Ich suche eine Software, die dafür sorgt, daß sämtliche Schreibzugriffe eines PC unter Windows auf Treiberebene temporär in eine Datei umgeleitet werden und beim nächsten Neustart verworfen werden, so mit Ein/Ausschalter. Sinn ist die Blockade von besonders schwer vom Antivirenprogramm zu erkennenden Trojanern.
fuiwc schrieb: > Ich suche eine Software, die dafür sorgt, daß sämtliche > Schreibzugriffe eines PC unter Windows auf Treiberebene temporär in eine > Datei umgeleitet werden und beim nächsten Neustart verworfen werden, so > mit Ein/Ausschalter. > > Sinn ist die Blockade von besonders schwer vom Antivirenprogramm zu > erkennenden Trojanern. Da wirst du schwer Erfolg haben, mir ist sowas noch nicht über den Weg gelaufen. Auch ist Windows und sein Subsystem nicht auf non-persistens ausgelegt. Was du machen könntest ist dies: https://www.google.de/amp/s/configmonkey.wordpress.com/2015/02/18/default-user-or-mandatory-profiles/amp/ Aber Vorsicht, Änderungen auf Treiberebene betrifft dies wiederum nicht. Die sind davon ausgeschlossen. Du könntest ein Windows in einer VM starten oder einen Windows 8 (unter 10 gibt es das nicht) Live Stick erstellen lassen. Der ist aber mMn auch persistent.
Sowas wurde längere Zeit sogar von Microsoft angeboten vor ein paar Jahren, dann aber auf merkwürdige Art und weise entfernt. Leider ist mir der Name nicht mehr bekannt und Google hat scheinbar gerade ein Matschauge, wenn man danach sucht.
Ja genau das suche ich. Wenn noch jemand anders ne ähnliche andere Version kennt, die sich gerade besser beschaffen läßt, falls die eine gerade nicht geht, wäre gut.
Rene K. schrieb: > in einer VM starten Bei Neustart frische VM laden? ... und wieder viele Updates? Viele Backups sind die einzige Hoffnung, das letzte gesunde System zu finden.
Also unter Linux ist es kein Problem, alles Readonly zu mounten und dann ein par andere Dinge oder auch alles mit aufs/unionfs/overlayfs/tmpfs so zu mounten, so dass man da temoräres zeug reinschreiben kann. Man kann dann auch noch alles in einen Container packen und darin arbeiten, damit man es nichtmehr rw mounten kann. Oder noch besser: Mit einem Readonly NFS mount und PXE Boot kann der Client garantiert garnichts mehr persistieren, weil der Server das verhindert, und man braucht keine Festplatte mehr! Und man kann dann bequem das selbe rootfs für einen Container oder eine VM auf dem Server verwenden, um darin bequem Änderungen am System machen zu können, in echtzeit! Als backup kann man einfach den Container Kopieren, und laternativ sind auch Wiederherstellungspunkte mittels btrfs oder zfs snapshots möglich (snapshots dauern 0 sekunden)! Etwas älteres Demovideo: https://dpa.li/pxeboot.mp4 Nachteile sind nur: 1) Wenn alles über NFS/Netzwerk, dann kann es etwas langsam sein. 2) Erfordert Hintergrundwissen zur Funktionsweise und Administration von Linux systemen.
Welche Windows Version? Bei meinem Win10 Pro kann man das bei den Features aktivieren. Siehe auch hier: https://docs.microsoft.com/en-us/windows-hardware/customize/enterprise/unified-write-filter
Bis Euer Unified Write Filter läuft, kann schon viel im System verbogen sein? Zu Urzeiten hatte ich mal ein verseuchtes Format-Progamm... Einfacher wäre ein fremdes Netzlaufwerk was keine Schreibrechte hat.
oszi40 schrieb: > Bis Euer Unified Write Filter läuft, kann schon viel im System verbogen > sein? Wie meinst Du das? Wenn ich auf einem sauberen System den Filter aktiviere, wie kann dann ein Schädling auf den PC kommen der vorm Start des Filters etwas anrichten kann?
Wurde oben schon genannt, der PC-Wächter, inzwischen als Software: https://www.dr-kaiser.de/produkte/admindidakt0/pc-waechter-drive/ Allerdings hat auch die Hardware unter XP nicht immer alles zu 100% unterbunden.
Tek schrieb: > oszi40 schrieb: >> Bis Euer Unified Write Filter läuft, kann schon viel im System verbogen >> sein? > > Wie meinst Du das? Sind die Daten auf einem Readonly Netzwerkshare, kann es dem Server egal sein wenn der Client versucht ist, schreibend Zugreifen lässt er trotzdem nicht zu. Stellst du den Readonly Zugriff aber per Software sicher, ist es theoretisch immernoch möglich, das Malware die sowas kennt das wieder umstellt, oder sich im Kernel einnistet und direkt schreibend zugreift ohne über irgendwelche Filtertreiber zu gehen, oder sogar seine eigenen Treiber mitbringt und die Festplatte direkt anderweitig manipuliert. Wenn die HDD im System ist, hat das System Schreibzugriff, und egal wie sehr du es Software seitig absicherst, du kannst dir nie komplett sicher sein, dass die Maßnahmen im Ernstfall standhalten.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.