Die Geschwindigkeit ist wichtig

Ein großes Problem beim Sektor-Level-Snapshot ist die recht zeitaufwändige Vergleichsprozedur vor und nach dem simulierten Malwarebefall. Das Virtual Disk Image einer normalen Windows-8.1-Installation beläuft sich auf 8 GByte oder sogar mehr. Das bedeutet also in unserem Fall, dass mindestens 16 GByte Rohdaten, also vor und nach der Simulation, gelesen werden müssen. Und dass selbst dann, wenn vielleicht nur eine Handvoll Sektoren geändert wurden.

Zum Glück können wir eine praktische Abkürzung nutzen. Die meisten Virtualisierungssysteme liefern nämlich schon ein Snapshot-Tool mit, um es den Nutzern einfacher zu machen, durchgeführte Änderungen wieder rückgängig zu machen, wenn der virtuelle PC bereits eine Weile gelaufen ist. Dieser Service ist sehr hilfreich, wenn es darum geht, neue Software zu testen - oder eben Malware zu analysieren. Anstatt potentielle Änderungen immer über das Master Disk Image laufen zu lassen, wird ein separates "Difference Image" erstellt, um die Veränderungen zu speichern. Wenn wir nun wieder von der Festplatte lesen, checkt die Virtualisierungssoftware zunächst, ob der benötigte Sektor im Difference Image ist. Nur wenn das nicht der Fall ist, wird tatsächlich auch auf das Master Disk Image zugegriffen. Auf unseren Fall bezogen lassen wir die Malware also auf einem virtuellen PC im Differencing-Modus laufen und bekommen so automatisch eine Liste, was geändert wurde und wo.

Ein netter Nebeneffekt ist außerdem, dass wir so nicht von Selbstschutz- oder Stealth-Features des Schädlings hereingelegt werden können. Natürlich zeigt uns das Difference Image nur an, welche Sektoren tatsächlich verändert wurden. Die Suche nach den Dateien, in denen die Sektoren liegen, bleibt weiterhin an uns hängen. Das Gute ist allerdings, dass Veränderungen, die nicht zu Dateien gehören, zum Beispiel weil sie Teil eines Rootkits sind, das außerhalb des Betriebssystems aktiv ist, hervorstechen und schnell zu lokalisieren sind.