So folgender Text bezieht sich auf den vorletzten Post.
Nicht auf deinen letzten.
Madnex schrieb:
Das ist auch kein Wunder, da die Transferrate der Festplatte nach hinten hin abfällt.

Eine Festplatte ist vorne schneller als hinten. Das hat mit dem Dateisystem nicht viel zu tun.
Also das mit dem Defienieren stimmt, bei mir ist hinten der Äussere Bereich, da er vom wichtigen Index Bereich im Beispiel einer CD wegverläuft nach außen halt.
Du sagst ja das HD´s von außen noch innen schreiben(oder aber immer da wo gerade was frei ist) ist bestimmt so.
Eine plausible Erklärung, warum die Laufwerke von C nach D u.s.w lansamer sind.
Wenn du dir einen Virus eingefangen hast, als du in einem beschränkten Benutzerkonto gesurft hast, kann der Virus das System nicht lahmlegen. Wechselst du dann ins Admin-Konto, müsste der Virus von dir persönlich ausgeführt werden, um Schaden anrichten zu können. Selbst starten kann er sich nicht, da er sich von Internet-Konto aus nicht z.B. in den Autostart-Ordner des Admin-Kontos eintragen kann.
Es ist sehr viel möglich, daß Konto des Admins ist kein undurchdringlicher Panzer.
Vor allem nicht bei Windows, wenn ich als Admin eine Datei aussführe.
Ich kann Dateien des Gastes ausführen wie ich will als Admin.
Diese Daten des Gastes die ich als Admin aussführe, haben auch Schreibzugriff, nicht vergessen das ist nicht Linux wo das viel schlauer gemacht ist.
Am Autostart Ordner setzt kein guter Virus an.
Ein guter Virus, wird versuchen am schwächsten internen Punkt ansetzen, der Registry.
Besser gesagt. (Deren volle Zugriffsrechte der Admin ja hat)
Am gesammten
HKEY_LOCAL-MACHINE
Teil
HKEY_LOCAL-MACHINE\SECURITY <------Der knackpunkt Nummer 1.
Hier eine Änderung zuviel es es geht gar nichts mehr, beim nächsten Systemstart.
Und da hilft auch keine Systemwiederherstullung und kein abgesicherter Modus.
Ja und, wo ist das Problem? Sollte das wirklich mal passieren, kann ich mir über das Admin-Konto ganz leicht die Besitzerrechte aneigenen.
Guck mal oben *g* was du kannst während du Admin bist, kann der ausgeführte Virus auch.
Auch ansonsten ist es kein Problem. Über Linux (z.B. per Knoppix von CD) kann ich ganz einfach auf die Daten zugreifen, da diese Zugriffssperre nur greift, wenn Windows geladen ist. Selbst über DOS mit einem NTFS-Treiber könnte ich problemlos auf diese Daten zugreifen und sie auf eine FAT Partition kopieren.
Das erste Problem ist der Auslagerungsplatz den du in diesem Fall brauchen wirst.
z.B wäre meine größte externe Platte die 160GB komplett gesperrt wäre ich am Sack.
Den wo den Platz auslagern ? (Um drauf zu Kopieren oder Platz zu schaffen)
Auf die internen Partitionen die >NTFS< sind ?
Und auf die ich(Jetzt wird es interessant)
nicht mit Linux schreibend zugreifen kann, im Falle von NTFS ohne das hohe Risiko das es schiefgehen wird.
Da der Windows XP NTFS Treiber praktisch misbraucht wird, wirst du keine einzige Distribution finden, wo nicht dransteht das es nicht empfohlen ist und riskant dazu.
Und auch keine wo der NTFS Treiber dabei ist(nicht mal bei Kanotix) ist einer dabei.
Immer nur Captive NTFS (setzt voraus das der Treiber überhaupt noch auf der Platte ist)
So dann kommen wie zu Dos, du schreibst oben "könnte ich" ich hab das folgende in der Praxis erlebt.
Erstellst du über WindowsXP eine DOS Boot-CD bracht ja zum Glück kein NTFS Treiber, um NTFS zu lesen.
Aber die Nutzrechte greifen immer noch, sogar besser.
Mein Kollege hatte das Prob mit dem Key, die Dateien waren ersichtlich, aber Xcopy und Copy brachte nichts.
Das lesen ging, allerdings nicht das schreiben. (wir wollten von NTFS auf FAT schreiben, deshalb das mit dem besser halten)
Jedesmal kamm eine Fehlermeldung das, wir nicht die Rechte hätten.
Der einzige möglichkeit das sicher über die Bühne zu bringen, wäre eine PE-Builder Boot CD
zu haben, aber auch da ist nicht garantiert das es(mit den Rechten) hinhaut.
Der Sinn der beschränkten Zugriffsrechte ist nicht die Daten vor allen Zugriffsmöglichkeiten dritter zu schützen, sondern das laufende System z.B. gegenüber dem Internet so gut wie möglich abzuschotten.
Stimmt, aber schonmal gehört das der dritte auch jemand im Netz sein kann ?
Thema Exlpoiten
Was macht der Hacker ?
Eine von 2 typischen Wegen, er verursacht einen Buffer-Overflow.
Das legt fast den gesammten Rechner lahm.
Dann eignet er sich die Rechte zu, und kann machen was er will.
Das ist eine Tatsache.
Lies mal John Erickson's "Hacking The Art of Exploitation"
In diesem Fall warst du eher der Schuldige. Wie ich bereits geschrieben habe, hättest du das ganz leicht durch den Einsatz einer PFW (die du offensichtlich nicht installiert oder aktiviert hattest) eines Routers oder durch das rechtzeitige Einspielen des Updates verhindern können. Bevor solche Sicherheitslücken ausgenutzt werden, steht in den Meisten aller Fälle ein Update bereit. Auch ein Router oder eine vernüftige Systemkonfiguration (das abschalten nicht genutzter Dienste) verhindert solche Infizierungen in der Regel zuverlässig. Wer mit einem ungeschützten/unkonfigurierten System ins Internet geht, braucht sich da nicht zu wundern.
Erstens die Firewall blockt nur das unbekannte.
Deshalb den Träger, der verschickt ohne das man es mitkriegen soll
Madnax schrieb:
Viren werden immer mehr so geschrieben, dass sie möglichst unentdeckt im System bleiben. Das Hauptziel dabei ist nicht etwa den Anwender zu ärgern (System auslasten, Dateien löschen usw.) sondern den Rechner quasi zu übernehmen/zu kontrollieren (ohne dass es der eigentliche Besitzer mitbekommt). So werden auf der Platte des übernommenen Rechners u.a. Server installiert, die z.B. zum Senden von Spam-Mails oder zum Lagern und Verteilen von Kinderpornos genutzt werden. Kein Antivirenprogramm ist dazu in der Lage alle Viren zu erkennen geschweige denn komplett zu entfernen. Wird als Dateisystem nicht NTFS benutzt und nutzt man nicht die Möglichkeit der beschränkten Benutzerrechte, ist es ein leichtes PFWs und auch Antivirenprogramme zu manipulieren und zu umgehen.
So du glaubst also das eine FW reicht um einen >>Träger<< zu erkennen, oder die ach so tollen Router, die einfach nur Ports sperren.
Genau wie die FW.
Das besagst du praktisch damit, wenn ich mir beide Coments anschaue.
Meine Empfelung: Pass beim nächsten mal auf das auf, was du schon geschrieben hast.
Und der Träger nutzt z.B bekannte Progs.
Diese ach so tollen Update/Patch Packs.
Die bringen null, daß einzige wirkliche Update das man draufhaben sollte ist das SP1A das die wirklich große Lücke, die Sasser u.s.w genutzt haben abgedeckt hat.
SVCHOST.EXE <---War der Hauptangriffspunkt.
Das beste ist unnötige System Dienste abzuschalten, und z.B nur
Bei den Netwerkeinstellungen
QuS Packetplaner
Internetprotokoll TCP/IP
Netzwerkmonitor
zu aktivieren, der Rest ist bei einem Einzelnutzer PC ohne Router völlig nutzlos.
Genau so wie all diese Funktionen.
Portscans sind nichts schlimmen und gehören zur Funktionsweise des Internets. Nur weil dein Rechner nach offenen Ports gescannt wird, bedeutet das noch lange nicht, dass du angegriffen wirst. Erkundige dich mal über die Funktionsweise des TCP/IP-Protokols, das für die Kommunikation zwischen Rechnern im Internet zuständig ist.
Aha also wenn mein Virenkiller beim Surfen ausflippt, ist das weil nicht nach Ports die Nötig sind gescannt wurde.
Port 80 ist nötig zum surfen, und das wars.
Warum zum Geier sollte einer wissen wollen welche Ports auf sind ?
Ich sag es dir anhand defekter Datenpakete wird er wenn er einen offenen Port kennt, sehr schnell rausfinden welches BS+SP+Browser u.s.w ich habe, um seinen Angriff daraus auszurichten.
Das habe ich schon angeführt aber da du anscheindend nicht weißt was ich damit meine, haßt du es einfach überflogen, während ich zu allem was sage.
Nochmal eine Empfhelung: Mehr PC-Praxis lesen, und sich mit Hacker Büchern auseinander setzen.
Schön, dass du vermeindlich unsichtbar bist im Internet. Nur frage ich mich, wenn du ja unsichtbar bist, wie du dann mit anderen Rechnern in Kontakt treten kannst. Und wie sie mit deinem Rechner in Kontakt treten können. Das mit dem Steahlt Mode ist Marketinggeblubber der PFW Hersteller, wodurch genau das Gegenteil bewirkt wird. Man kann es in etwa mit einem Haus vergleichen, das an einer stark befahrenen Straße steht mit einer Leuchtreklame auf dem Dach, wo steht "HIER IST KEIN HAUS". Auch hier lautet meine Empfehlung: Setze dich mit dem TCP/IP-Protokoll auseinander.
Der Stealth Mode besagt, daß nicht ersichtlich ist welches BS u.s.w ich nutze und Portscans abgeblockt werden, es geht wieder darum, daß der Hacker nicht gleich seine Strategie festlegen soll.
Und nicht daß meine IP verschleiert wird(du wolltest mir anhängen ich sei zu hohl um zu wissen das ohne eine IP keine Komunikation möglich sei)
Daß geht nur über einen Level 1 Proxie bei deaktiviertem JAVA.<--Das immer Proxies überspringt, selbst wenn man Java einstellt.
Mach den Test such dir einen Level 1 Proxie aktiviere Java.
Und teste deine IP hier.
Ipnummer.de
Meine Empfehlung: Lies mal genau nach, und informiere dich in Zeitschriften, die mehr als 15Jahre Erfahrung haben, und Harcore IT-Spezialisten.
Ich beziehe mein Wissen aus Büchern, Zeitschriten und dem Kontakt zu Hackern.
Mach bitte mal ein kleines Experiment. Versuche den Task deines passwortgeschützten Kaspersky im Task-Manager zu beenden. Du wirst sehen, dass das ohne Probleme möglich ist und somit ist auch jedes andere Programm dazu in der Lage.
Keine Chance beides, Shield und GUI laufen getrennt, und beides konnte ich als Admin
nicht im Taskmanager ausschalten. (frag mal andere ob das geht, die werden das selbe sagen)
Tja Kaspersky ist halt nich Anti-Vir.
Das einfacher als du denkst. Das Manupulieren erledigt Zone Alarm selbst.

In der PC Pro 3/05 wurden einige Personal Firewalls getestet. Darunter auch Zone Alarm. Unter anderen wurden Leaktests durchgeführt. Also es wurde versucht Daten unbemerkt von der PFW an dieser vorbei ins Internet zu senden. Von ingesamt 21 unterschiedlichen Leaktests konnte Zone Alarm lediglich 9 erkennen und blocken. Die restlichen
12! Leaktests sind geglückt!
So du redest davon, wie sehr mich doch eine FW(deine Kurzbezeichnung dafür)
schützen kann.
Und mekerst dann ?
Zone Alarm lässt sich weder abschiesen, und auch nicht während dem Betrieb Manipulieren.
Den das sind die wichtigen Punkte.
(Sollte sie augestellt werden sehe ich das, bin ja nicht blind)
Und nicht irgendwelche Leak Tests.
Was bringen die besten Ergebnisse, bei dem Leaktests, wenn sich die Firewall entweder löschen, manipulieren oder ausschalten lässt.
Eine sehr gute Firewall ist Sygate.
Die Einzige Firewall im Test von 13 Firewalls in der CHIP die sich weder löschen, noch abschiessen u.s.w lies.
Abgesehen davon gingen die Pakete von innen aus, also sie nutzten einen Träger, ein bekanntes Prog, daß wiederum einen bekannten Port nutzt,
Was hast du den erwartet ?
Ich kann bestätigen das ZA eine sehr gute effektive Firewall ist(noch kein Ping of Death u.s.w durchgekommen) die einen nicht nonstop mit dummen Fragen zulöchert, wie z.B die Kerio Firewall, die so dämmliche Fragen stellt.
Die Kerio:
z.B Öffne ich die Autorun Datei auf einer Spiele CD, die dann das Setup startet(auf einem nicht beschreibaren Medium*an den Kopf fass*) kommt eine unnötige nervige Abrage.
Die Kerio Firewall ist der letzte Müll, und ein Beweis dafür wie eine Firewal nicht sein sollte.
Sygate und ZA sind gute Produkte.
Der Test der PC Pro gehört im Übrigen zu den besseren PFW-Tests, da auf beide Seiten eingegangen wird. Auf die der PFW Befürworter und Gegner. Ich selbst habe keine PFW installiert.
1. Keine FW(Einladung für einen Hacker sobald er deine IP hat, bist du weg) aber mir was von Sicherheit empfehlen wollen.
2. Gute FW Tests(CHIP, PC-Welt und vor allem PC-Praxis), testen die von mir angeführen Sachen. Abschiessen, löschen und manipulieren, der Firewall.
3. Tja nur der Rest der Zeitschrift scheint auch nicht das beste zu sein, denn dann hättest du gewusst was der Stealth Mode, Exploiting und die Technik dahinter, die Nutzung defekter Pakete um das BS auzuschnüffeln u.s.w gewusst.
MEINE EMPFEHLUNG: Mehr mit Hackern beschäftigen.
Auch wenn die Signaturen eines Antivirenprogramms jede Stunde aktualisiert werden, so hinken sich doch immer hinterher. Zu diesem Thema gibt es eine nette kleine Geschichte. Schau mal hier:
http://oschad.de/wiki/index.php/Virenscanner
Wenn du wie ich ständig mit Hackern u.s.w kontakt hättest und auch mal die Viren von virenverseuchten Crack Seiten angekuckt hättest.
Wüsstest du das die meisten Viren veraltete Viren sind.
Und die neuen Viren und auch Dialer, sich auf Otto Normal Verbraucher de <--Seiten rumtreiben.
Koch Rezept Seiten u.s.w
Oder das sie sich Noobs(typische Outlook benutzter) über E-Mail einfangen.
Ganz zu schweigen davon, dass Antivirenprogramme mit laufzeitkomprimierten Viren große Schwierigkeiten haben. Die c't hat vor einiger Zeit mal getestet wie Antivirenprogramme mit selbstgebastelten Viren aus einem "Virenbaukasten" (jedes Skript-Kiddy kann sich so eigenen Viren basteln), die u.a. laufzeitkomprimiert wurden, zurecht kommen. Das Ergebnis war erschütternd. Die Erkennungsrate war selbst bei den besten Programmen sehr niedrig.
Kaspersky und Bitdefender(deren Enignes viele Progs nutzen) haben die höchste Viren Erkennungsrate.(auch bei Laufzeit Komprimierten Viren sind sie sehr gut)
Das setzt aber auch voraus, daß der Virus
bekannt ist.
Wo ziehst du den deine Vergleiche her ?
Klar kennt der Virenkiller den Virus nicht, wenn nicht grade die Aufälligste Signatur verwendet wird.
Vor allem guck mal welche alten Billig Viren im Umlauf sind.
Du musstest als Kind auch erst ins Feuer fassen, um zu wissen das man das lieber nicht macht.
Gut, wenn du den Rechner alleine für dich nutzt ist das ok. Wird der Rechner hingegen von mehreren Personen genutzt, sieht das anders aus. Du kannst ja nicht ständig hinter den Leuten stehen und aufpassen, dass sie keinen Unsinn machen.
Klar ich bin ewin Home User, und auch kein CS Freak, der sich auf Lan Partys rumtreibt.
Ich brauch diesen Netzwerk Schnick Schnack nicht.
Und ich muss auch nicht meinem Neffen und Bruder hinterherschnüffeln.
Beschränkte Benutzerrechte sind sicherlich nicht alleinseligmachend. Da gehört mehr dazu das System sauber zu halten. Es ist jedoch eine sehr sinnvolle Maßnahme, wodurch in jedem Fall die Systemsicherheit stark erhöht wird.
Das habe ich wiederlegt.
Hier eine Prozentzahl zu nenne, würde ich nicht wagen. Es gibt Viren, die sich nicht durch Partitionen aufhalten lassen. Das dürften nicht wenige sein. Wenn ich als potenzielle Virenschreiber Leute so richtig ärgern wollte, dann würde ich mich an die Multimedia Dateien halten. Also Audio, Video und auch Bild Dateien. In welchem Verhältnis das zueinander steht, kann ich allerdings nicht sagen. Aber wie ich weiter oben geschrieben habe, liegt mittlerweile das Hauptaugenmerk der Virenautoren darauf möglichst unbemerkt die Kontrolle des Rechners an sich zu reißen.
Viel zu viel Aufwand, zu komplieziert das Bild müsste ein Virus generieren.
Man kann zwar Datein in Bildern verstecken, aber nur mit Spezieller Software, genau mit dieser extrahiert man sich auch.
Abgesehen davon, ein guter Virenkiller scannt auch Bilder u.s.w.
Mach mal gar nichts, und mach keine Downloads, nur den Browser offen lassen.
Und mit DU-Meter das Traffic beobachten.
Einstündiges Ergebniss bei mir.
0,0KB raus 0,0KB rein.
Wie gesagt, bei mir snifft keiner.
Davon auszugehen, dass Viren sich nur auf EXE, DLL und MSI Dateien beschränken und nur die Systempartition befallen ist leicht töricht und hat vielleicht früher mal zugetroffen. Die Entwicklung geht aber weiter und so werden auch Viren immer komplexer und können mehr.
Um so aufwändiger der Virus, umso größer wird er, umso mehr aufällige Signatur enthällt er.
Denk mal darüber nach.
Eines noch, wie du gemerkt hast habe ich dir in fast allen Punkten widersprochen.
Da wo du Recht hast stimme ich dir auch zu.
Du hast gutes Wissen, aber bei vielem, angeführten weißt du es nicht sehr genau und hast Möglichkeiten und Wege zu einseitig behandelt, oder hast nicht den Praxis Test dazu gemacht.
Ich rede keinen Salat, wenn ich sage ich kenne mich in so was sehr gut aus, und mir sind Hacker Bücher nicht fremd, dann stimmt das auch.
Gruß Slut-Hunter