Software-Sicherheit – Teil 1

Programme per Debugging, Fuzzing und Reverse Engineering analysieren

08.03.2011 | Autor / Redakteur: Marcell Dietl / Stephan Augsten

Auf Drittanbieter-Software sollte man immer ein wachsames Auge werfen.
Auf Drittanbieter-Software sollte man immer ein wachsames Auge werfen.

Verhaltensmuster in einer Sandbox analysieren

Vor allem für Viren-Experten ist es wichtig, verdächtige Programme in einem sicheren Kontext ausführen zu können. Dazu nutzen sie spezielle virtuelle Umgebungen, die das Verhalten eines echten Betriebssystems möglichst genau nachbilden. Alle Veränderungen, die ein Schadprogramm anschließend am System vornimmt, können so in Ruhe aufgezeichnet und ausgewertet werden.

Die Applikation befindet sich im übertragenen Sinne in einem abgeschirmten Sandkasten (engl. Sandbox). Eine solche Testumgebung ist für einen Reverse Engineer von großem Vorteil – sie spart Zeit und Kosten. Vor allem Änderungen an der Windows-Registry und ähnlich kritischen Punkten sollten genau unter die Lupe genommen werden.

Eine der wohl bekanntesten Sandbox-Lösungen bietet das 1984 in Norwegen gegründete Unternehmen Norman. Deren Funktionalität richtet sich gezielt an Malware-Analysten und Reverse Engineers. Und dank automatisierter Analyse-Verfahren, liegen erste Reports binnen kürzester Zeit bereit.

Windows Sysinternals zur manuellen Diagnose einsetzen

Ähnlich den Wegen nach Rom, gibt es auch bei der Untersuchung von Applikationen verschiedenste Ansätze – jeder mit eigenen Vor- und Nachteilen. Die meisten der kommerziellen Lösungen setzen auf einen hohen Grad an Automatisierung, um Zeit und Kosten zu sparen. Demgegenüber bietet ein guter Reverse Engineer vor allem Erfahrungswerte und ein Gespür für Fehler, die durch einfache Raster gefallen wären.

Speziell für Windows-Systeme lohnt sich ein Blick auf die Sysinternals-Tools von Mark Russinovich und Bryce Cogswell. Unterteilt in mehrere Kategorien, stehen Programme zur Analyse diverser Komponenten des Systems zum freien Download bereit. So erlaubt allein der „Process Monitor“ das Überwachen von Dateisystem-, Registrierungs-, Prozess-, Thread- und DLL-Aktivitäten.

Im nächsten Teil dieser Artikelreihe zeigt Security-Insider.de Mittel und Wege, wie Programme auf Fehler untersucht werden können, deren Quellcode zur Verfügung steht.

Inhalt

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2050210 / Sicherheitslücken)