Curie1879
Anmeldungsdatum: 12. Mai 2017
Beiträge: 38
|
Die Bezeichnung (1),(2),(3) stehen für die drei expliziten Fragen und sollen beim Antworten hilfreich sein. Ich habe meine externe Festplatte vor einiger Zeit probiert zu formatieren, da ich sichergehen wollte, dass auf der Festplatte keine Dateien mit Viren etc. vorhanden sind*. Leider hat das formatieren über " Laufwerke->Partition formatieren" bei zwei Versuchen nicht funktioniert(ca. in der Mitte wurde der Vorgang beendet), jetzt möchte ich es mit GParted probieren, aber bevor ich das tue, möchte ich nochmal fragen, (1) ob die Viren etc. auch tatsächlich entfernt sind, nachdem ich die Festplatte neu partioniert/formatiert habe? *Wenn Viren oder ähnliches auf der ext. Festplatte sind, dann sind sie sehr alt, vermutlich einige Jahre alt, vlt. sogar älter als fünf Jahre.
(2) Ist das dann überhaupt relevant? Info zur Festplatte: Zuletzt befanden sich keine für mich sichtbaren Dateien auf meiner ext. Festplatte, da ich sie bereits auf "normale" Art gelöscht habe, nach den zwei Fehlversuchen beim formatieren kann ich die ext. Festplatte aber nicht mehr wie sonst öffnen, sondern sie wird nur unter "Laufwerke" angezeigt.
Aktuell steht bei der externen Festplatte, wenn ich sie bei GParted auswähle, dass die Partition und das Dateisystem "nicht zugeteilt" sind.
(3) Ich habe dort auch nur die Möglichkeit eine Partition anzulegen und nicht die Festplatte zu formatieren, reicht es wenn ich die Partition neu anlege oder muss ich erst die Partition anlegen und diese danach formatieren, um die Viren etc. zu entfernen? PS: Mir geht es dabei nicht um mein Notebook, sondern um PCs etc. mit Windows, welche vlt. irgendwann mal mit der ext. Festplatte verbunden sein könnten.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5335
|
Hallo, Curie1879 schrieb: Leider hat das formatieren über " Laufwerke->Partition formatieren" bei zwei Versuchen nicht funktioniert(ca. in der Mitte wurde der Vorgang beendet),
Fehlermeldung?
(1) ob die Viren etc. auch tatsächlich entfernt sind, nachdem ich die Festplatte neu partioniert/formatiert habe?
Beim Partitionieren wird nur die Partitionstabelle nue geschrieben, also die Information wie die Partitionen beginnen/enden. Beim Formattieren im Sinne von Dateisystem einrichten/initialisieren, passiert auch wenig. Nur beim Formattieren im Sinne von alte Daten ueberschreiben wird wirklich alles davor geloescht. Aber: Wenn es dir darum geht, dass auf die Dateien nicht zuggeriffen werden kann, reicht schon ein normales Loeschen, da damit die Information, wo diese auf der Festplatte liegen, geloescht wird. Ansonsten muss man die gesamte Festplatte durchsuchen, nach etwas, was nach einer Datei aussieht. (2) Ist das dann überhaupt relevant?
Kommt auf dein Szenario an, aber so wie ich das verstehe: Nein (3) Ich habe dort auch nur die Möglichkeit eine Partition anzulegen und nicht die Festplatte zu formatieren, reicht es wenn ich die Partition neu anlege oder muss ich erst die Partition anlegen und diese danach formatieren, um die Viren etc. zu entfernen?
Siehe Antworten oben. Wenn es sich nicht um Viren handelt, die in Form von Dateien auftreten, sondern Rootkits, die die Hardware befallen, sieht die Sache schon anders aus. Aber das Szenario schliesst dies ja aus, sofern ich es richtig verstanden habe.
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
Grundsätzlich gilt unabhängig vom Betriebssystem und der Art des Dateisystems: Die meisten Informationen auf einem Datenträger überleben Löschen, Formatieren, Partitionieren und sogar Defragmentieren (!). Durch diese Operationen vergißt das Betriebssystem lediglich den Weg zum Speicherort. Das gilt natürlich auch für Schadsoftware, die innerhalb oder außerhalb eines Dateisystems auf dem Datenträger gespeichert ist. Sicheres Vernichten von Daten auf einem Datenträger erfordert Überschreiben. Unter Linux ist dd (dd wie Disk Destroyer) hierfür ein geeignetes Werkzeug, beispielsweise überschreibt sudo dd if=/dev/zero bs=512 count=2048 of=/dev/sda die ersten 2048 logischen Sektoren des ersten Datenträgers und damit sowohl den MBR mit einer ggf. vorhandenen DOS-Partitionstabelle als auch eine ggf. vorhandene GPT-Partitionstabelle. Danach wird keine Partition mehr zugreifbar sein, obwohl alle Daten noch vorhanden sind und mit geeigneten Werkzeugen gerettet werden können. Stimmt nicht ganz: Wenn man unüblicherweise eine Partition im Bereich unter 1MiB hatte, ist diese jetzt überschrieben. Im Falle einer Platte mit GPT ist das Retten der Daten nach dem o.g. Killer-Befehl ganz einfach: Man aktiviert z.B. mittels gdisk die Backup-Partitionstabelle.
Wenn man öfter vor der Aufgabe steht, eine Partition oder gar eine ganze Platte zu Überschreiben, erstellt man sich am besten ein kleines Skript auf der Basis des o.g. dd mit angepassten Parametern und läßt es über Nacht laufen. Einzelne Dateien kann man mit dem Program shred (wie Schredder) überschreiben. shred Zu Deiner Frage (2): Auch alte Schadsoftware bleibt Schadsoftware und kann auch in modernen Systemen Unheil anrichten.
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
Dazu möchte ich ergänzen: Damit ein Schadprogramm auch Schaden anrichtet, muss es ausgeführt werden. Dies passiert nicht zufällig, sondern das Programm muss gestartet werden. Wenn man eine Partition formatiert, kann ein normaler Anwender nicht mehr versehentlich so ein Programm starten, weil der Speicherort des Programms für ihn nicht mehr auffindbar ist. Das Schadprogram ließe sich also nur starten, wenn man weiß, wo es auf dem Speichermedium liegt, oder wenn man es mit einem Datenrettungsprogramm wiederherstellt ( das Datenrettungsprogramm sucht nach dem Anfang der Datei und erzeugt einen neuen Eintrag im Dateisystem).
Wenn ein Speichermedium (Festplatte) im System angeschlossen wird, dann untersucht das Betriebssystem das Medium nach Partitionsinformationen, um ein darauf angelegtes Dateisystem für den Zugriff einzuhängen. Das heißt, dass es möglich ist, die Partitionsinformationen so zu manipulieren, dass sie das Betriebssystem dazu bringen, ein irgendwo auf dem Speichermedium befindliches Schadprogramm zu starten. In der Praxis wird dazu häufig der Bootsektor im MBR benutzt, der das Schadprogramm dann sogar vor dem Betriebssystem startet und ihm ermöglicht, sich vor Virenwächtern zu verstecken.
Wenn man aber eine neue Partitionstabelle auf ein Speichermedium schreibt, Partitionen anlegt und anschließend formatiert, ist das Medium zwar möglicherweise nicht frei von Schadprogrammen, aber es ist nicht möglich, eines dieser Schadprogramm versehentlich zu aktivieren.
Also: Erzeuge eine neue Partitionstabelle, erstelle neue Partiton(en) nach Wunsch und formatiere sie, dann kannst Du ruhigen Gewissens diese Festplatte auch an andere weitergeben und musst nicht befürchten, damit andere Rechner zu infizieren: Das ist nicht möglich. Ein Überschreiben des Speichermediums ist nicht nötig, wenn man sie nur virenfrei bekommen möchte - und bei einer Platte mit mehreren Terrabyte kann es durchaus mehrere Tage statt einer Nacht dauern, bis das erledigt ist. Nur wenn man sensible Daten auf der Festplatte hat, die nicht in fremde Hände fallen sollen, ist es angezeigt die Platte zu überschreiben, weil sonst die Gefahr besteht, dass die Daten zumindest teilweise wiederhergestellt werden könnten, selbst wenn man sie gelöscht bzw. die Partition formatiert oder/und eine neue Partitionstabelle geschrieben hat.
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
lionlizard schrieb: […]
Also: Erzeuge eine neue Partitionstabelle, erstelle neue Partiton(en) nach Wunsch und formatiere sie, dann kannst Du ruhigen Gewissens diese Festplatte auch an andere weitergeben und musst nicht befürchten, damit andere Rechner zu infizieren: Das ist nicht möglich.
Als ich noch MS-Windows-Systeme betreuen durfte musste, war ich mehrfach Zeuge, dass Schadsoftware formatieren überlebte und mit einer frisch formatierten Platte weitergegeben wurde. Unerfahrene Kollegen glaubten es mir oft erst nach dem ersten Reinfall.
Ein Überschreiben des Speichermediums ist nicht nötig, wenn man sie nur virenfrei bekommen möchte
Ich habe, wie gesagt, andere Erfahrungen. Wenn man weiß, das sich auf dem Datenträger Schadsoftware befindet, sollte man überschreiben oder einen Nagel durch die Platte schlagen. Alles andere ist Leichtsinn.
- und bei einer Platte mit mehreren Terrabyte kann es durchaus mehrere Tage statt einer Nacht dauern, bis das erledigt ist.
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
kB schrieb: Als ich noch MS-Windows-Systeme betreuen durfte musste, war ich mehrfach Zeuge, dass Schadsoftware formatieren überlebte und mit einer frisch formatierten Platte weitergegeben wurde. Unerfahrene Kollegen glaubten es mir oft erst nach dem ersten Reinfall.
Das Formatieren lässt die Partitionstabelle und dem MBR unangetastet, deshalb muss man zunächst eine neue Partitionstabelle erzeugen, damit dieser Bereich überschrieben wird.
Ein Überschreiben des Speichermediums ist nicht nötig, wenn man sie nur virenfrei bekommen möchte
Bei mir handelt es sich nicht um Erfahrungen, sondern um Wissen. Viren, Würmer, Trojaner sind Programme, die in den Arbeitsspeicher geladen und ausgeführt werden müssen. Dazu sind sie irgendwo zwischengespeichert. Dazu eignet sich zum Einen das Dateisystem und zum Anderen, wie beschrieben, der Speicherplatz, in dem die Partitionsinformationen gespeichert sind, also die Partitionstabelle. Wenn man diese neu anlegt, werden die Daten dort natürlich überschrieben und dann ist auch ein potentieller Virus weg. Ein Schadprogramm/Virus ist an sich harmlos, wenn es beispielsweise im Ordner C:\Quarantäne\Virus.exe gespeichert ist. Es kann von dort nicht magisch auf das Betriebssystem übergreifen. Erst wenn ein Neugieriger diese Datei ausführt, kann der Virus versuchen, sich im System einzunisten. Und wenn durch das Formatieren alle Informationen darüber, wo dieses Programm gespeichert ist, von der Festplatte entfernt wurden, dann kann auch niemand mehr versehentlich dieses Virenprogramm zur Ausführung bringen. Wenn ich ganz genau weiß, wo sich das Programm befindet, dann kann ich natürlich den Prozessor veranlassen, das Programm von dieser Stelle auf der Festplatte zu laden und auszuführen, wenn es nicht überschrieben wurde. Aber das kann eben nicht mehr aus versehen oder zufällig passieren. Wie gesagt, es ist nicht falsch, die komplette Platte zu überschreiben, aber es ist einfach nicht nötig, wenn man die Partitionstabelle einschließlich MBR durch neu anlegen überschreibt und dann die neu angelegte(n) Partition(en) formatiert.
Diese Prämisse gilt für ein virenverseuchtes Betriebssystem. Hier darf man sich nicht darauf verlassen, wenn eine Antivirensoftware behauptet, sie könne den Virus vollständig entfernen. Das System muss komplett neu aufgesetzt werden, wenn man sicherstellen will, das es virenfrei ist.
|
Kätzchen
Anmeldungsdatum: 1. Mai 2011
Beiträge: 6677
Wohnort: Technische Republik
|
kB schrieb: Als ich noch MS-Windows-Systeme betreuen durfte musste, war ich mehrfach Zeuge, dass Schadsoftware formatieren überlebte und mit einer frisch formatierten Platte weitergegeben wurde. Unerfahrene Kollegen glaubten es mir oft erst nach dem ersten Reinfall.
Kann ich bestätigen mit dem überleben beim normalem Formatieren. Hab damals zu Win2000 Zeiten in DOS low-level formatiert und erst dann war der Virus weg. Das ist im prinzip das selbe was dd machen kann.
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
Kätzchen schrieb: Kann ich bestätigen mit dem überleben beim normalem Formatieren. Hab damals zu Win2000 Zeiten in DOS low-level formatiert und erst dann war der Virus weg. Das ist im prinzip das selbe was dd machen kann.
Nope. Low-Level Formatierungen kann man bei heutigen Festplatten nicht mehr durchführen. Damit wurden seinerzeit die Magnetscheiben in der Festplatte in Sektoren und Spuren unterteilt, genau wie dies bei Floppy-Disc gemacht werden musste, bevor diese verwendet werden konnten. Die Low-Level-Formatierung konnte man zum Beispiel einsetzen, wenn die Platte defekte Sektoren hatte, um dies zu korrigieren. Das ist aber praktisch noch eine Stufe tiefer als das was dd macht. Dass allerdings nach einem Low-Level-Format kein Virus mehr auf der Platte existiert, ist einleuchtend.
|
Kätzchen
Anmeldungsdatum: 1. Mai 2011
Beiträge: 6677
Wohnort: Technische Republik
|
|
Curie1879
(Themenstarter)
Anmeldungsdatum: 12. Mai 2017
Beiträge: 38
|
Danke für die Antworten ☺ Ich werde mich an den von lionlizard vorgeschlagenen Weg halten.
|