U3 als universelle Werkzeugkiste und Auditsystem für Rechnersysteme

Die U3/USB-Technik eignet sich ganz besonders als Werkzeugkiste für den Rechnerschutz und die -prüfung. Einzelheiten dazu lesen Sie in dem folgenden Bericht.

Themen dieses Berichts (was Sie erwartet):

Allgemein --> Dank an meine Helfer / Lösungen / Vorteile / PStart
Virenschutz --> Avast / McAfee / ClamWin AV
Rootkitscanner --> RootkitRevealer / BlackLight / IceSword
Spyware/Adware --> Lösungen
Trojaner und Würmer --> Ewido Anti-Malware / a-squared Free / Hijacker
Systemanalyse --> Hilfsmittel / Security Task Manager
Netzwerk --> Sysinternals / IceSword / Ethereal / NirSoft / 3dTraceroute
Sonstige Systemtools --> CW-Sysinfo / WinFAQ
Wichtig --> Copyrights / Lizenzen / Teil 2
Interne Links

Externe Links

Allgemein:

Ich habe bereits in einigen vorausgegangenen Berichten über die Besonderheiten von U3-Sticks geschrieben, sehen Sie dazu bitte unter --> „Interne Links“.

In diesem Bericht möchte ich die ganz speziellen Vorzüge dieser Technik, insbesondere in Verbindung zur Computersicherheit bzw. Überprüfung von Computersystemen, beleuchten.

Dank an meine Helfer:

Bevor ich dies tue, möchte ich mich erst bei meinen Helfern bedanken!

Besonders bedanken möchte ich mich bei meinen Kollegen Braveheart, R.Mittmann und DonMuErte, die mir sehr geholfen haben.

Braveheart hat mich in Bezug auf Virenscanner unterstützt.

R.Mittmann hat dabei einen besonderen Dienst in Bezug auf "PStart" geleistet.

DonMuErte hat das Programm "IceSword" entdeckt, eine sehr interessante Entstehungsgeschichte dazu recherchiert und auch eine deutsche Hilfeseite gefunden. Ausserdem ist die Empfehlung des Programms „RegSeeker“ von Ihm gekommen!

Lösungen:

Sie werden Lösungen zu allen Sicherheits- uns Systemproblemen finden:

Malware (Viren, Würmer, Trojaner, Dailer, Hijacker, Keylogger, Spyware und Adware)
Rootkit Erkennung
Systemanalyse (Autostart, Berechtigungen, Registry)
Netzwerkanalyse (Ports und Prozesse, Sniffer, Netzwerkfreigaben, Whois, Traceroute)
Allgemeine Systemtools

Vorteile:

Die Vorteile liegen ganz klar auf der Hand, diverse Sicherheitslösungen auf einen USB/U3-Stick zu laden und nicht individuell auf jedem System.

Vorteile:

Weniger Verwaltungsaufwand: nicht jedes einzelne System muss auf Neuerungen und Updates der Schutzlösungen geprüft werden.
Die einzelnen Computersysteme werden weniger belastet.
Geringere Gefahr von Inkompatibilitäten der verschiedenen Schutzlösungen
Schutz- bzw. Auditprogramme können natürlich auch von Angreifern oder allzu neugierigen Benutzern destruktiv genutzt werden. Sind diese Tools aber im Besitz des Administrators, ist die Gefahr weitaus geringer.
Es fallen geringere Lizenzkosten an, da die Software nur einmal installiert werden muss (auf dem Stick) aber auf verschiedenen Systemen genutzt werden kann (natürlich nicht gleichzeitig). Beachten Sie dazu bitte den wichtigen Hinweis am Ende des Berichtes.
Ist der Stick durch entsprechende Schutzlösungen selber geschützt (eigener Virenscanner, Verschlüsselung, Schreibschutz), ist die Gefahr einer Infektion des Sticks recht gering.

PStart:

Als Vorraussetzung für den komfortablen Gebrauch sollte man das Programm "PStart" einsetzen. Dies ist eine Verwaltungsoberfläche für Programme, vergleichbar mit dem U3-Launchpad. "PStart" benötigt allerdings keine U3-konforme Programme. Es kann mit jedem Programm (*.exe) verknüpft werden.

Virenschutz:

Der wichtigste Punkt! Einmal muss der Stick selber geschützt werden, zum Zweiten ist im ersten Schritt ein verdächtiges System zu überprüfen.

Avast:

Sehr sinnvoll ist hier das U3-Programm "Avast". Es bietet einen Hintergrundwächter für den Stick und auch die Möglichkeit den Hostrechner zu scannen. "Avast" ist Shareware – es fallen also Lizenzgebühren an.

McAfee:

Nennenswert ist hier auch eine U3-Version von "McAfee". Diese Lösung bietet zwar keinen Hintergrundwächter, kann aber ebenfalls den Stick und auch den Hostrechner scannen. Das Programm ist Freeware, momentan aber nicht mehr verfügbar. Als Alternative ist aber der „Avert Stringer“ von "McAfee" zu nennen.

ClamWin AV:

Der dritte Virenscanner ist „portable ClamWinAV“. Hierbei muss allerdings die Installationsroutine einmalig durchlaufen werden. Als Ziel der Installation gibt man allerdings ein Verzeichnis auf dem Stick an. Danach kann das Programm einfach über das entsprechende Programm-Icon gestartet werden. "ClamWin AV" ist ebenfalls Freeware.

Rootkit-Scanner:

Vor dem Einsatz von Rootkit-Scannern, sollte man zuerst sehr wichtige Details beachten:

Rootkit-Scanner sind nicht einfach zu bedienen! Es gibt keine automatische Zuordnung von gefundenen Auffälligkeiten wie bei Virenscannern.
Es werden primär versteckte Prozesse gesucht und entsprechend aufgelistet.
Die Beurteilung und Analyse der gefundenen Prozesse obliegt dem Benutzer.
Es sind tief greifende Systemkenntnisse erforderlich.
Die vollständige Entfernung von Rootkits ist nicht möglich, da man nicht abschätzen kann, welche zusätzlichen schädlichen Komponenten noch durch das Rootkit nachgeladen wurden. Ein kompletter Neuaufbau des Systems wird deshalb von verschiedenen Sicherheitsexperten empfohlen.

RootkitRevealer:

Einer der ersten Rootkit-Scanner ist „RootkitRevealer“ von „Sysinternals“. Der Scanner ist ohne Installation lauffähig, allerdings werden Treiberdateien auf dem System installiert. Zum scannen sind Administratorrechte erforderlich.

BlackLight:

"BlackLight" von "F-Secure" ist ebenfalls ein Rootkit-Scanner. Dieser ist momentan noch in der Betaphase, kann aber kostenlos genutzt werden. Die Technik ist aber schon in aktuellen Produkten von "F-Secure" integriert. Der Scanner funktioniert ebenfalls ohne Installation, schreibt aber auch Treiberdateien in das System. Der Scan funktioniert hier in zwei Schritten.

IceSword:

"IceSword" ist ein sehr interessantes Tool zum Auffinden von rootkittypischen versteckten Prozessen. Es war ursprünglich nur in chinesischer Sprache verfügbar, ist mittlerweile aber auch in englischer Sprache erhältlich. Das Programm ist ebenfalls Freeware und bietet eine ganze Reihe von Analysemöglichkeiten.

Es werden Informationen zu folgenden Bereichen gegeben:

Prozesse
Ports
Kernel Module
Start Ups
Win32 Services
SPI (Netzwerkverbindungen von DLL-Dateien)
BHO (Browser Helper Objects)
SSDT (System Service Descriptor Table)
Message Hooks
Log Process/Threat Creation
Log Process Termination
System Check
Einfacher Datei-Explorer
Einfacher Registry Editor

Die Downloadseite verwundert erst mal sehr!! Davor sollte man sich aber nicht abschrecken lassen. Der Link verbirgt sich ganz oben hinter der Überschrift: IceSword x.xxen.rar“.

Spyware/Adware:

Nachdem nun die Bereiche Viren und Rootkits vom U3/USB-Stick abgedeckt werden können, ist der nächste Schritt die Integration eines Spy-/ Adwarescanners.

Allerdings sollte man von Spy-/ Adwarescannern nicht zu viel erwarten.

Obwohl es hier sehr gute Programme (auch als Freeware) gibt, sind die Erkennungsraten nicht mit Virenscannern vergleichbar. Das sollte man immer im Hinterkopf haben.

Lösungen:

Ich habe herausgefunden, dass mit ein paar Tricks "Spybot Search & Destroy" (SSD) ebenfalls auf einem USB-Stick funktioniert. Die Funktionalität ist bis auf den "Tea-Timer" voll gegeben!

Das Plug-In läuft dabei ständig im Hintergrund und überwacht potentiell gefährliche Registryaktionen in Echtzeit. Dies ist nachvollziehbar mit einem U3-USB-Stick nicht praktikabel.

Alle anderen Funktionen sind aber voll nutzbar:

Sicherung der Registry beim ersten Start
Update der Signaturen
Immunisieren des Systems
Schutz des IE vor bösartigen Downloads
Benutzerdefinierte Einstellungen und deren Speicherung auf dem U3/USB-Stick
Scan des Systems
Bereinigung des Systems

Das ist ganz einfach zu realisieren. Es gibt dabei zwei Möglichkeiten:

Man kopiert alle Dateien einer bereits lokal installierten SSD-Version auf den U3/USB-Stick.
Man installiert SSD benutzerdefiniert. Dabei ist zu beachten, dass man als Installationspfad einen Ordner auf dem U3/USB-Stick auswählt. Der "Tea-Timer" darf dann natürlich NICHT aktiviert werden.

Um Platz zu sparen, kann man dann alle Skins, Sprachen (ausser der bevorzugten) und die Tea-Timer.exe löschen.

Trojaner und Würmer:

Die letzte Rubrik der Malware betrifft Trojaner und Würmer. Diese beiden Versionen verbreiten sich immer mehr.

Das gefährliche an Trojanern ist, dass sie nicht wie Viren eine schnelle Verbreitung suchen, sondern alles versuchen um unentdeckt auf dem System zu bleiben. Viele Trojaner haben nicht mal eine Routine zur Verbreitung. Da sie nicht in Massen auftreten, ist auch eine Erkennung schwieriger. Trojaner haben verschieden Funktionen.

Würmer verbreiten sich ausschliesslich über System- und/oder Softwareschwachstellen. Besonders betroffen sind hierbei netzwerkfähige Programme.

Aus diesen Gründen darf man die Gefahr nicht unterschätzen.

Auch hierfür habe ich zwei Lösungen gefunden.

Ewido Anti-Malware

"Ewido Anti-Malware" bietet Schutz vor:

Trojanern
Würmern
Dailer
Hijacker
Spyware
Keylogger

Um das Programm U3/USB-fähig zu bekommen, gehen Sie wie oben bei SSD beschrieben vor. Auch hier ist zu beachten, alle Funktionen, die automatisch starten NICHT zu aktivieren! Das sind der Hintergrundwächter und die automatische Updatefunktion.

Ansonsten sind alle Funktionen vollständig nutzbar:

Manuelles Update
Systemscan
Analysetools
Cleanengine und Quarantänefunktion

„Ewido Anti-Malware“ ist in einer Free- und einer Sharewareversion erhältlich. Wobei auch bei der Freewareversion der Hintergrundwächter und die automatischen Updates für zwei Wochen genutzt werden können. Danach werden diese Funktionen allerdings deaktiviert.

a-squared Free:

Eine weitere Lösung gegen Trojaner und Würmer ist „a-squared Free“. Diese Lösung bietet Schutz vor:

Trojaner
Würmer
Dailer
Spyware

„a-squared“ lässt sich genauso auf einem U3/USB-Stick installieren, wie oben bei SSD beschrieben. Das Programm ist Freeware.

Hijacker:

Es wird auch noch eine Lösung für Hijacker angeboten. „a-squared HiJack Free“ ist Freeware und enthält keine Installationsroutine. Deshalb ist es ohne Umwege auf einem U3/USB-Stick lauffähig. Das Programm bietet folgende Funktionen:

Verwalten von Autorun-Einträgen
Kontrolle von Browser Plug-Ins
Verwaltung aktiver Prozesse und deren Module
Kontrolle aller Dienste (auch jene, die Windows nicht anzeigt)
Anzeige aller offenen Ports und deren Prozesse
Verwaltung der DNS-Einträge in der hosts-Datei
Verwaltung der LSP`s (Layered Service Provider)
Online Analyse der System Konfiguration

Zur Nutzung des Programms ist eine einfache und kostenlose Registrierung notwendig.

Systemanalyse:

Hat man bei der Überprüfung des Systems – insbesondere mit Rootkit-Scannern - Auffälligkeiten bemerkt, kommt man nicht um eine weitere Überprüfung des Systems herum.

Hier bietet "IceSword" schon serienmässig einige Tools an!

Hilfsmittel:

Weitere Hilfsmittel werden hier gleich von "Sysinternals" angeboten:

"Autoruns": Alle Verzeichnisse oder Registryschlüssel, in welchen sich Autostarteinträge verstecken können, werden überprüft. Ein sehr hilfreiches und übersichtliches Tool um automatisch startende Programme aller Art ausfindig zu machen und evtl. zu deaktivieren.
"Process Explorer": Es werden alle aktiven Prozesse, Vaterprozess und damit zusammenhängende Dateien (*.dll usw.) aufgeführt.
"Regmon": Zeigt alle Registryaktivitäten in Echtzeit an.
"Filemon": Zeigt alle Dateiaktivitäten in Echtzeit an.
"ListDLLs": Zeigt alle geladenen *.dll-Dateien an. Inklusive Speicherort und Versionsnummer. Das Programm ist ein reines Kommandozeilentool. Es muss also in einer DOS-Box unter --> Start --> Ausführen gestartet werden. Es sind Administratorberechtigungen nötig.

Security Task Manager:

Ein weiteres sehr hilfreiches Programm ist der „Security Task Manager“. Auch dieses Programm kommt ohne Installation aus. Es zeigt alle aktiven Prozesse an. Als Besonderheit gibt es hier aber ein Bewertungssystem!

Das Bewertungssystem beruht auf verschiedene Funktionen, wie sie auch von Schadprogrammen genutzt werden. Es gibt so einen, auch für nicht so fachkundige Anwender, guten Überblick. Allerdings sind hohe Schadpotentialbewertungen nicht unbedingt auch eine verbindliche Aussage, dass es sich bei den Prozessen wirklich um schädliche Programme handelt.

Hier sollte man sehr vorsichtig sein, Prozesse einfach zu beenden. Über einen rechtsklick auf den Prozess, kann man aber über Suchmaschinen nach diesem Prozess suchen.

Das Programm wird als Freeware mit eingeschränktem Funktionsumfang angeboten. In der registrierten Version werden zusätzlich noch alle Treiber und Dienste aufgelistet und bewertet.

Im Einzelnen bietet das Programm:

Anzeige des Dateipfades
Sicherheitsbewertung
Beschreibung
Startzeit
CPU-Auslastung (Diagramm)
Versteckte Funktionen inkl. Beschreibung
Prozess Typ

Ausserdem steht noch das Programm „SpyProtector“ in der Vollversion zur Verfügung. Dieses Programm muss installiert werden und steht nicht als U3/USB-Version zur Verfügung.

Netzwerk:

Sysinternals:

Für das Netzwerk stehen ebenfalls einige Programme zur Verfügung. Auch hier bietet "Sysinternals" wieder einen reichen Fundus an Programmen, die keine Installation benötigen und somit direkt vom U3/USB-Stick starten:

"PsFile": Zeigt alle remote geöffneten Dateien, Ordner und Verzeichnisse an. "PsFile" ist ein reines Kommandozeilentool.
"ShareEnum": zeigt alle Freigaben des Netzwerkes an. Ebenso können Freigabeberechtigungen geprüft werden. In einer Windows Domänenumgebung muss man "ShareEnum" unter dem Konto des Domänenadministrators öffnen. Gezeigt werden auch versteckte ($) Freigaben.
"TCPView": Zeigt alle geöffneten TCP/UDP-Ports. Unter allen Windows Betriebssystemen, die auf NT basieren (NT, Win2000, Win XP), werden auch die Prozesse angezeigt, die den jeweiligen Port geöffnet haben.
"Whois": Tool für eine Whois-Abfrage. Es zeigt also die Registrierungsinformationen einer Internetadresse an. Whois ist ein reines Kommandozeilentool.

IceSword:

Auch das weiter oben vorgestellte Programm „IceSword“ bietet eine ähnliche Funktion wie "TCPView". Auch hier können alle geöffneten Ports angezeigt werden.

Ethereal:

Es existieren aber auch Sniffer-Programme für den U3/USB-Stick. Das bekannte "Ethereal" ist zwar bedingt USB-fähig, es verlangt aber einen lokal installierten "Pcap"-Treiber.

NirSoft:

Als weiterer Anbieter einer umfangreichen Programmsammlung ist „NirSoft“ zu nennen. Es werden unter anderem folgende Netzwerktools angeboten:

"SmartSniff": Ein spezieller Sniffer für USB-Sticks ist "SmartSniff". Das Programm kann sowohl den "PCap"-Treiber nutzen, als auch im RAW-Modus arbeiten (nur Win2000/XP). Der RAW-Modus wird aber nicht empfohlen und auch die Funktionalität ist eingeschränkt - für einen „groben“ Überblick aber trotzdem geeignet.
"IPNetInfo": Informationen zu IP-Adressen, wie IP-Adressbereich, Land und Kontaktinformationen.
"WhoisThisDomain": Holt Registrierungsinformationen zu Domainnamen ein. Neu in der aktuellen Version ist die Unterstützung von .eu-Domains.

3dTraceroute:

Ein weiteres hilfreiches Programm ist „3dTraceroute“. Das Programm ist in einer eingeschränkten Freeware-Version erhältlich.

Es bietet folgende Funktionen:

3d Trace
Globus Trace (nur Pro-Version)
Whois-Abfragen
Portscanner
IP-Bereichsscanner
E-Mail Kopfanalyse
Weitere E-Mailanalysen nur in der Pro-Version
Telnet Client
Ping Tools (erweiterte Ping-Tools nur in der Pro-Version)
ASN-Inspector
NSLookup
HTTP Serverspion
Verbindungsanzeige
ISO3166 Codebrowser
Atomzeitabgleich

Sonstige Systemtools:

Es gibt aber noch weitere sinnvolle und hilfreiche Systemtools, die auf keinem U3/USB-Stick fehlen sollten!!

"AccessEnum" (Freeware): Das Programm von "Sysinternals" zeigt alle lokalen NTFS-Berechtigungen – sowohl von Verzeichnissen, Ordnern und Dateien, als auch von Registryschlüsseln. Mit diesem Programm lassen sich perfekt veralterte oder unsichere Nutzerberechtigungen finden.
"ClearProg" (Freeware): Das Programm löscht alle temporären Dateien und Verlaufsspuren. Ausserdem bietet das Programm eine Plug-In Unterstützung. Momentan sind 206 Plug-Ins gelistet. Hierbei handelt es sich um diverse Anwendungsprogramme und ihre spezifischen temporären Ordner und Dateien. Besonders sinnvoll ist hierbei die Möglichkeit, eigene Einträge zu definieren! Das ist besonders sinnvoll, da einige hier vorgestellten Programme Einträge im System und/oder Registry hinterlassen. Diese kann man dann automatisch mit ClearProg bereinigen lassen. Das Programm ist als Setup- oder Zip-Datei erhältlich. Für den U3/USB- Stick sollte man die Zip-Datei nutzen. Die Plug-Ins sind bereits im Download enthalten.
"RegSeeker" (Freeware): Das Programm ist primär zur Bereinigung von fehlerhaften und verwaisten Registryeinträgen entwickelt worden. Es bietet aber ebenfalls eine Funktion zum Entfernen von temporären und Verlaufsdateien. Eine Backup-Funktion der gelöschten Dateien ist ebenso vorhanden, wie eine Verwaltung von Autostarteinträgen.
"XP-AntiSpy" (Freeware): Das Programm bietet eine übersichtliche Oberfläche zum Bearbeiten diverser „Phone-Home Funktionen" von Windows XP. Ausserdem können noch weitere Systemeinstellungen vorgenommen werden. Das Programm ist ebenfalls in zwei Versionen verfügbar. Für den U3/USB-Einsatz ist aber nur die Zip-Version geeignet.

CW-Sysinfo:

Will man ein unbekanntes System prüfen, sollte man sich erst mal einen Überblick über die eingesetzte Hardware machen. Hier hilft das Programm „CW-Sysinfo“ weiter.

Es bietet Informationen zu:

BIOS
CPU
Mainboard
VGA
Monitor
DMI
Betriebsystem
Hotfixes
Patches
Ländereinstellungen
Software
Autostart
Dienste
Treiber
DFÜ
Netzwerk
Drucker
Festplatte/Partitionen
Benutzerkonten
Prozesse
USB
Memory
usw.

Das Programm ist Freeware und kommt ebenfalls ohne Installation aus. Gerade in diesem Bereich gibt es unzählige verschiedene Lösungen. Primär möchte ich nur darauf hinweisen, dass ein solches Programm nicht fehlen sollte.

WinFAQ:

Das letzte Hilfsmittel, welches ich Ihnen Vorstellen möchte ist "WinFAQ". Es bietet gerade für den mobilen Einsatz ohne Onlineverbindung (oder wenn aufgrund einer Systemkompromittierung kein Onlinezugang gewünscht wird) eine umfangreiche Sammlung zu allen Fragen rund um Windows. Die Datei ist in mehreren Windows-Hilfsdateiversionen verfügbar. Am besten und komfortabelsten ist aber die *.chm.

Zum Schluss möchte ich mich für Ihre Aufmerksamkeit bedanken und hoffe Sie sehen ebenso wie ich die enormen Möglichkeiten von U3/USB-Sticks!

Obwohl ich jedem eine malwarefreie Computernutzung wünsche, haben Sie nun für den Fall der Fälle eine perfekte „Werkzeugkiste“, die Ihnen bei der Suche und Entfernung hilfreiche Dienste leistet!

Wichtig:

Copyrights:

Copyrights: Bitte beachten Sie die Copyrights für diesen Artikel! Die Zusammenstellung und die Versuche haben mich mehrere Monat Arbeit gekostet. Wenn Sie diesen Artikel komplett oder in Auszügen veröffentlichen möchten, senden Sie mir bitte eine Mail.

Diese finden Sie in meinem Impressum --> http://www.security-dome.eu/html/impressum.html

Weiterhin möchte ich Sie darauf hinweisen, das bei einer Veröffentlichung ein Link zu meiner Seite und mein Name erwähnt werden muss.

Lizenzen:

Lizenzen: Ich habe hier nur die technischen Möglichkeiten aufgezeigt. Diese sind natürlich ohne Gewähr und ich übernehme keinerlei Verantwortung für mögliche Probleme.

Die erwähnten Softwarelizenzen habe ich nach Share- und Freeware aufgeteilt. Diese können sich aber jederzeit ändern! Ausserdem sind evtl. Einschränkungen bei der Bezeichnung Freeware zu beachten! Diese entnehmen Sie bitte Tagesaktuell von der jeweiligen Herstellerseite.

Auch für diese Unterscheidung übernehme ich keine Verantwortung oder Garantie!

Teil 2:

Bitte beachten Sie auch wichtige News zu diesem Thema in Teil 2 --> http://www.security-dome.eu/U3_News_Teil_1.html

Interne Links:

U3 Bereich: http://www.security-dome.eu/html/u3-stick.html

Externe Links:

PStart: http://portableapps.com/apps/utilities/application_menus/pstart

Avast: http://www.avast.de/?MID=1&PID=3&AID=1&VAL=20

McAfee: http://vil.nai.com/vil/stinger/

ClamWin AV: http://portableapps.com/apps/utilities/antivirus/portable_clamwin

Sysinternals:

RootkitRevealer: http://www.sysinternals.com/Utilities/RootkitRevealer.html