Auf altem XP ohne SP dauer und Art des Befalls testen

Hallo,

ich habe ein kleines Testprojekt vor und erhoffe mir von Euch den ein oder anderen Tipp.

Ich möchte ein ungeschütztes Windows XP ohne Servicepack oder vielleicht max. mit dem SP1 in einer VirtualBox installieren und den Gefahren des Internets aussetzen. Mein Wunsch wäre es den Befall Schritt für Schritt zu dokumentieren und das Sytem solange wie möglich "lauffähig" zu halten.

Ich benötige ein Tool, dass es ermöglicht die Registry in bestimmten Abständen zu sichern um Sie anschließend vergleichen zu können.
Meine ersten Ideen wären "regmon" von MS oder Hjackthis zu verwenden, textdateien zu erstellen und diese nachher mit dem Totalcomander vergleichen!? Auf dieses Weise würden mir Unterschiede sofort angezeigt!?
Hat jemand eine einfachere oder bessere Lösung?

Weiterhin würde ich mir ein tool wünschen das protokolliert, welches Programm grade mit dem Internet kommuniziert um so Übeltäter zu identifizieren. Aber welches kann ich dafür am besten verwenden?

Dieses Projekt ist bislang nur eine Idee aber vielleicht kann ich sie mit eurer Hilfe brauchbar umsetzen.

Somit bin ich für alle Anregungen dankbar.

 

> http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
HJT loggt nicht die Reggy, dafür ist regmon gut geeignet, oder Active Registry Monitor

Ob ein totaler Pre/Post-Vergleich (not in realtime) sinnvoll ist, wage ich zu bezweifeln, denn zahlreiche Tasks und deren Prozesse verändern ständig ihre Parameter.
Selbst ein Profi hätte Mühe, die komplexen Vorgänge zu analysieren und korrekt zu interpretieren. Auch im Idle-Mode.
Eine gewollte Kompromitierung des virtuellen Guest-OS kann unter Umständen auch auf das Hostsystem übergreifen, wenn nicht einige Dinge beachtet werden (neben aktuellen Updates,Patches) >
> http://www.pcwelt.de/forum/software-allgemein/320303-virtual-pc-2007-co.html#post1776252 (post#2)

 

Wenn eine Firewall aktiv ist, passiert ohne Zutun wenig.
Wenn keine Firewall aktiv ist, kommen die bekannten Würmer und zwingen den PC zum Neustarten, damit die Trojaner über den Autostart gestartet werden.
Das wird bei einer VM kaum klappen und das Experiment ist dann zu ende.

 

sowas wie da?
http://www.*******************/malware.html

böser filter...
http://www.oberthal -online.de/malware.html
vor dem minus das Leerzeichen weg

 

Der malware Artikel war echt interessant aber auf die Art und Weise wollte ich mein Testsystem nicht infizieren. Ich nehme bewusst ein Sytem mit vielen fehlenden Updates um genügend Angriffsfläche zu bieten.

Wie sich das Biotop entwickelt ist für mich auch nur Nebenschauplatz, um zu veruchen das System so lange als möglich am leben zu erhalten.
Mein Hauptaugenmerk lege ich nur auf einen einzigen Ordner, den ich "Persönlich", "privat" oder ähnlich nenne. Diesen Ordner möchte ich quasi als Honeypot, mit fake Kontoauszügen und ähnlichem, über den jeder stolpern würde bereitstellen.Ich will auch nur dann den Datenverkehr mitschneiden, wenn auf diesen einen Ordener zugegriffen wird, denn wie mir bereits in einem Post gesagt wurde, wäre die Datenmenge andernfalls (wenn alles mitgeschnitten wird) unüberschaubar groß.
Mir ist nur noch nicht ganz klar wie ich es realisiere, das nur der Datenverkehr dieses einen Ordners protokolliert wird und mit welchem Tool ich das mache!?