Multiboot Stick: Rettungs-Stick 1.0.4

Der multibootfähige Rettungs-Stick 1.0.4 wurde von dem Computer-Magazin com! Sonderheft Sicherheit in der Ausgabe Mai/Juni/Juli 2011 vorgestellt. Der gleiche Artikel ist auch in der com! Extra-Ausgabe Windows7 im März/April/Mai 2011 erschienen. Auf dem Rettungs-Stick können die folgenden zehn Notfallsysteme abgelegt werden.

  • Windows7-Reparaturdatenträger
  • Avira Antivir Rescue System
  • Kaspersky Rescue Disk 10
  • Ultimate Boot CD for Windows 3.6
  • Offline NT Password & Registry Editor
  • Parted Magic 5.2
  • Super Grub Disk 0.9799/1.98s1
  • Hardware Detection Tool 0.3.6
  • Memtest86+ 4.10

Ein mindestens 2 GB großer USB-Stick muss zuerst mit dem HP USB Disk Storage Format Tool 2.2.3 bootfähig formatiert werden. Im nächsten Schritt muss das fertig geschnürte zip-Paket der com!-Redaktion „rstick104.zip“ (auch auf der Heftbeilage-CD) auf dem USB-Stick entpackt werden. Nun können im Unterverzeichnis „rescue“ weitere iso-basierte Notfallumgebungen abgespeichert werden, z.B. der Win7 Reparaturdatenträger (32win7.iso), UMBC for Windows (ubcd4win.iso) oder Hiren’s Boot CD (hirens.iso). Im Hautverzeicnis des Sticks ist nun das Installationsskript „install.cmd“ zu starten (überschreibt dem MBR des Sticks!) und die Fragen im cmd-Fenster entsprechend zu beantworten. Und fertig ist der multibootfähige Rettungsstick. Der syslinux-basierte Rettungs-Stick bietet eine gute Hardware-Erkennung und bietet mit den Notfallsystemen eine breite Palette an Notfallwerkzeugen. Der Stick kann auch als Medium für die Datensicherung verwendet werden.

c’t-Notfall-Windows 2010

Die Notfall-DVD mit Windows 2010 liegt der c’t-Ausgabe 06/10 bei, die seit dem 01. März 2010 im Handel verfügbar ist.  Die Live-CD (oder USB-Stick) wird mit dem WinBuilder-Tool und dem Rettungssystem aus Systemdateien von Windows 7 zusammengebaut. Die generierte Notfall-CD (mit Bootloader Grub4DOS) eignet sich zur Fehlerbehandlung von XP, Vista und Windows 7 Systemen. Als Quelldateien für Windows 7 kann die frei herunterladbare 90-Tage-Testversion von Windows 7 Enterprise verwendet werden. Auf Basis dieser Quelldateien kann nun mit dem Winbuilder eine Windows 7 PE (Preinstallation Environment) erstellt werden.

Die Notfall-Windows-DVD lässt sich mit anderen Rettungsmedien kombinieren und so zu einem universellen, kompakten Begleiter für alle Lebenslagen ausbauen. Zu den unterstützten Nothelfern gehören unter anderem die Rescue-CDs populärer Virenscanner, das Live-Linux Knoppix, der Speichertester Memtest86 oder Parted Magic, ein ebenfalls auf Linux aufbauendes Mini-System mit speziellen Werkzeugen für die Festplattenpartitionierung

Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de.

Die Live-CD beinhaltet folgende Toolsammlung:

  • Avira AntiVir Personal, G DATA AntiVirus 19.0.0.49
  • SpyBot Search & Destroy
  • Drive Snapshot, DeepBurner Free
  • FireFox 3.6
  • Partition Find and Mount 2.31, Restauration
  • PC Inspector File Recovery 4.0, Recuva 1.34.460
  • TestDisk 6.11.3, SoftPerfect File Recovery
  • Total Commander
  • Western Digital Data LifeGuard Diagnostic
  • WinSCP 4.1.6, Ultra VNC 1.0.5, Putty 0.60
  • Unknown Devices 1.4 Beta
  • RegAlyzer 1.6..2.16

Sobald das auf der Live-CD installierte PE-System gestartet ist, kann man die CD aus dem CD/DVD-Laufwerk entfernen. Das geladene Betriebssystem ist auf dem X:-Laufwerk als WIM-Image sichtbar. Im Reiter PE-Tools können nun Win7-Treiber von einer (Treiber-) Recovery-CD des Offline-Systems nachinstalliert werden. Die WinBuilder-Umgebung unterstützt nun auch WLAN-Treiber, die über den PE Netzwerkmanager gestartet werden können. Die Integration der WLAN-Treiber ist allerdings eher zufällig bzw. nicht stabil. Weitere spezifische Treiber des zu untersuchenden PCs können nachinstalliert werden (nur dann wenn kein Reboot erforderlich ist). Alternativ können auch spezielle Treiber in die WinBuilder-PE-Umgebung eingebunden werden.

Die Aktualisierung des GDATA-Virenscanner geht über „Viren-Update“, setzt aber eine ETH-Internetverbindung voraus. Eine Offline-Ablage der Virensignaturen ist hier nicht möglich.

Der Avira-Virenscanner konnte bei mir gar nicht gestartet werden.

Spybot Search & Destroy kann aus dem Internet aktualisiert werden und bekämpft Trojaner und Werbebanner.

Mit einem Internetzugang wäre aber auch der Einsatz eines Online Virenscanners wie der von ESET denkbar.

c’t-Notfall-Windows 2009

Die Notfall-CD mit Windows 2009 liegt der c’t-Ausgabe 26/08 bei, die seit dem 08. Dezember 2008 im Handel verfügbar ist.  Die Live-CD (oder USB-Stick) wird mit dem WinBuilder-Tool und dem Rettungssystem aus Systemdateien von Windows Vista oder Windows Server 2008 zusammengebaut. Die generierte Notfall-CD (mit Bootloader Grub4DOS 0.4.4) eignet sich zur Fehlerbehandlung von XP, Vista und Windows 7 Systemen. Als Quelldateien für Windows Server 2008 kann die 2 GB große Testversion aus dem Internet verwendet werden. Auf Basis dieser Quelldateien kann nun mit dem Winbuilder (Nightman-Version) eine Windows PE (Preinstallation Environment) V 2.1 (=Vista mit SP1) erstellt werden. Der WinBuilder liegt der Heft-CD als Zip-File ctnotw09.zip bei.

Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de.

Die Live-CD beinhaltet folgende Toolsammlung:

  • Avira AntiVir Personal 8.1.0.331, G DATA AntiVirus 2009 Spezialversion
  • SpyBot Search & Destroy 1.6.0
  • Drive Snapshot 1.39 Spezialversion
  • DeepBurner Free 1.9.0.228
  • MbrFix 1.0.9, MBRwizard 2.0b
  • Partition Find and Mount 2.31, Restauration 2.5.14
  • PC Inspector File Recovery 4.0, Recuva 1.20.361
  • TestDisk 6.10, SoftPerfect File Recovery 1.2
  • Total Commander 7.04a
  • Western Digital Data LifeGuard Diagnostic 1.09b
  • WinSCP 4.1.6, Ultra VNC 1.0.5, Putty 0.60
  • Unknown Devices 1.4.20, HxD 1.7.6.4

Sobald das auf der Live-CD installierte PE-System gestartet ist, kann man die CD aus dem CD/DVD-Laufwerk entfernen. Das geladene Betriebssystem ist auf dem X:-Laufwerk als WIM-Image sichtbar. Im Reiter PE-Tools können nun XP- oder Vista-Treiber nachinstalliert werden. Da die WinBuilder-Umgebung noch keine WLAN-Treiber unterstützt, kann über die Treiberintegration der PE-Tools die spezifischen Treiber des zu untersuchenden PCs nachinstalliert werden (nur dann wenn kein Reboot erforderlich ist). Alternativ können auch spezielle Treiber in die WinBuilder-PE-Umgebung eingebunden werden.

Die Aktualisierung des GDATA-Virenscanner geht über „Viren-Update“, setzt aber eine Internetverbindung voraus. Eine Offline-Ablage der Virensignaturen ist hier nicht möglich.

Die Aktualisierung des Avira-Virenscanner ist über die Funktion Update/Manuelles Update möglich. Über den Soft-Link (Avira AntiVir Personal 8, iVDF-Update mit 4 Dateien) kann eine aktuelle Virensignatur auf einen angeschlossenen USB-Stick heruntergeladen werden und dann manuell eingebunden werden. Allerdings bricht die Importprozedur wegen einer fehlenden Lizenz ab. Die Quarantäne Funktion entspricht hier der Löschfunktion, das das Quarantäne-Verz. auf dem X:-LW (nur im Hauptspeicher) abgelegt ist.

Spybot Search & Destroy kann aus dem Internet aktualisiert werden und bekämpft Trojaner und Werbebanner.

Desinfec’t 2011 (***)

Desinfec’t 2011 liegt der c’t-Ausgabe 8/11 bei, die seit dem 26. März 2011 im Handel verfügbar ist und verwendet nun eine Ubuntu-10.10-Live-CD (gute Hardware-Unterstützung) als Unterbau. Die Live-CD wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de.

Die Live-CD bietet neben der Standard-Startoption auch die Startoptionen im Failsafe-Modus (Problemhardware) und alternative Grafiktreibern (z.B. auch Standard-VESA Grafiktreiber).

Die Live-CD bietet in der 2011er Version sogar vier Virenscanner zur Auswahl:

  • Avira AntiVir 1.9.152.0
  • BitDefender AntiVirus AVCORE v2.1 11.0.0.26
  • Kaspersky Anti-Virus 5.7.20
  • ClamAV
  • Firefox Browser 3.6.15
  • Tool zum Zurücksetzen von Windows XP/Vista/7-Passwörtern (oder Terminal: sudo chntpw /pfad/zur/datei.sam)
  • dc3dd – unwiderrufliches Löschen der Festplatte
  • ddrescue – Partitionen und Festplatten klonen
  • PhotoRec
  • GParted 0.6.2
  • GNOME 2.32.0, Portscanner, Terminal

Wie schon bei den Vorgängerversionen gibt es auch bei dieser Desinfec’t Live-CD eine Möglichkeit die aktuellen Virensignaturen auf einem USB-Stick abzulegen. Allerdings gibt es keinen Updater mehr auf der Live-CD sondern nach dem Booten der Live-CD gibt es im Ordner Expertentools die Option „Virensignaturen auf USB-Stick kopieren“. Voraussetzung ist allerdings, dass die ETH/WLAN-Erkennung funktioniert, was beim Ubuntu-Unterbau zu erwarten ist. Der Update muss gleich nach dem Booten der Live-CD durchgeführt werden, da nach einem Scan die Funktion nicht mehr korrekt arbeitet. Nach Auswahl der Option wird auf einem mind. 1 GB großen USB-Stick ein Verzeichnis /desinfect angelegt.

Es ist bei dieser Distribution zu empfehlen zuerst die Maus zu bändigen bevor weitere Aktivitäten stattfinden. Über System/Einstellungen/Maus ist die Bewegungsfreiheit der Maus eingrenzbar.

Im nächsten Schritt sollte die Netzwerkkonfiguration (oben rechts) durchgeführt werden. Ein ETH-Kabel ist hilfreich; die WLAN-Erkennung funktioniert genauso gut auch bei neuerer Hardware (Core i3, etc.).

Nun das Icon „Desinfec’t starten“ doppelklicken und das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden PCs wird autom. vorgenommen. Bei Auswahl „FAT- und NTFS Partition autom. einbinden“ werden die Patitionen der Festplatte im Nur-Lesen-Modus ins Ubuntu Dateisystem eingehängt (gemountet). Bei Auswahl der Alternative „Laufwerke jetzt manuell einbinden“ werden die Partitionen schreibbar gemountet. Im letzten Schritt können ein oder mehrere Virenscanner ausgewählt werden.

Suchmodus (abh. vom Virenscanner): intelligent (ausführbare Dateien, Treiber, DLLs, etc.) oder vollständige Suche, Auswahl von Unterverzeichnissen, mit/ohne Archive, etc.

Desinfektionsmodus (abh. vom Virenscanner): Test (Daten bleiben unverändert), Quarantäne (verschiebt erkannte Viren nach \infected), Löschen.

Nach Abschluß der Virenscans werden entspr. Log-Files angezeigt und ein gesammelter Bericht als HTML-Datei erstellt. Angeschlossene USB-Sticks werden von der Live-CD erkannt und autom. gemountet.

Download der Vorgängerversion: Knoppicillin 6.0.2

Als experimentelle Zusatzfunktion integriert Desinfec’t erstmals die Option, das System bootfähig auf ein USB-Stick zu übertragen.

(***) Klare Empfehlung für Virenscan per Live-CD: Vierfacher Virenscan bei guter Hardware-Unterstützung mit WLAN-Integration.

Desinfec’t 8

Desinfec’t 8 (Nachfolger des textbasierten Knoppicillin) ist eine Live-CD basierend auf einem Fedora-12-Remix mit grafischer Benutzeroberfläche. Sie wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Desinfec’t 8 wird mit der c’t Ausgabe 02/10 am 4.1.10 zur Verfügung gestellt. Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de. Die Live-CD enthält u.a. wieder drei Virenscanner:

  • Linux Kernel 2.6.31.6
  • Avira AntiVir 3.0.5
  • BitDefender AntiVirus 7.90123
  • Kaspersky Anti-Virus 5.7.20
  • Desktop-Umgebung Gnome 2.28.1
  • Firefox 3.5.5
  • Brennprogramm Brasero 2.28.2

Wie schon bei der Knoppicillin Live-CD steht auch auf der Desinfec’t Live-CD ein Updater für die Virensignaturen zur Verfügung. Der Updater „kncupdater.exe“ befindet sich im Verzeichnis “LIVEOS”. Nach dem Start des Updaters muss man die Signaturen direkt auf einem Laufwerk oder einem USB-Stick in einem Ordner namens „d8update“ ablegen. Leider bleibt der Updater beim Akualisieren der Kaspersky Signaturen hängen. Die beiden anderen Virenscanner werden aktualisiert und auch nach dem Reboot von der Live-CD erkannt. Starten Sie dazu die Desinfec’t Live-CD und wählen den zweiten Bootmenü-Eintrag „HD-Update“. Der Menüpunkt zum Einspielen von lokalen Signaturdateien befindet sich im Desinfec’t-GUI-Hauptmenü unter „Updates“. Bei meinem Test habe ich den Menüeintrag nicht gefunden.

Bei Auswahl „Desinfec’t starten“ wird nach dem Hochfahren die Einrichtung einer Netzwerkkonfiguration (NetworkManager) ermöglicht. Ein ETH-Kabel ist hilfreich, die WLAN-Erkennung funktioniert nicht bei neuerer Hardware.

Die Live-CD bietet auch Startoptionen im Failsafe-Modus (Problemhardware) und ist geeignet für den Einsatz von alternativen Grafiktreibern (z.B. auch Standard-VESA Grafiktreiber).

Suchmodus: intelligent (ausführbare Dateien, Treiber, DLLs, etc.) oder vollständige Suche

Desinfektionsmodus: Test (Daten bleiben unverändert), Quarantäne (verschiebt erkannte Viren nach \infected), Löschen.

Nach Abschluß der Virenscans werden entspr. Log-Files angezeigt. Angeschlossene USB-Sticks werden von der Live-CD erkannt.

Download der Vorgängerversion: Knoppicillin 6.0.2

Das Knoppicillin-Nachfolgeprodukt “Desinfec’t” ist in der Version 8 auf der Software-Kollektion-CD 1 im c’t-Heft 02/10 enthalten. Aufgrund von Lizenzvereinbarungen mit den Herstellern kann es jedoch nicht als Download-Version online angeboten werden, ebenso wie die Knoppicillin-Version 7. In beiden Fällen muss man auf die CD-Version in den jeweiligen Heften zurückgreifen.

Zu Desinfec’t 8 gibt es im entspr. Forum eine Vielzahl von Fehlerhinweisen. Die Nachfolgeversion Desinfec’t 2011 liegt der c’t-Ausgabe 8/11 bei, die seit dem 26. März 2011 verfügbar ist. Version 2011 verwendet eine Ubuntu-10.10-Live-CD als Unterbau und läuft wesentlich stabiler.

Noch ein Hinweis: Ein Fehler im Programmablauf verhindert, dass die HD-Updates automatisch eingespielt werden. Starten Sie zur Umgehung des Problems Desinfec’t ganz normal, wählen Sie „Virensuche mit Desinfec’t“ und übergehen Sie die Fehlermeldung zu fehlenden Updates, sodass Sie ins Schnellstartmenü gelangen. Wählen Sie Dort „Menü“, „Updates“, „Lokal“ und in der Liste das Laufwerk, auf dem das d8update-Verzeichnis liegt.