Erwin72
Anmeldungsdatum: 21. Januar 2008
Beiträge: 924
|
Hallo. Es ist vor allem meine Paranio, die meint, es könnte vielleicht Schadsoftware darauf gewesen sein. Ich habe die Festplatte neu partioniert (bzw. um genau zu sein: Bei der Installation die Funktion 'Neu Partionieren' ausgewählt). Somit müsste ja laut Beschreibung alles was drauf war, platt gemacht worden sein. Und die Live-CD, davon gehe ich mal aus, wird trotz des Einlesen der HD über dessen Belegung und welche BS drauf sind, kein einziges darauf existierte Programm ausgeführt oder sonst irgendwelche Daten aufgenommen/verwendet haben, oder? Ach so, ja, irgendwas klappte nicht ganz (Grafik spinnt beim Start = Nahrung für meine Paranio). Deshalb meien Frage ... aber auch für die Zukunft, falls ich mir wirklich/offensichlich mal was einfange, ... . Danke.
|
XM-Franz
Supporter
Anmeldungsdatum: 15. Juni 2010
Beiträge: 3439
Wohnort: Moers
|
Moin Erwin, Erwin72 schrieb: Hallo. Es ist vor allem meine Paranio, die meint, es könnte vielleicht Schadsoftware darauf gewesen sein. Ich habe die Festplatte neu partioniert (bzw. um genau zu sein: Bei der Installation die Funktion 'Neu Partionieren' ausgewählt). Somit müsste ja laut Beschreibung alles was drauf war, platt gemacht worden sein.
wenn Du wirklich alles überschreiben möchtest, dann nutze shred! Gparted erfüllt diese gewünschte Aufgabe nicht! Schau Dir das Video "Labdoo - Lubuntu Installation (Deutsch)" an, damit Du verstehst, wann (1:18) und wie Du shred anwenden solltest. Der Befehl lautet:
Sudo shred /dev/sda -v -f Gruß -Franz-
|
Erwin72
(Themenstarter)
Anmeldungsdatum: 21. Januar 2008
Beiträge: 924
|
XM-Franz schrieb: wenn Du wirklich alles überschreiben möchtest, dann nutze shred! Gparted erfüllt diese gewünschte Aufgabe nicht!
Mit anderen Worten: Es ist noch auf der Festplatte, aber nicht im Verzeichnis? Klingt glaubhaft, zu mal es nicht mal eine Minute gedauert hat. Viel zu kurz um alles gründlich zu formatieren. Aber allein dadurch dass es drauf ist, kann es doch keinen Schaden machen? Aber wenn man auf Nummer sicher gehen will ... . Ok, danke. Wäre auch zu schön gewesen, wenn jetzt zu 100% keine Gefahr mehr davon ausginge. Eigentlich dürfte es doch generell Sinnvoller sein, vor einer Neuinstallation alles ordenlich zu bereinigen, oder?
|
eider
Anmeldungsdatum: 5. Dezember 2009
Beiträge: 6274
|
Du kannst ja den Datenträger überschreiben, wenn dich das ruhiger schlafen lässt.
|
Erwin72
(Themenstarter)
Anmeldungsdatum: 21. Januar 2008
Beiträge: 924
|
eider schrieb: Du kannst ja den Datenträger überschreiben, wenn dich das ruhiger schlafen lässt.
Also Deiner Ansicht nach reicht das löschen des Inhaltsverzeichnis aus? Sollte also so wie ich es gemacht habe, keine Datei 'überlebt' haben, bzw. kann sich nicht mehr bemerkbar machen. Naja, wenn man genau bedenkt, sollte dies auch ausreichen. Wieso sollte auch, egal weches übliche BS auch immer, direkt nach Dateien suchen und diese auch noch ausführen? Es sei denn, es liegt ein defekt vor? Aber dann wäre es auch egal, weil dann auch das BS selbst bereits Probleme macht. Tja, ist wohl so wie Du schon sagst: wenn mich das ruhiger schlafen lässt ... . Mal sehen, ob ich Zeit genug habe ... . Danke. Denke, man kann es auf gelöst setzen. Glaube nicht, dass es noch mehr Infos bedarf.
|
eider
Anmeldungsdatum: 5. Dezember 2009
Beiträge: 6274
|
Erwin72 schrieb: eider schrieb: Du kannst ja den Datenträger überschreiben, wenn dich das ruhiger schlafen lässt.
Also Deiner Ansicht nach reicht das löschen des Inhaltsverzeichnis aus?
Weder das noch das Gegenteil habe ich geschrieben. Ich schrieb, Du könntest den Datenträger überschreiben (nämlich mit Nullen, wie im verlinkten Artikel nachzulesen ist). Das ist eine andere als die zuvor angesprochene Methode.
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
Neu partitionieren genügt nicht ganz, um alle Daten zu löschen. Dazu müsstest Du eine neue Partitionstabelle erstellen lassen, die wird bei der Neupartitionierung nicht geändert, so dass sich dort theoretisch Malware verstecken könnte. Der Form-Virus wurde durch Disketten übertragen und nistete sich im Master_Boot_Record der Festplatte ein und war dort nur durch überschreiben desselben (was durch Anlegen einer neuen Partitionstabelle ebenfalls passiert) zu entfernen, um ein echtes Beispiel zu nennen. Alle Partitionen zu löschen und neu anzulegen genügte dafür nicht. Wenn die Partitionstabelle überschrieben ist, ließe sich eine noch auf der Platte gespeicherte Schadsoftware zwar möglicherweise mit einem Datenrettungstool wieder auffinden, aber es bestünde praktisch keine Gefahr mehr, dass diese versehentlich aktiviert werden kann. Ein Überschreiben der kompletten Platte mit Daten würde aber auch die letzten Reste entfernen.
|
Erwin72
(Themenstarter)
Anmeldungsdatum: 21. Januar 2008
Beiträge: 924
|
Ach Menno, das darf doch nicht war sein. Nur weil ich mich nicht exakt erinnern konnte? Ich habe bei der installation 'Etwas anderes' gewählt, anstatt eins der automaischen Partionierung.
Dort habe ich aber dann 'Neue Partitionstabelle ...' gewählt. Zumindest bin ich mir sicher, dass ich das gemacht habe. Weil daraufhin waren dann alle Partionen weg. Also Heute habe ich versehentlich so viel Mist geschrieben ... das ich Angst bekomme.
|
ostcar
Ehemalige
Anmeldungsdatum: 27. Juli 2006
Beiträge: 2748
Wohnort: Leipzig
|
Natürlich reicht es aus die Festplatte neu zu partitionieren und danach neu zu formatieren. Wenn ich dich richtig verstanden habe geht es dir nicht darum die Daten auf der Festplatte für immer zu vernichten, sondern nur darum, dass die Schadsoftware nicht mehr ausgeführt wird. Wie du richtig sagst, kann die Schadsoftware nur ausgeführt werden, wenn sie im Dateisystem ist. Damit die Schadsoftware wieder ausgeführt werden kann müsste sie zunächst mit einem Datenrettungsprogramm wiederhergestellt werden. Dieses braucht root-Rechte. Wenn du das nicht machst und dir auch keine neue Schadsoftware einfängst, die es macht, bist du sicher.
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
ostcar schrieb: Natürlich reicht es aus die Festplatte neu zu partitionieren und danach neu zu formatieren.
Damit die Schadsoftware wieder ausgeführt werden kann müsste sie zunächst mit einem Datenrettungsprogramm wiederhergestellt werden. Dieses braucht root-Rechte. Wenn du das nicht machst und dir auch keine neue Schadsoftware einfängst, die es macht, bist du sicher.
Du liegst falsch, wie bereits beschrieben ist beispielsweise der Form-Virus durch partitionieren und formatieren nicht zu beseitigen.
|
Erwin72
(Themenstarter)
Anmeldungsdatum: 21. Januar 2008
Beiträge: 924
|
ostcar schrieb: Natürlich reicht es aus die Festplatte neu zu partitionieren und danach neu zu formatieren. Wenn ich dich richtig verstanden habe geht es dir nicht darum die Daten auf der Festplatte für immer zu vernichten, sondern nur darum, dass die Schadsoftware nicht mehr ausgeführt wird. Wie du richtig sagst, kann die Schadsoftware nur ausgeführt werden, wenn sie im Dateisystem ist. Damit die Schadsoftware wieder ausgeführt werden kann müsste sie zunächst mit einem Datenrettungsprogramm wiederhergestellt werden. Dieses braucht root-Rechte. Wenn du das nicht machst und dir auch keine neue Schadsoftware einfängst, die es macht, bist du sicher.
lionlizard schrieb: Du liegst falsch, wie bereits beschrieben ist beispielsweise der Form-Virus durch partitionieren und formatieren nicht zu beseitigen.
Danke für Eure Antworten. Also kann man das wohl folgendermaßen zusammen fassen? Wenn sich im MBR kein Virus versteckt hat, reicht einfache Neupartionierung aus, damit die Schadsoftware höchstens unter schwierigen Bedingungen (Wiederherrstellung u.m.) Schaden anrichten kann. Falls im MBR doch ein Virus ist, düfte in dem Fall die Erstellung einer neuen Patitions-Tabelle auch diesen überschreiben und somit zumindest passiv machen, also nicht aufrufbar, falls überhaupt ein Virus so eine Überschreibung überlebt? Ist es eigentlich normal, dass NFTS in Ext4 innerhalb einer Minuten neu formatiert wird? Hatte zumindest den Eindruck, dass es so schnell ging. Bzw. habe eigentlich die Formatierung gar nicht mitbekommen. Und kann überlebt ein Virus so was überleben?
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Erwin72 schrieb: Also kann man das wohl folgendermaßen zusammen fassen? Wenn sich im MBR kein Virus versteckt hat, reicht einfache Neupartionierung aus, damit die Schadsoftware höchstens unter schwierigen Bedingungen (Wiederherrstellung u.m.) Schaden anrichten kann. Falls im MBR doch ein Virus ist, düfte in dem Fall die Erstellung einer neuen Patitions-Tabelle auch diesen überschreiben und somit zumindest passiv machen, also nicht aufrufbar, falls überhaupt ein Virus so eine Überschreibung überlebt?
Richtig. Und "überleben" kann die Schadsoftware das Überschreiben nicht. Wir reden von 446Byte ausführbarem Maschinencode im MBR. > $ sudo dd if=/dev/sda bs=446 count=1 | hexdump -C
1+0 records in
1+0 records out
00000000 eb 63 90 10 8e d0 bc 00 b0 b8 00 00 8e d8 8e c0 |.c..............|
00000010 fb be 00 7c bf 00 06 b9 00 02 f3 a4 ea 21 06 00 |...|.........!..|
00000020 00 be be 07 38 04 75 0b 83 c6 10 81 fe fe 07 75 |....8.u........u|
00000030 f3 eb 16 b4 02 b0 01 bb 00 7c b2 80 8a 74 01 8b |.........|...t..|
00000040 4c 02 cd 13 ea 00 7c 00 00 eb fe 00 00 00 00 00 |L.....|.........|
00000050 00 00 00 00 00 00 00 00 00 00 00 80 c2 55 01 00 |.............U..|
00000060 00 00 00 00 ff fa 90 90 f6 c2 80 74 05 f6 c2 70 |...........t...p|
00000070 74 02 b2 80 ea 79 7c 00 00 31 c0 8e d8 8e d0 bc |t....y|..1......|
00000080 00 20 fb a0 64 7c 3c ff 74 02 88 c2 52 be 80 7d |. ..d|<.t...R..}|
00000090 e8 17 01 be 05 7c b4 41 bb aa 55 cd 13 5a 52 72 |.....|.A..U..ZRr|
000000a0 3d 81 fb 55 aa 75 37 83 e1 01 74 32 31 c0 89 44 |=..U.u7...t21..D|
000000b0 04 40 88 44 ff 89 44 02 c7 04 10 00 66 8b 1e 5c |.@.D..D.....f..\|
000000c0 7c 66 89 5c 08 66 8b 1e 60 7c 66 89 5c 0c c7 44 ||f.\.f..`|f.\..D|
000000d0 06 00 70 b4 42 cd 13 72 05 bb 00 70 eb 76 b4 08 |..p.B..r...p.v..|
000000e0 cd 13 73 0d 5a 84 d2 0f 83 d8 00 be 8b 7d e9 82 |..s.Z........}..|
000000f0 00 66 0f b6 c6 88 64 ff 40 66 89 44 04 0f b6 d1 |.f....d.@f.D....|
00000100 c1 e2 02 88 e8 88 f4 40 89 44 08 0f b6 c2 c0 e8 |.......@.D......|
00000110 02 66 89 04 66 a1 60 7c 66 09 c0 75 4e 66 a1 5c |.f..f.`|f..uNf.\|
00000120 7c 66 31 d2 66 f7 34 88 d1 31 d2 66 f7 74 04 3b ||f1.f.4..1.f.t.;|
00000130 44 08 7d 37 fe c1 88 c5 30 c0 c1 e8 02 08 c1 88 |D.}7....0.......|
00000140 d0 5a 88 c6 bb 00 70 8e c3 31 db b8 01 02 cd 13 |.Z....p..1......|
00000150 72 1e 8c c3 60 1e b9 00 01 8e db 31 f6 bf 00 80 |r...`......1....|
00000160 8e c6 fc f3 a5 1f 61 ff 26 5a 7c be 86 7d eb 03 |......a.&Z|..}..|
00000170 be 95 7d e8 34 00 be 9a 7d e8 2e 00 cd 18 eb fe |..}.4...}.......|
00000180 47 52 55 42 20 00 47 65 6f 6d 00 48 61 72 64 20 |GRUB .Geom.Hard |
00000190 44 69 73 6b 00 52 65 61 64 00 20 45 72 72 6f 72 |Disk.Read. Error|
000001a0 0d 0a 00 bb 01 00 b4 0e cd 10 ac 3c 00 75 f4 c3 |...........<.u..|
000001b0 00 00 00 00 00 00 00 00 41 9f aa ae 00 00 |........A.....|
000001be Wenn du die überschreibst, dann sind die schlichtweg nicht mehr da und mit etwas anderem ersetzt.
|
ostcar
Ehemalige
Anmeldungsdatum: 27. Juli 2006
Beiträge: 2748
Wohnort: Leipzig
|
lionlizard schrieb: ostcar schrieb: Natürlich reicht es aus die Festplatte neu zu partitionieren und danach neu zu formatieren.
Damit die Schadsoftware wieder ausgeführt werden kann müsste sie zunächst mit einem Datenrettungsprogramm wiederhergestellt werden. Dieses braucht root-Rechte. Wenn du das nicht machst und dir auch keine neue Schadsoftware einfängst, die es macht, bist du sicher.
Du liegst falsch, wie bereits beschrieben ist beispielsweise der Form-Virus durch partitionieren und formatieren nicht zu beseitigen.
Wenn Ubuntu neu installiert wird, wird Grub in den MBR geschrieben, dieser daher überschrieben und somit ebenfalls gelöscht.
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
ostcar schrieb: Wenn Ubuntu neu installiert wird, wird Grub in den MBR geschrieben, dieser daher überschrieben und somit ebenfalls gelöscht.
Ich mag ja eigentlich Rechthaber. Aber nur wenn sie recht haben:
Wenn es sich um eine EFI-Installation handelt, wird der MBR nicht angefasst. Wenn man als Installationsziel für Grub einen PBR auswählt, wird der MBR nicht angefasst Bei einer Installation mit mehreren Platten wird maximal ein MBR überschrieben.
Wir haben beide Erwin72 nicht über die Schulter gesehen, und er hat sich auch nicht genauer ausgedrückt. Nun darf man natürlich vermuten, dass der MBR überschrieben wurde, und ihm versichern, dass alles gut wird. Aber angemessen ist, zu erläutern, welche Risiken bestehen und wie man denen begegnet.
|
eider
Anmeldungsdatum: 5. Dezember 2009
Beiträge: 6274
|
Erwin72 schrieb:
Es ist vor allem meine Paranio, die meint, es könnte vielleicht Schadsoftware darauf gewesen sein.
Daran sei auch erinnert. Diese sehr interessante Diskussion investiert sehr viel, soweit sie dem "Problem" des TE gewidmet ist. ☺
|