> Ich fände es sehr schön, wenn Du auch einflechten könntest, wie ein User
> handeln muß, wenn sein PC zum Beispiel verseucht ist und er nur noch via
> Live-CD Datenrettung betreiben kann. Oft ist es ja so, daß mit dem PC
> Online-Banking etc. betrieben wird, und das System so kompromittiert ist,
> daß auch ein Geldschaden zu beklagen ist, vom Verlust der persönlichen
> Daten ganz zu schweigen.
Das Vorgehen dürfte sehr von der Art des Schadens abhängen.
Ich hatte mal eine Windoof-Installation, bei der einiges auf einen Virenbefall hindeutete. Das System ging immer wieder ins Internet, obwohl kein Grund dafür vorhanden war; der Rechner war immer mal wieder recht beschäftigt, obwohl ich ihm nix zu tun gegeben hatte; auf der Festplatte waren etwa 100 MB mehr belegt als es hätten sein sollen. Letzten Endes fand ich aber auch nicht mehr darüber heraus, und ein oder zwei Virenscanner fanden auch nix. Also musste ich mir gut überlegen, was ich tun würde.
Ich habe schließlich alle Dateien, die wichtige Daten enthielten und mit hoher Wahrscheinlichkeit nicht viren-verseucht waren (z.B. auch sehr große Sounddateien), in Sicherheit kopiert und alles Entbehrliche sowie sämtliche ausführbaren Dateien gelöscht. Danach habe ich das System z.T. aus einem (meines Wissens unverseuchten) Image wiederhergestellt und den Rest wieder nachinstalliert, anschließend schaufelte ich die geretteten Daten-Dateien zurück.
Das habe ich zwar größtenteils mit einer Windows-98-Bootdiskette gemacht, aber prinzipiell geht es auch mit Linux. Ist allerdings sehr zeitaufwändig, wenn auch als \"Entschädigung\" dafür recht sicher.
Wer hingegen sicher ist, den Virus erkannt zu haben und das auch mal nachprüft (tut der tatsächlich vorhandene Virus nur *genau* das, was der irgendwo beschriebene auch tut - nicht mehr, aber auch nicht weniger?), kann u.U. auch nur die \"Ecken\" löschen, in denen dieser Virus sitzt - aber wehe, wenn man sich irrt oder auch nur eine einzige \"Ecke\" übersieht, oder wenn der gefundene Virus noch einige seiner \"Freunde\" mitgebracht hat, und man Letztere übersehen hat... oder wenn der Virus schon irgendwas heimlich im System geändert hat... Denkt man nur böswillig genug, dann gibt es kaum noch eine sichere Entseuchungsmethode.
Ich denke daher, dass man das Thema vermutlich auch nicht komplett \"erschlagen\" kann.
> Ich meine mich zu erinnern, daß Du mal schriebst ( ich weiß aber nicht
> mehr wo), daß man mit einer Linux-Distri auch ein Image des
> kompromittierten Systems machen kann, sofern keine entsprechende
> Image-Software vorliegt. (Mal abgesehen davon, daß ein Image bei so *einem
> Fall* eh so gut wie nie gemacht wurde). Das ist doch v. a. wichtig für
> evtl. Beweissicherung, -> z. B. bei Online-Banking, was ich ansprach.
>
> Welche Voraussetzungen sind hierfür nötig, was muß beachtet werden? Das
> interessiert mich sehr, und ich denke, auch viele andere User. 
Im Prinzip geht sowas sehr einfach, hat aber ein oder zwei Haken.
Man kann mit dem Programm \"dd\", was bei nahezu allen Distributionen mitgeliefert wird (incl. Live-Distributionen), eine Partition in eine Datei hineinkopieren. Man schreibt dann z.B. etwas wie \"dd if=/dev/hda1 of=/sicherung/partition1.dd\"; in diesem Fall würde die unter Linux als /dev/hda1 zu sehende Partition (häufig die Windows-Bootpartition auf der ersten (/dev/hda) Festplatte) in die Datei \"partition1.dd\" im Verzeichnis \"/sicherung\" kopiert. Wie ein Image also. Zurückschreiben geht mit \"dd if=/sicherung/partition1.dd of=/dev/hda1\".
Ein großer Nachteil davon ist, dass die erzeugte Datei so groß wird wie die Partition, die man in ein Image verwandelt. Es ist dabei unwichtig, wieviele *Daten* auf der Partition sind! Ist eine Partition 10 GByte groß, aber nur mit 1 GByte Daten belegt, dann wird die Datei trotzdem 10 GByte groß! dd kann eben nicht erkennen, welche Teile der Partition leer sind und in welchen Teilen Daten drin sind.
Ich habe bisher auch keine Möglichkeit gefunden, die entstehende \"Image\"-Datei schon *waehrend* des Erzeugens zu komprimieren. Man kann es zwar *hinterher* noch machen, aber dann braucht man *noch* mehr freien Platz auf der Platte, auf die man die Datei schreibt. Erst muss man sie ja erzeugen und dann auch noch komprimieren. Danach erst kann man die unkomprimierte Datei wieder löschen. Und bei einem eventuellen Zurückschreiben der Datei in die Partition käme dasselbe Theater dann in umgekehrter Weise.
Ferner teilt dd die Partition auch nicht automatisch in passende \"Häppchen\" auf, allerdings kann man das \"von Hand\" selber machen (dazu benutzt man die Zusätze \"bs=...\" und \"count=...\" zu dd, die in der man-page zu dd halbwegs erklärt sein müssten). Ist dann wichtig, wenn man eine 10-GByte-Partition irgendwie auf DVDs schreiben will, die ja nur max. ca. 8,5 GByte (bei Double-Layer-Rohlingen) Platz bieten. Komfortabel ist das aber nicht.
Ausserdem wird es auch zu Problemen kommen, falls man innerhalb der Partition defekte Sektoren auf der Festplatte hat, selbst wenn diese als solche markiert sind (was zumindest die FAT-Dateisysteme ja erlauben). dd bricht dann mit einer Fehlermeldung ab. Solche defekten Bereiche sind zwar heutzutage seltener geworden als früher, aber sie kommen immer noch vor - und nicht in jedem Fall ist es sinnvoll, die Platte gleich wegzuschmeißen und eine neue zu kaufen (außer, man sponsort gerne mal die Plattenindustrie...).
Vorsicht ist auch geboten insbesondere beim Zurückschreiben eines Images. dd fragt hier nicht nach und macht auch keinerlei Plausibilitätsprüfungen - wer beim Zurückschreiben die falsche Partition angibt, löscht auf dieser Partition die Daten, und die sind dann unrettbar futsch (falls man kein Image davon hat). Also bitte die Angabe hinter \"of=\" sehr sorgfältig überprüfen!
Last but not least kann man evtl. mit manchen dieser Images nur noch relativ wenig anfangen, falls man sie nicht genau auf dieselbe Stelle der benutzten Platte zurückschreiben kann. Falls nämlich das verwendete Dateisystem irgendwo absolute Ortsangaben hat (etwa \"Spur 447, Seite 3, Sektor 12\"), dann läßt sich das Image nicht mehr verwenden, wenn man nicht mehr genau dieselbe Stelle der Platte für\'s Image-Zurückschreiben nutzen kann, oder wenn das Image auf eine neue Platte drauf muss (z.B. wenn die alte kaputt gegangen ist). Welche Dateisysteme von diesem Problem betroffen sind, weiß ich nicht.
Zumindest einen Teil dieser Nachteile kann das Programm \"partimage\" für Linux aufheben. Es arbeitet zwar meines Wissens irgendwie auf Basis von dd, aber es funktioniert eher wie \"klassische\" Imaging-Programme, wie man sie von verkauften Programmen (Drive Image, True Image) her kennt. Leider habe ich mit einer früheren Version von \"partimage\" Probleme; mal konnte ich Images wieder zurück auf die Platte schreiben, mal nicht. Und beim Erstellen der Image-Datei konnte man nicht wissen, ob sich das Ergebnis wieder zurückschreiben lassen würde oder nicht. Das ist dann für ein Backup ziemlich schlecht...
Die \"System Rescue CD\", zu finden unter http://www.sysresccd.org/ , enthält ein kleines, bootfähiges Live-System auf Linux-Basis, das diverse Programme zur Datenrettung an Bord hat, darunter auch \"partimage\".
Soviel zu diesen Themen von mir, aber vielleicht können andere hier im Forum ja auch noch was dazu beisteuern. Der Thread-Starter hat dann die Ehre, aus all unserem Geschreibe hier irgendwas Lesbares zusamen zu basteln...
Archiv