 (Intel) bzw. Athlon XP (AMD) mit mindestens 2,5 GHz oder neuer; Mehrkern-CPUs der letzten vier bis fünf Jahre reichen generell für allgemeine Zwecke aus

Malware austricksen X Plattenplatz (als Datei auf dem Host abgelegt): nach Bedarf bzw. persönlichem Geschmack; für ein Linux reichen im allgemeinen 20 GB aus, für die diversen Windows-Varianten evtl. einiges mehr Generell: nicht mehr RAM zuweisen, als physisch vorhanden ist und möglichst nicht mehr CPU(-Kerne) nutzen als das System hat

VMWare Player – ein Überblick I Linker Bereich des Startfensters zeigt die vorhandenen virtuellen Maschinen (VMs) an File/Datei bietet Möglichkeiten zum Bauen einer neuen (mittels DVD/CD und Host- Laufwerk oder ISO-Datei) oder Öffnen einer vorhandenen VM; Importieren von evtl. bekannten anderen VM-Formaten, Herunterladen fertiger VMs und diverse Verhaltenseinstellungen passieren ebenso hier

VMWare Player – ein Überblick II Virtual Machine Settings enthält die bei der Erzeugung einer VM angegebenen Einstellungen für Speicher, CPU-Anzahl, HD- Platz, optisches Laufwerk (Hardware des Hosts oder ISO-Datei) und Floppy/Diskette. Network Adapter lässt sich zwischen Bridged und NAT auswählen, wobei die erste Einstellung dem Gast eine vom Host unabhängige Netzverbindung erlaubt.

VMWare Player – ein Überblick III Die Einstellung NAT (Network Address Translation) bewirkt ein Einklinken der VM in die Netzverbindung des Hosts (also Host aus dem Netz VM aus dem Netz!) Die eingestellten Daten für USB Controller, Sound Card, Printer und Display brauchen normalerweise nicht geändert zu werden.

VMWare Player – ein Überblick IV Removable Devices bietet einen Überblick über die von der aktuellen VM aus erreich- baren Geräte (üblicherweise per USB ange- schlossen, USB 3.0 wird unterstützt ab V4). Dies dient wie sonst auch dem Datenaus- tausch (anfangs auch mit dem Host, mittler- weile wird Kopieren und Einfügen Host -> VM und VM -> Host unterstützt) und der Sicherung.

VMWare Player – ein Überblick V Power bietet Play VM, was die gewählte VM startet, Reset bewirkt einen Neustart der VM (wie das Drücken des entsprechenden Knopfs an einem echten Rechner), Suspend friert den augenblicklichen Zustand der VM ein (Start bzw. Resume geht danach schneller) und Power Off beendet die aktuelle VM.