„Deutschlands beste Notfall-DVD“

beste_notfall_dvdMit Heft 04/2014 stellt die Redaktion der Zeitschrift PC Magazin eine spezielle Notfall-DVD „Einlegen, Booten, Retten“ zur Verfügung, die als beste Notfall-DVD in Deutschland bezeichnet wird. Das Rettungsmedium setzt sich aus unterschiedlichen Notfall-Einzelsystemen zusammen, die aus einer iso-linux-Umgebung (Version 4.07) gebootet werden können:

  • Datenwiederherstellung: LessLinux Search and Rescue
  • Datenwiederherstellung: PartedMagic 2013_08_01 auf Basis Linux Kernel 3.10.4
  • Sicherheit: Avira Rescue System auf Basis Ubuntu 12.04 LTS
  • Sicherheit: Kaspersky Rescue Disk 10.0.32.17
  • nicht bootfähig: USB-Schlüssel, Anonym, Portable Apps, USB-Installation

Eine Besonderheit der „LessLinux Search and Rescue“-Umgebung ist der Datenzugriff auf Windows-Schattenkopien. Mit dem Tool vshadowinfo und vshadowmount wird in dem dazugehörigen Artikel auf S. 42 der offline-Zugriff auf Schattenkopien einer Windows-basierten Systempartition beschrieben. Beispielhaft wird der Zugriff auf die offline VSS-Umgebung folgendermaßen durchgeführt:

vshadowinfo /dev/sda2 (liefert Store-NR der verfügbaren Schattenkopien für Partition sda2)

Die höchste Store-Nummer soll anhand des neusten „Creation Time“-Eintrages ermittelt werden, z.B. Store 2.

mkdir -p /temp/vss/sda2 (erstellt temp. Verz. zum Einhängen von Dateistrukturen)
vshadowmount /dev/sda2 /temp/vss/sda2 (erstellt Datei(en) - vss<NR> - zu jedem Store-Eintrag)
losetup /dev/loop2 /temp/vss/sda2/vss2 (verknüpft den Loop-Geräteknoten "loop2" mit der Datei "vss2")

Das sda2 Laufwerk mit Festplatten-Tool (über graph. Benutzeroberfläche) mounten.

mount -t ntfs-3g -o ro /dev/loop2 /media/disk/sda2 (Stellt /media/disk/sda2 in den Dateibaum ein, als wäre /dev/loop2 eine ganz normale Festplatte)

Nun können die Datenstrukturen mit dem VSS-Schnappschuss im Verzeichnis „/media/disk/sda2“ auf ein externes Sicherungsmedium kopiert werden.

Als weitere Maßnahme zur Datenrestauration steht mit der Funktion „Rettungswerkzeuge/ Daten retten“ das Tool PhotoRec zur Verfügung, welches per Assistent eine Datenrestauration auf Blockebene ermöglicht.

Die Virenscantools Avira Rescue System und die Kaspersky Rescue Disk 10 wurden hier im Blog schon beschrieben. Beide Tools beinhalten einen WLAN-Client und führen per Assistent eine automatisierte Aktualisierung der Virensignaturdateien durch. Auch das Mounten der Offline-Umgebung erfolgt automatisiert. Der Benutzer muss nur noch diejenigen Laufwerke auswählen, welche gescannt bzw. gesäubert werden sollen. Beide Tools beinhalten auch einen Registry-Editor, der den Zugriff auf die Registry des Windows-basierte Offlinesystems ermöglicht.

Kaspersky Rescue Disk 10

kasperskyDie Kaspersky Rescue Disk Version 10.0.31.4 basiert auf einem Gentoo-Linux System mit einer Windows-ähnlichen graphischen Benutzeroberfläche. Die Live-CD ermöglicht ein beschädigtes System zu reparieren, Daten zu retten oder eine (offline) Virenüberprüfung (inkl. Ransomware) des PCs durchzuführen. Das Rescue System kommt mit unterschiedlicher Hardware (VESA-kompatible Grafikkarte) gut zurecht. Im Textmodus bootet die Textoberfläche in Form des Konsolen-basierten Dateimanagers Midnight Commander.

Die Rescue CD kann als iso-Datei heruntergeladen werden und muss danach auf eine CD-ROM gebrannt werden. Die Kaspersky Rescue Disk kann z.B. auch per SARDU auf einem USB-Stick abgelegt werden. Ebenso ist möglich die Rescue Disk 10 mit dem Tool Kaspersky USB Rescue Disk Maker (rescue2usb.exe) auch auf einem USB-Stick zum Einsatz zu bringen. Wählen Sie bei der Installation des Tools die iso-Datei der Rescue Disk 10 aus und schließen einen mind. 250 MB großen leeren USB-Stick an ihrem Rechner an. Nach einem Klick auf „START“ wird die iso-Datei auf dem USB-Stick installiert.

Die Virensignaturen der Rescue Disk können mit einem Netzwerkkabel über einen DSL-Router mit DHCP aktualisiert werden; eine Handvoll WLAN-Treiber stehen in der aktuellen Version des Rescue-CD zur Verfügung. Im Zweifel ist der Rechner per LAN-Kabel mit dem Router zu verbinden.

Nach dem Start der Rescue-CD startet neuerdings erst einmal der Midnight Commander im Textmodus. Mit Auswahl der Option „x“ startet die grafische Benutzeroberfläche. Um hohe Kompatibilität zu erreichen, wählt man im nächsten Schritt den Standard-Desktop Xorg-Run. Im Grafikmodus wird nun versucht die Laufwerke zu mounten. Parallel wird unten rechts angezeigt, ob verfügbare WLAN-Geräte erkannt wurden. Im Dialogfenster Betriebssystem kann das zu untersuchende Betriebssystem ausgewählt werden. Im Idealfall gelingt das Mounten und die erkannten Laufwerke werden auf dem Desktop angezeigt.

Noch bevor die Virensignaturen zu aktualisieren sind, kann eine statische Bereinigung der Offline-Registry des Rechners durchgeführt werden. Im Terminal-Fenster ist zur Bereinigung von Randsomware (BKA-Trojaner, Ukash-Trojaner, etc.) nur der Befehl „windowsunlocker“ einzugeben. Die Standard-Option „1“ ist zu bestätigen und die Registry wird automatisch von verdächtigen Autostart-Einträgen bereinigt (auch googleupdate.exe muss daran glauben). Ist die Bereinigungsaktion abgeschlossen wird mit Option „0“ der Unlocker beendet.

Die Kaspersky Rescue-CD eignet sich somit ganz besonders zum Löschen aller Art von Lösegeld-Trojaner wie BKA-/FBI-/Bundespolizei-Trojaner (Randsomware). Weitere Hinweise zu diesen Trojanern finden Sie auch auf der Website http://www.bka-trojaner.de

Im nächsten Schritt müssen die Virensignaturen aktualisiert werden. Bei Verwendung eines passenden WLAN-Clients kann unten rechts das Netzwerksysmbol doppel angeklickt werden. Im Idealfall wird der Name des WLANs angezeigt und nach Eingabe des Kennwortes ist dieses aktiviert.

Der Virenscan wird mit Doppelklick auf „Kaspersky Rescue Disk“ gestartet (falls das Fenster nicht schon automatisch gestartet ist). Im Register „Update“ kann die Aktualisierung der Virensignaturen angestoßen werden.

Als nächstes ist das Register „Untersuchung von Objekten“ auszuwählen. Hier können die zu untersuchenden Objekte ausgewählt werden (z.B. Laufwerke/Verzeichnisse, Bootsektoren, Autostarts, etc.). Nach Auswahl eines Laufwerkbuchstabens können mit „Hinzufügen“ auch Unterverzeichnisse für den Virenscan ausgewählt werden. Werden die Laufwerksbuchstaben nicht angezeigt, können im Dialogfenster „Untersuchungsobjekte auswählen“ im Feld „Objekt“ die Laufwerke/Verzeichnisse direkt eingegeben werden, z.B. mit „/mnt/…“. Die Mounteinträge können über den Dateimanager kopiert werden. Dazu ist der Dateimanager zu starten, „Benutzerdef. Pfad“ anklicken, Ordner „mnt“ wählen, Ordner „MountedDevices“ wählen, Orden-/Verz.-struktur wählen, rechte Maustaste und „Kopieren“ wählen. Im Dialogfenster „Untersuchungsobjekte auswählen“ nun im Feld „Objekt“ den Pfad mit STRG-V einfügen. Zu Beginn des Eintrags „file:///…“ löschen, so dass der Eintrag mit „/mnt/…“ beginnt.

Scanmethoden: Alle Dateien scannen, Einschränkungen durch Dateimasken möglich.

Aktion bei Malware-Fund: Aktion nach Abschluß der Untersuchung erfragen, Aktion sofort erfragen, Aktion ausfühen (Desinfizierung bzw. in Quarantäne oder Löschung).

Bedrohungen: Viren, Würmer, (Lösegeld-)Trojaner, Malware, Adware, Dialer, verdächtige Packer und heuristische Analysen.

Besonders gelungen ist auch der Kaspersky Registry Editor. Wenn dieser per Desktop-Icon gestartet wird, kann auf die Registry des Offline-Systems zugegriffen werden. Die grafische Benutzeroberfläche ermöglicht ein komfortables Arbeiten analog dem Tool Regedit. Veränderbar sind die Hives HKey_Local_Machine und HKey_Users. Über diese Hives können Autostarteinträge verändert werden. Dieser Registry-Zugang zum Offline-System ist vor allem dann besonders hilfreich, wenn bei einem Windows Start im abgesicherten Modus ein Aufruf von Regedit nicht mehr möglich ist.

Um eine Datensicherungen des Offline-Systems durchführen zu können steht der Dateimanager x File Explorer zur Verfügung. Unter „/mnt/MountedDevices“ kann auf die Partitionen des Offline-Systems zugegriffen werden. Angeschlossene USB-Sticks werden erkannt und eingebunden, wenn sie beim Booten eingesteckt waren.

Neben dem Dateimanager steht auch ein Mozilla Firefox, ein Terminal und ein Screenshot-Tool zur Verfügung. Die Konfiguration des Netzwerkes (Proxy, etc.) kann über den Menüpunkt „Netzwerk konfigurieren“ durchgeführt werden.

c’t Notfall-Windows 2011

ctDie bisher vorgestellten Live-CDs basierten entweder auf einer Windows PE Umgebung mit umfangreicher Toolsammlung oder auf einem Linux-basierten Virenscannerprodukt. In der ct 2011 Heft 17 wird nun eine Kombination aus beiden Umgebungen möglich. Im ersten Winbuilder-Projekt (CC7PE2011) wird eine Windows PE 3.0 basierte iso-Datei erzeugt, die in einem zweiten Multiboot-Projekt (CCMultiboot2011) mit anderen Live-CDs integriert wird. Das Ergebnis der Mulitboot-Umgebung (Grub4DOS 0.4.5b) kann auf einem USB-Stick abgelegt werden, der sowohl eine Windows PE 3.0 Umgebung mit zahlreichen Windows-Tools als auch mehrere Virenscanner-Live-CDs beinhaltet.

Als Datenquelle für das erste Windows PE Projekt kann wie bei den zuvor vorgestellten Winbuilder-Installationen die Setup- bzw. Installations-DVD von Windows 7 (Starter, Home Premium, Prof., etc.) verwendet werden. Alternativ kann eine 90-Tage Testversion von Windows7 bei Microsoft heruntergeladen werden. Auf dem Begleitdatenträger der ct 2011 Heft 17 befindet sich eine vorbereitete Winbuilder-Umgebung, die in das Verzeichnis „c:\ctNotPE2011“ zu entpacken ist. Wenn Sie den Winbuilder gestartet haben geben Sie zuerst als Datenquelle die Windows7-Setup-DVD an (analog den zuvor hier im Blog besprochenen Winbuilder-Installationen). Wenn Sie zunächst keine virtuelle Umgebung erstellen wollen, entfernen Sie unter „VirtualTest/Best Emulation“ das Häkchen. Damit ist das erste Projekt fertig für die Erstellung, die Sie oben rechts mit der Play-Taste starten können. Als Ergebnis bekommen Sie im Unterordner „Projekte/iso“ eine bootbare iso-Datei generiert, die auf eine CD gebrannt werden kann (alternativ über „CC7PE2011\Finalize\Create ISO/CD“ und „Burn current ISO“).

Richtig gut wird die Notfall-Umgebung durch Kombination mit weiteren Live-CDs. Eine solche Multiboot-Umgebung kann mit dem zweiten Projekt „CCMultiboot2011“ erstellt werden. Die Live-CDs von Parted Magic 6.2, Memtest 86+, AVG Rescue CD, Avira AntiVir Rescue System, Kaspersky Rescue Disk 10, Panda SafeCD und der zuvor erstellten Windows PE-Umgebung sind im ct-Paket schon integriert. Kostenlos ergänzen können Sie die Live-CD-Pakete von Bitdefender Rescue CD, Dr. Web, F-Secure Rescue CD, Microsoft System Sweeper und die Windows XP Recovery Console. Die erforderlichen Downloads können über den Projektbaum der Winbuilder-Umgebung vorgenommen werden. Automatisch integriert ist das iso-File des ersten CC7PE2011-Projektes, falls es zuvor mit dem Play-Button erstellt wurde. Im Zweig „Finalize“ der Baumstruktur des Multiboot-Projektes kann schließlich das Ausgabemedium gewählt werden. Mit Auswahl „Create USB drive from target folder“ wird die Multiboot-Umgebung auf einem USB-Stick erstellt, der bootfähig generiert wird.

In die Multiboot-Umgebung kann auch die Hiren’s CD 13.2 integriert werden. Dazu ist in der Multiboot-Struktur unterhalb von „%files%\hiren“ das heruntergeladene zip-File zu entpacken. Hiren’s CD 14.0 funktioniert hier nicht, da ein anderer Bootloader zum Einsatz kommt. Schließlich ist auch die Knoppix-CD in die Multiboot-Umgebung integrierbar. Dazu sind nur die beiden Ordner „boot“ und „KNOPPIX“ von der Knoppix-Boot-CD in die entspr. Dateistruktur nach „%files%\knoppix\“ zu kopieren.

Im Gegensatz zu den zuvor vorgestellten Winbuilder-Paketen funktioniert bei diesem ct-Paket (CC7PE2011) keine WLAN-Unterstützung in der Notfall-Umgebung, selbst wenn man versucht den passenden WLAN-Treiber nachzuinstallieren.

Für den Einsatz der Windows XP Recovery Console in der Multiboot-Umgebung ist das Häkchen bei Catch22fix nicht zu setzen, da sonst ein Fehler beim Build auftritt. Die erforderlichen Dateien für die Recovery Console werden automatisch mit dem Build (Play-Taste) heruntergeladen.

Auf meinem Core i3 Notebook habe ich weiterhin einige Probleme mit den Live-CDs: Bei der Kaspersky CD wird die Maus nicht erkannt, die Avira CD, Dr. Web CD und F-Secure CD zeigen kein Bild, Parted Magic 6.2 und AVG bieten keine WLAN-Unterstützung zum Update der Virensignaturen, etc.