Sichern eines PC's mit dem Betriebssystem XP gegen Viren, Trojanern, Fehlbedienungen....
mit Hilfe des

EWF enhanced Write Filter (XPe)

Der ‚Sichere PC’

Alle Viren oder Trojaner, arbeiten nach einem ähnlichen Prinzip.

Nachdem sie ‚gelandet’ sind, also auf der Festplatte des Rechners sind, starten sie einen Prozess.

Das wird bei ‚guten Trojanern’ sogar ein Prozess sein, den es von Windows bereits gibt,
der eben jetzt ausgetauscht wurde.
Der neue Prozess unter dem gleichen Namen, erfüllt die Aufgaben des Originalen, und eben zusätzliche.

Daher ist es sehr schwer, bei einem befallen Rechner den Schädling ausfindig zu machen und zu eliminieren.

Trojaner sammeln dann z.B. gezielt Informationen, z.B. Passwörter, und senden diese dann über die Online Verbindung an eine Stelle, wo der ‚Erfinder’ des Trojaners diese Informationen von allen befallenen PCs dann einsammelt.

Dieses heimliche Senden wird nicht durch die Windows eigene Firewall entdeckt.
Diese kontrolliert nämlich nur den Eingang, also das, was zu dem Rechner kommt,
Nicht aber das, was hinausgeht!

Ein schwerer Nachteil, so kann ein einmal auf den Rechner gelangter Trojaner jahrelang unentdeckt bleiben, und immer fleißig ‚Nach Hause telefonieren’ !

Was kann man dagegen tun?

Eine richtige Firewall installieren, also eine, die sich meldet, wenn der Trojaner ‚nach Hause telefoniert’ , eine Firewall, die beide Wege, das Rein und das Raus also überwacht.
Vorteil:
So sieht man auch, wenn andere Software oder Funktionen, z.B. Windowsupdate irgendeine Verbindung aufbauen wollen.
Nachteil:
Eine Firewall zu konfigurieren ist nicht ganz einfach, vieles ist zu erlauben oder zu verbieten, und ob sie letztlich wirklich den Trojaner beim Senden entdeckt, weiß man auch nie.

Eine Sniffersoftware einsetzen.
Ein Sniffer protokolliert sämtlichen Datenverkehr, der über die Internetleitungen läuft.
Vorteil:
Auch der Trojaner fällt auf.
Nachteil:
So eine Software erschlägt einen mit Infos, da ja nicht nur der ‚böse Datenverkehr’ sondern sämtlicher Datenverkehr in Telegrammform aufgezeigt wird.
Eine Auswertung dieser Informationen ist nur für IT Fachleute möglich.

Daher kam mir folgender Gedanke:
Man müsste die Festplatte, also das ganze System gegen Ändern der Dateien sichern.
Die vorherigen Versuche, Dateien mit einem Schreibschutz zu versehen waren die ersten Schritte. Leider waren sie so nicht ganz erfolgreich.

Siehe auch hier, aus der Rubrik Hardware
Die IDE Schnittstelle>Kurzbeschreibung + read only

Microsoft selber bietet einen Schreibschutz für das Betriebssystem XPembeddet an.
Was ist dieses XPembeddet?
Dieses XP ist eine Art Baukasten, um ein individuelles XP herzustellen, und dabei auf die gegeben Hardware aufzusetzen.
Gedacht für Registrierkassen, Navigationsgeräte und andere Systeme, die ein Betriebssystem brauchen, aber eben kein so Umfangreiches, sondern eben nur spezielle Teile daraus.
Mit Hilfe dieses XPe Baukastens, kann man sich dann die Treiber für die verwendete Hardware, sowie die Funktionen, z.B. Systemsteuerung, oder Lanfähigkeiten, die man benötigt, auswählen, und sein individuelles XP zusammenbauen.
Dieses Verfahren ist sehr aufwendig und lohnt sich nur für eine industrielle Nutzung.
Und in diesem Baukasten ist auch der Treiber Ewf.SYS (Enhanced Write Filter) enthalten.
Dieser ist bei den ‚normalen XP Versionen’ nicht enthalten.
Warum eigentlich nicht?
Hat MS einen Deal mit den Herstellern der Virenschutzsoftware geschlossen?

Der EwF.SYS Treiber leitet alle Schreibzugriffe auf die Festplatte in den Hauptspeicher um - nach einem Neustart ist das System folglich unverändert.
Die Vorraussetzung für den Betrieb ist natürlich, das man genügend Ram hat, um das System und die Anwendungen im Hauptspeicher laufen zu lassen.
Für das Surfen im Internet, oder Textverarbeitung, reichen so 512 MB.
Legen aber Programme große temporäre Dateien an, sind auch 1 oder 2 GB dann nötig.
Ansonsten verweigert Windows die Speichervorgänge.

Dieser EwF.SYS Treiber ist eigentlich genial!!
Das Ganze System läuft im Hauptspeicher.
Man kann sogar Programme im Betrieb dazu installieren, und auch ausführen.
Aber nach einem Neustart ist alles wieder so, wie vorher.
Und zwar alles! Auch dlls, oder sonst was, alles wieder weg.
Viren und Trojaner können auf den Rechner gelangen, auch ihrer Arbeit nachgehen.
Aber nur bis zum Neustart, beim Ausschalten sind sie definitiv weg.
Und eigentlich ist es genau das System für alle, die schon mal von einem Bekannten so oder ähnliches gehört haben: „ kannst du mal schauen… ich habe überhaupt nichts gemacht….und jetzt geht alles irgendwie nicht mehr…..

Genug geredet.

Bevor die folgende Anleitung zum modifizieren seines XP Systems benutzt wird, sollte ein Backup angefertigt werden.

Ich übernehme natürlich keine Haftung für zerstörte Systeme.
Die folgende Beschreibung zeigt einen möglichen Weg auf, dieser kann aber im Einzelfall undurchführbar sein, oder an Hard und Softwaregegebenheiten scheitern.
Das folgende Beispiel habe ich auf mehreren PCs erfolgreich getestet:

Wir gehen in die Registrierung (Start>Ausführen>Regedit eingeben und Enter)
In der Registry werden diese Tools nun bekannt gemacht.
Dazu ist eine Registrierungs- Datei ewf.reg mit folgendem Inhalt zu erstellen,

Anmerkung:
Diese Datei ewf.reg ist in dem Downloadpaket schon enthalten, muss also nicht extra erstellt werden!

Code:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Dfrg\BootOptimizeFunction]
"Enable"="N"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\OptimalLayout]
"EnableAutoLayout"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]
"NtfsDisableLastAccessUpdate"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory
Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
BootExecute=""


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF\0000]
"Service"="EWF"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000020
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"Capabilities"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF\0000\Control]
"ActiveService"="EWF"


;ews service aktivieren
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf]
"ErrorControl"=dword:00000001
"Group"="System Bus Extender"
"Start"=dword:00000000
"Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf\Enum]
"0"="Root\\LEGACY_EWF\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
"UpperFilters"="Ewf"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf\Parameters\Protected]


;geschuetztes Volume bestimmen
;hinter ArcName muss die Laufwerksbezeichnung, wie sie in der BOOT.INI auftaucht

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf\Parameters\Protected\Volume0]
"VolumeID"="{1EA414D1-6760-4625-8CBE-4F9F85A48E15}"
"Type"=dword:00000001
"ArcName"="multi(0)disk(0)rdisk(0)partition(1)" 

 

Es muss unbedingt darauf geachtet werden, dass der Eintrag ArcName (s.o.) identisch ist mit dem Windows Boot Eintrag in der boot.ini.

Diese Boot.ini Datei ist im Stammverzeichnis also i.d.R. unter C:\
  Im folgenden boot.ini Beispiel passt das alles:
Code:

[boot loader]
timeout=3
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
 

Dies ist eine Standart Boot.ini

Das laufende XP System befindet sich auf der ersten Partition.
Andernfalls muss der ArcName Eintrag in der ewf.reg entsprechend angepasst werden.
Das währe der Fall, wenn man das laufende XP System auf einer anderen Partition hätte.

Für die Installation der Registry-Einträge mit Hilfe der ewf.reg datei wie folgt vorgehen:
•      Regedit aufrufen
•      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root suchen
•      Mit rechter Maustaste Eigenschaften->Berechtigungen auswählen.
•      Den aktuellen Zustand sichern (Screenshot)
                              üblicherweise steht dort folgendes:
                              Gruppe System > hat Vollzugriff und Lesen
                              Gruppe Jeder > hat nur lesen
•      "Jeder" auswählen und "Vollzugriff" aktivieren
•      ewf.reg ausführen, also im Explorer auf die Datei einen Doppelklick
•      In der Registry die ursprünglichen Rechte für HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root wiederherstellen.