Teil 1: Allgemeines Vorwort:Diese FAQ soll ein Leitffaden sein, wie man einen PC mit einem Windows Betriebssystem
gegen Viren, Trojanern, Fehlbedienungen....und ähnlichem absichern kann.
Dazu benutzen wir den:
enhanced Write Filter oder in der Kurzform: EWF
Der ‚Sichere PC’Alle Viren oder Trojaner, arbeiten nach einem ähnlichen Prinzip.
Nachdem sie ‚gelandet’ sind, also auf der Festplatte des Rechners sind, starten sie einen Prozess.
Das wird bei ‚guten Trojanern’ sogar ein Prozess sein, den es von Windows bereits gibt,
der eben jetzt ausgetauscht wurde.
Der neue Prozess unter dem gleichen Namen, erfüllt die Aufgaben des Originalen, und eben zusätzliche.
Daher ist es sehr schwer, bei einem befallen Rechner den Schädling ausfindig zu machen und zu eliminieren.
Trojaner sammeln dann z.B. gezielt Informationen, z.B. Passwörter, und senden diese dann über die Online Verbindung an eine Stelle, wo der ‚Erfinder’ des Trojaners diese Informationen von allen befallenen PCs dann einsammelt.
Dieses heimliche Senden wird meist nicht durch die Windows eigene Firewall entdeckt.
Diese kontrolliert nämlich i.d.R nur den Eingang, also das, was zu dem Rechner kommt,
Das was aus dem Rechner hinausgeht wird bei den bisherigen Windows Versionen meist nicht kontrolliert.
Ein schwerer Nachteil, so kann ein einmal auf den Rechner gelangter Trojaner jahrelang unentdeckt bleiben, und immer fleißig ‚Nach Hause telefonieren’ !
Was kann man dagegen tun?
Eine richtige Firewall installieren, also eine, die sich meldet, wenn der Trojaner ‚nach Hause telefoniert’ , eine Firewall, die beide Wege, das Rein und das Raus also überwacht.
Vorteil:
So sieht man auch, wenn andere Software oder Funktionen, z.B. Windowsupdate irgendeine Verbindung aufbauen wollen.
Nachteil:
Eine Firewall zu konfigurieren ist nicht ganz einfach, vieles ist zu erlauben oder zu verbieten, und ob sie letztlich wirklich den Trojaner beim Senden entdeckt, weiß man auch nie.
Eine Sniffersoftware einsetzen.
Ein Sniffer protokolliert sämtlichen Datenverkehr, der über die Internetleitungen läuft.
Vorteil:
Auch der Trojaner fällt auf.
Nachteil:
So eine Software erschlägt einen mit Infos, da ja nicht nur der ‚böse Datenverkehr’ sondern sämtlicher Datenverkehr in Telegrammform aufgezeigt wird.
Eine Auswertung dieser Informationen ist nur für IT Fachleute möglich.
Daher kam mir folgender Gedanke:
Man müsste die Festplatte, also das ganze System gegen Ändern der Dateien sichern.
Die vorherigen Versuche, Dateien mit einem Schreibschutz zu versehen waren die ersten Schritte. Leider waren sie so nicht ganz erfolgreich.
Siehe auch hier, aus der Rubrik Hardware
Die IDE Schnittstelle>Kurzbeschreibung + read onlyMicrosoft selber bietet einen Schreibschutz für seine Betriebssysteme an.
Den EWF "
Enhanced
Write
Filter"
Dieser wird bei "embedded Systems" benutzt.
Was ist dieses embeddet?
Es ist eine Art Baukasten, um ein individuelles Windows OS herzustellen, und dabei auf die gegeben Hardware aufzusetzen.
Gedacht für Registrierkassen, Navigationsgeräte und andere Systeme, die ein Betriebssystem brauchen, aber eben kein so Umfangreiches, sondern eben nur spezielle Teile daraus.
Mit Hilfe dieses Baukastens, kann man sich dann die Treiber für die verwendete Hardware, sowie die Funktionen, z.B. Systemsteuerung, oder Lanfähigkeiten, die man benötigt, auswählen, und sein individuelles Windows zusammenbauen.
Dieses Verfahren ist sehr aufwendig und lohnt sich nur für eine industrielle Nutzung.
Und in diesem Baukasten ist auch der Treiber Ewf.SYS (Enhanced Write Filter) enthalten.
Dieser ist bei den ‚normalen Windows Versionen’ nicht enthalten.
Der EwF.SYS Treiber leitet alle Schreibzugriffe auf die Festplatte in den Hauptspeicher um - nach einem Neustart ist das System folglich unverändert.
Die Voraussetzung für den Betrieb ist natürlich, das man genügend Ram hat, um das System und die Anwendungen im Hauptspeicher laufen zu lassen.
Für das Surfen im Internet, oder Textverarbeitung, sind je nach der Windows Version ab 512 MB bei XP ausreichend.
Legen aber Programme große temporäre Dateien an, sind auch 1 oder 2 GB dann nötig.
Ansonsten verweigert Windows die Speichervorgänge.
Dieser EwF.SYS Treiber ist daher genial!
Das Ganze System läuft im Hauptspeicher.
Man kann sogar Programme im Betrieb dazu installieren, und auch ausführen.
Aber nach einem Neustart ist alles wieder so, wie vorher.
Und zwar alles! Auch dlls, oder sonst was, alles wieder weg.
Viren und Trojaner können auf den Rechner gelangen, auch ihrer Arbeit nachgehen.
Aber nur bis zum Neustart, beim Ausschalten sind sie definitiv weg.
Und eigentlich ist es genau das System für alle, die schon mal von einem Bekannten so oder ähnliches gehört haben: „ kannst du mal schauen… ich habe überhaupt nichts gemacht….und jetzt geht alles irgendwie nicht mehr…..
Teil 1: Hinweis in eigener Sache
Ich hafte nicht für Fehler, für Hard oder Softwarefehler.
Die obige Anleitung ist erprobt, kann aber auf Grund von Hard und oder Software Kombinationen im Einzelfalle
dazu führen, das das System zerstört ist!!
Daher muss vor den Arbeiten ein komplettes Backup angefertigt werden,
und dieses auf einen anderen Datenträger ausgelagert werden. Fragen, Anregungen, Hinweise, Kritik, und alles andere bitte hierhin:
Diskussion: Schreibgeschützter PC > EWF
Genug geredet.