Normales Thema Schreibgeschützter PC > Windows embedded > EWF (Gelesen: 79.804 mal)
Sandra
YaBB Moderator
*****


Schreibgeschützter PC > Windows embedded > EWF
06.08.07 um 17:17:26
Beitrag drucken Beitrag drucken  
Hinweis: Dieser Beitrag wird z.Z. überarbeitet, um auf Windows 7 einzugehen, ich bitte daher etwas um Geduld. Hinweise auf Fehler bitte direkt per PN oder Mail !   Vielen Dank für euer Verständnis.  Sandra
Thema dieses Beitrages:


Sichern eines PC's mit einem Windows Betriebssystem
gegen Viren, Trojanern, Fehlbedienungen....
mit Hilfe des

Enhanced Write Filter     Kurzform: EWF



           Inhaltsverzeichnis


Teil 1:  Vorwort und Hinweis in eigener Sache
             EWF     Der Enhanced Write Filter


Teil 2:  Windows XP zu Windows XP embedded wandeln

Teil 3:  Windows 7 zu Windows 7 embedded wandeln





               Diskussionsbereich: Schreibgeschützter PC > EWF



  
Zum Seitenanfang
 
IP gespeichert
 
Sandra
YaBB Moderator
*****


Re: Schreibgeschützter PC >  XP embedded > EW
Antwort #1 - 06.08.07 um 17:27:19
Beitrag drucken Beitrag drucken  
Teil 1: Allgemeines Vorwort:

Diese FAQ soll ein Leitffaden sein, wie man einen PC mit einem Windows Betriebssystem
gegen Viren, Trojanern, Fehlbedienungen....und ähnlichem absichern kann.
Dazu benutzen wir den:
enhanced Write Filter   oder in der Kurzform: EWF


Der ‚Sichere PC’


Alle Viren oder Trojaner, arbeiten nach einem ähnlichen Prinzip.

Nachdem sie ‚gelandet’ sind, also auf der Festplatte des Rechners sind, starten sie einen Prozess.

Das wird bei ‚guten Trojanern’ sogar ein Prozess sein, den es von Windows bereits gibt,
der eben jetzt ausgetauscht wurde.
Der neue Prozess unter dem gleichen Namen, erfüllt die Aufgaben des Originalen, und eben zusätzliche.

Daher ist es sehr schwer, bei einem befallen Rechner den Schädling ausfindig zu machen und zu eliminieren.

Trojaner sammeln dann z.B. gezielt Informationen, z.B. Passwörter, und senden diese dann über die Online Verbindung an eine Stelle, wo der ‚Erfinder’ des Trojaners diese Informationen von allen befallenen PCs dann einsammelt.

Dieses heimliche Senden wird meist nicht durch die Windows eigene Firewall entdeckt.
Diese kontrolliert nämlich i.d.R nur den Eingang, also das, was zu dem Rechner kommt,
Das was aus dem Rechner hinausgeht wird bei den bisherigen Windows Versionen meist nicht kontrolliert.

Ein schwerer Nachteil, so kann ein einmal auf den Rechner gelangter Trojaner jahrelang unentdeckt bleiben, und immer fleißig ‚Nach Hause telefonieren’ !

Was kann man dagegen tun?

Eine richtige Firewall installieren, also eine, die sich meldet, wenn der Trojaner ‚nach Hause telefoniert’ , eine Firewall, die beide Wege, das Rein und das Raus also überwacht.
Vorteil:
So sieht man auch, wenn andere Software oder Funktionen, z.B. Windowsupdate irgendeine Verbindung aufbauen wollen.
Nachteil:
Eine Firewall zu konfigurieren ist nicht ganz einfach, vieles ist zu erlauben oder zu verbieten, und ob sie letztlich wirklich den Trojaner beim Senden entdeckt, weiß man auch nie.

Eine Sniffersoftware einsetzen.
Ein Sniffer protokolliert sämtlichen Datenverkehr, der über die Internetleitungen läuft.
Vorteil:
Auch der Trojaner fällt auf.
Nachteil:
So eine Software erschlägt einen mit Infos, da ja nicht nur der ‚böse Datenverkehr’ sondern sämtlicher Datenverkehr in Telegrammform aufgezeigt wird.
Eine Auswertung dieser Informationen ist nur für IT Fachleute möglich.

Daher kam mir folgender Gedanke:
Man müsste die Festplatte, also das ganze System gegen Ändern der Dateien sichern.
Die vorherigen Versuche, Dateien mit einem Schreibschutz zu versehen waren die ersten Schritte. Leider waren sie so nicht ganz erfolgreich.

Siehe auch hier, aus der Rubrik Hardware
Die IDE Schnittstelle>Kurzbeschreibung + read only

Microsoft selber bietet einen Schreibschutz für seine Betriebssysteme an.
Den EWF  "Enhanced Write Filter"
Dieser wird bei "embedded Systems" benutzt.
Was ist dieses embeddet?
Es ist eine Art Baukasten, um ein individuelles Windows OS herzustellen, und dabei auf die gegeben Hardware aufzusetzen.
Gedacht für Registrierkassen, Navigationsgeräte und andere Systeme, die ein Betriebssystem brauchen, aber eben kein so Umfangreiches, sondern eben nur spezielle Teile daraus.
Mit Hilfe dieses  Baukastens, kann man sich dann die Treiber für die verwendete Hardware, sowie die Funktionen, z.B. Systemsteuerung, oder Lanfähigkeiten, die man benötigt, auswählen, und sein individuelles Windows zusammenbauen.
Dieses Verfahren ist sehr aufwendig und lohnt sich nur für eine industrielle Nutzung.
Und in diesem Baukasten ist auch der Treiber Ewf.SYS (Enhanced Write Filter) enthalten.
Dieser ist bei den ‚normalen Windows Versionen’ nicht enthalten.

Der EwF.SYS Treiber leitet alle Schreibzugriffe auf die Festplatte in den Hauptspeicher um - nach einem Neustart ist das System folglich unverändert.
Die Voraussetzung für den Betrieb ist natürlich, das man genügend Ram hat, um das System und die Anwendungen im Hauptspeicher laufen zu lassen.
Für das Surfen im Internet, oder Textverarbeitung, sind je nach der Windows Version  ab 512 MB bei XP ausreichend.
Legen aber Programme große temporäre Dateien an, sind auch 1 oder 2 GB dann nötig.
Ansonsten verweigert Windows die Speichervorgänge.

Dieser EwF.SYS Treiber ist daher genial!
Das Ganze System läuft im Hauptspeicher.
Man kann sogar Programme im Betrieb dazu installieren, und auch ausführen.
Aber nach einem Neustart ist alles wieder so, wie vorher.
Und zwar alles! Auch dlls, oder sonst was, alles wieder weg.
Viren und Trojaner können auf den Rechner gelangen, auch ihrer Arbeit nachgehen.
Aber nur bis zum Neustart, beim Ausschalten sind sie definitiv weg.
Und eigentlich ist es genau das System für alle, die schon mal von einem Bekannten so oder ähnliches gehört haben: „ kannst du mal schauen… ich habe überhaupt nichts gemacht….und jetzt geht alles irgendwie nicht mehr…..



Teil 1: Hinweis in eigener Sache



Ich hafte nicht für Fehler, für Hard oder Softwarefehler.
Die obige Anleitung ist erprobt, kann aber auf Grund von Hard und oder Software Kombinationen im Einzelfalle
dazu führen, das das System zerstört ist!!
Daher muss vor den Arbeiten ein komplettes Backup angefertigt werden,
und dieses auf einen anderen Datenträger ausgelagert werden.


Fragen, Anregungen, Hinweise, Kritik, und alles andere bitte hierhin:
Diskussion: Schreibgeschützter PC >  EWF


Genug geredet.


  
Zum Seitenanfang
 
IP gespeichert
 
Sandra
YaBB Moderator
*****


Re: Schreibgeschützter PC >  XP embedded > EW
Antwort #2 - 06.08.07 um 17:38:13
Beitrag drucken Beitrag drucken  
Teil 2:  Windows XP zu Windows XP embedded wandeln

Bevor die folgende Anleitung zum modifizieren seines XP Systems benutzt wird, sollte ein Backup angefertigt werden.

Ich übernehme natürlich keine Haftung für zerstörte Systeme.
Die folgende Beschreibung zeigt einen möglichen Weg auf, dieser kann aber im Einzelfall undurchführbar sein, oder an Hard und Softwaregegebenheiten scheitern.
Das folgende Beispiel habe ich auf mehreren PCs erfolgreich getestet:

Bitte erst den folgenden Beitrag bis zum Ende durchlesen, bevor man sich an die Arbeit macht.

Wenn man sich dann daran macht, die Änderungen durchzuführen, muss man sich natürlich als Admin anmelden.

Wie kommt man legal an den EwF.SYS Treiber?
Leider nur über einen Umweg.

Hier:
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=DACD1722-256B-48C5-9...

läd man sich die kostenlose 120- Tage Testversion von XP embedded herunter.
Die ist natürlich englischsprachig.
Und man muss sich vorher bei MS registrieren lassen.
Eine gültige Email reicht dazu.

Man bekommt eine Datei XPEFFI.exe
Das ist ein Download manager.
Nach dem Starten der Datei kommt ein Auswahlfenster, hier muss man die Tools, und natürlich XP Embedded SP2 auswählen.


Standardmäßig landen die Dateien hier:
C:\Dokumente und Einstellungen\[Benutzername]\Lokale Einstellungen\Temp

Und lauten:
Disk1.cab
Tools.cab
Und die
WINDOWS_XP_EMBEDDED_SP2E.EXE

Die cab Dateien müssen entpackt werden.
In der entpackten Tools.cab ist in den Unterordnern der MS Intstaller versteckt:

WINDOWS XP EMBEDDED TOOLS SP1.MSI

Die erfragte Seriennummer befindet sich in dem entpackten Disk.cab Ordner in der Datei produckt key

Den WINDOWS XP EMBEDDED TOOLS SP1.MSI muss man ausführen.




Es reicht die Typische Installation, und natürlich auf diesem Computer.

Als Folge entsteht unter C:\Programme ein neuer Ordner,
C:\Programme\Windows Embedded
Und hier gibt es eine weitere exe die wir benötigen:
Die xpesp2.exe

Sie liegt genau gesagt hier:
C:\Programme\Windows Embedded\Installer\disk3

Diese Datei ausführen, und sich dabei merken, wo die Dateien extrahiert werden:



Diese xpesp2.exe legt ein Verzeichniss Z:\2e130034d32055127f42b8d3ecf7e5 an, und darin finden sich endlich die benötigten Dateien.
Alle weiteren folgenden Fenster kann man einfach wegklicken, die sind unnötig.

Sucht in dem Ordner und Unterordner alle Dateien, die mit ewf anfangen und sichert  diese.



Speichert euch folgende Dateien ab:
Ewf.SYS
Ewfapi.dll
Ewfdll.dll
Ewfinit.dll
Ewfmgr.EXE
Ewfntldr


Und wer es möchte kann jetzt noch mal den MSI Installer benutzen, und die Installation wieder rückgängig machen.
In der entpackten Tools.cab ist in den Unterordnern der MS Installer versteckt:
WINDOWS XP EMBEDDED TOOLS SP1.MSI
Und jetzt auf removen.

Damit das etwas einfacher ist, habe ich diese Dateien auch mal zusammengefasst hier abgelegt:

EWF-Dateien.rar

Hier sind folgende Dateien zusammengefasst:

Ewf.reg
Ewf.sys
Ewfapi.dll
Ewfdll.dll
Ewfinit.dll
Ewfmgr.exe
ewfntldr


Einfach in ein Verzeichnis runterladen, entpacken und ablegen.

Die Datei ewf.reg habe ich für euch schon einmal erstellt, und in den download mit abgelegt.

Damit nämlich der EWF.SYS auch funktioniert, sind einige Änderungen in der Registrierung nötig.

Sandra 18.10.2010 Hinweis:
Der Download-Link wurde geändert.
Neuer Link: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=DACD1722-256B-48C5-9...

Änderung in der Pfadangabe




  
Zum Seitenanfang
 
IP gespeichert
 
Sandra
YaBB Moderator
*****


Re: Schreibgeschützter PC >  XP embedded > EW
Antwort #3 - 07.08.07 um 08:37:07
Beitrag drucken Beitrag drucken  

Registry Änderungen für EWF

Wir gehen in die Registrierung (Start>Ausführen>Regedit eingeben und Enter)
In der Registry werden diese Tools nun bekannt gemacht.
Dazu ist eine Registrierungs- Datei ewf.reg mit folgendem Inhalt zu erstellen,

Anmerkung:
Diese Datei ewf.reg ist in dem Downloadpaket schon enthalten, muss also nicht extra erstellt werden!


Code
Alles auswählen
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Dfrg\BootOptimizeFunction]
"Enable"="N"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\OptimalLayout]
"EnableAutoLayout"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]
"NtfsDisableLastAccessUpdate"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory
Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
BootExecute=""


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF\0000]
"Service"="EWF"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000020
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"Capabilities"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWF\0000\Control]
"ActiveService"="EWF"


;ews service aktivieren
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf]
"ErrorControl"=dword:00000001
"Group"="System Bus Extender"
"Start"=dword:00000000
"Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf\Enum]
"0"="Root\\LEGACY_EWF\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
"UpperFilters"="Ewf"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf\Parameters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf\Parameters\Protected]


;geschuetztes Volume bestimmen
;hinter ArcName muss die Laufwerksbezeichnung, wie sie in der BOOT.INI auftaucht

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ewf\Parameters\Protected\Volume0]
"VolumeID"="{1EA414D1-6760-4625-8CBE-4F9F85A48E15}"
"Type"=dword:00000001
"ArcName"="multi(0)disk(0)rdisk(0)partition(1)"

 




Es muss unbedingt darauf geachtet werden, dass der Eintrag ArcName (s.o.) identisch ist mit dem Windows Boot Eintrag in der boot.ini.

Diese Boot.ini Datei ist im Stammverzeichnis also i.d.R. unter C:\
  Im folgenden boot.ini Beispiel passt das alles:
Code
Alles auswählen
[boot loader]
timeout=3
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
 


Dies ist eine Standart Boot.ini

Das laufende XP System befindet sich auf der ersten Partition.
Andernfalls muss der ArcName Eintrag in der ewf.reg entsprechend angepasst werden.
Das wäre der Fall, wenn man das laufende XP System auf einer anderen Partition hätte.

Für die Installation der Registry-Einträge mit Hilfe der ewf.reg datei wie folgt vorgehen:
•      Regedit aufrufen
•      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root suchen
•      Mit rechter Maustaste Eigenschaften->Berechtigungen auswählen.
•      Den aktuellen Zustand sichern (Screenshot)
                              üblicherweise steht dort folgendes:
                              Gruppe System > hat Vollzugriff und Lesen
                              Gruppe Jeder > hat nur lesen
•      "Jeder" auswählen und "Vollzugriff" aktivieren
•      ewf.reg ausführen, also im Explorer auf die Datei einen Doppelklick
•      In der Registry die ursprünglichen Rechte für HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root wiederherstellen.

  
Zum Seitenanfang
 
IP gespeichert
 
Sandra
YaBB Moderator
*****


Re: Schreibgeschützter PC >  XP embedded > EWF
Antwort #4 - 26.12.10 um 09:17:51
Beitrag drucken Beitrag drucken  
So, und jetzt wandeln wir endlich unser laufendes (und gesichertes) System von XP auf XP embedded.

Die Registry Einträge haben wir wie oben beschrieben gemacht.
Die Datei Ewf.SYS kopieren wir nach:
C:\Windows\system32\drivers
Die Dateien
Ewfapi.dll
Ewfdll.dll
Ewfinit.dll
Ewfmgr.exe
nach:
C:\Windows\system32\


Es bleibt also jetzt nur noch die ntldr

Unter C:\ gibt es die Datei ntldr
Diese sollte umbenannt werden, zB. nach ntldr.old
Und die Datei ewfntldr wird dafür umbenannt nach ntldr
Damit ersetzt die Datei (ursprünglicher Name = ewfntldr) die ntldr



Und jetzt ein Neustart!

Anwendung

Alle Änderungen landen jetzt in der Ramdisk und sind verloren, wenn das System gebootet wird!

Ihr glaubt es nicht?
Kleiner Test:
Ändert doch einfach mal das Hintergrundbild vom Desktop.
Und löscht die Links darauf.
Und macht dann einen Neustart
Laut lachend

Das ist sicherlich nicht immer erwünscht, daher sind folgende Kommandos wichtig:
Start > Ausführen > CMD


ewfmgr c:                                    zeigt den aktuellen Status an
ewfmgr c: -enable                       aktiviert EWF nach dem nächsten Reboot.
ewfmgr c: -commitanddisable      deaktiviert den EWF nach dem nächsten Reboot
ewfmgr c: -commit                       speichert vor dem Runterfahren alle Änderungen

ewfmgr c: -commitanddisable –live schreibt die Änderungen sofort auf Festplatte und deaktiviert EWF

Der Umgang mit der Kommandozeile ist natürlich nicht so der Hit.

Daher habe ich für euch auch noch 3 Zusatzdateien angefertigt, um den Umgang mit dem EWF zu erleichtern.

Die gibt es hier:

EWF-Zusatzdateien.rar

Hier sind folgende Dateien zusammengefasst:

Ewf-off.bat   eine Batchdatei, die den Schreibschutz ausschaltet und den PC rebootet
Code
Alles auswählen
;EWF-OFF
@C:\windows\system32\ewfmgr c: -commitanddisable
@shutdown -r -t 00 


Ewf-on.bat   eine Batchdatei, die den Schreibschutz einschaltet und den PC rebootet
Code
Alles auswählen
;EWF-ON
@C:\windows\system32\ewfmgr c: -enable
@shutdown -r -t 00 



und
EWF-Anzeige.exe
Diese sollte einfach in den Autostart gelegt werden, damit wird mit einem Punkt neben der Uhr der Zustand angezeigt.
Rot bedeutet: der Schreibschutz ist ausgeschaltet Grün: EWF ist aktiviert.
  
Zum Seitenanfang
 
IP gespeichert
 
Sandra
YaBB Moderator
*****


Re: Schreibgeschützter PC >  XP embedded > EWF
Antwort #5 - 03.01.11 um 14:09:59
Beitrag drucken Beitrag drucken  
Teil 3: Windows 7 zu Windows 7 embedded wandeln
Baustelle, bitte noch keine Kommentare bis zur Fertigstellung. Danke.

Vorwort:
Das große Interesse auf meinen Beitrag
Schreibgeschützter PC >  XP embedded > EWF
hat mich inspiriert, ob man auch das Betriebssystem Windows 7 auf diese Art und Weise gegen Viren, Trojaner, Fehlbedienungen usw. absichern kann.

Vorab:
es geht natürlich. Zwinkernd
Aber es ist etwas aufwendiger als bei dem Betriebssystem XP.

Und dazu kommt auch, das die Grundvoraussetzungen bei Windows 7 etwas anders sind als bei Windows XP.

Bei dem System XPe benötigte man z.B. mindestens 512 MB Ram als Hauptspeicher.
Bei dem System Win 7 benötigt man mindestens 1 GB Ram als Hauptspeicher.

Ansonsten gilt hier das Gleiche wie ich schon bei XPe beschrieben habe:
Quote:
Der EwF.SYS Treiber leitet alle Schreibzugriffe auf die Festplatte in den Hauptspeicher um - nach einem Neustart ist das System folglich unverändert.
Die Vorraussetzung für den Betrieb ist natürlich, das man genügend Ram hat, um das System und die Anwendungen im Hauptspeicher laufen zu lassen.
Für das Surfen im Internet, oder Textverarbeitung, reichen so 512 MB (XPe) oder 1 GB (Win7)
Legen aber Programme große temporäre Dateien an, sind auch 1 oder 2 GB dann nötig.
Ansonsten verweigert Windows die Speichervorgänge.

Dieser EwF.SYS Treiber ist eigentlich genial!!
Das Ganze System läuft im Hauptspeicher.
Man kann sogar Programme im Betrieb dazu installieren, und auch ausführen.
Aber nach einem Neustart ist alles wieder so, wie vorher.
Und zwar alles! Auch dlls, oder sonst was, alles wieder weg.
Viren und Trojaner können auf den Rechner gelangen, auch ihrer Arbeit nachgehen.
Aber nur bis zum Neustart, beim Ausschalten sind sie definitiv weg.
Und eigentlich ist es genau das System für alle, die schon mal von einem Bekannten so oder ähnliches gehört haben: „ kannst du mal schauen… ich habe überhaupt nichts gemacht….und jetzt geht alles irgendwie nicht mehr…..


Bevor die folgende Anleitung zum modifizieren seines Windows 7 Systems benutzt wird, sollte ein Backup angefertigt werden.

Ich übernehme natürlich keine Haftung für zerstörte Systeme.
Die folgende Beschreibung zeigt einen möglichen Weg auf, dieser kann aber im Einzelfall undurchführbar sein, oder an Hard und Softwaregegebenheiten scheitern.
Das folgende Beispiel habe ich auf mehreren PCs erfolgreich getestet:
  
Zum Seitenanfang
 
IP gespeichert
 
 
  « Übersicht ‹ Forum Nach oben