Was uns Veränderungen im System verraten

Der offensichtlichste Vorteil beim Aufdecken von Veränderungen durch Schädlinge mit Hilfe von Difference Images ist die Einfachheit und Verlässlichkeit dieser Strategie; vor allem beim Aufdecken von unautorisierten Festplattenmodifikationen, auf die unter anderem Low-Level-Rootkits spezialisiert sind. Zusätzlich können wir aber auch Änderungen auf Dateilevel aufdecken. Indem wir uns vom Difference Image durch den NTFS File Allocation Table (Master File Table MFT) zurückarbeiten, können wir sehr schnell feststellen, welche Dateien zu welchen modifizierten Bereichen auf der Festplatte gehören.

So bekommen wir im Handumdrehen eine Liste aller Veränderungen, ohne das komplette virtualisierte Master Disk Image bearbeiten zu müssen. Wenn eines der geänderten Objekte unser Interesse weckt, können wir es direkt von den virtuellen Disk-Image-Dateien extrahieren und umfangreicher analysieren. Für manche mag es sich das jetzt nach einer Menge Arbeit anhören - vor allem im Vergleich zum relativ einfach durchführbaren Scannen der Directory Listings eines virtuellen Disk Images. Und tatsächlich kann es im Worst Case dazu kommen, dass jede Datei durch die Malware geändert wurde und das Difference Image dann genauso groß ist wie das Master Image.

In der Praxis hat sich für uns aber das Differencing bewährt, wenn wir die Snapshots richtig timen und die Menge der Veränderungen damit minimieren. Auf diese Weise arbeiten wir erheblich schneller als mit den traditionellen Methoden. In Zahlen ausgedrückt sogar bis zu 60 Mal schneller, wir benötigen also nun nur noch eine Sekunde für die gleiche Arbeit, die uns zuvor 1 Minute aufgehalten hat. Also das perfekte Beispiel dafür, wie wir smarter und zugleich schneller arbeiten können. (hal)