Saturday, 29. August 2009, 17:18:49
Was verbindet Organismen, menschliche Gemeinschaften und Computer? Richtig– die unumgängliche Verteidigung. Organismen benutzen dazu ihr Immunsystem, Staaten Polizei und Militär, der Computer Virenscanner und Firewall. Leider gibt es die Verteidigung nicht umsonst. Sie kostet den Organismus Energie, den Staat Geld und den Rechner Systemressourcen. Und ganz nebenwirkungsfrei ist sie auch nicht– die Verteidiger können sich gegen ihren Wirt richten. Im Organismus heißt das Autoimmunerkrankung, im Staat Polizeistaat oder Militärdiktatur und im Computer falsch positive Virenbefunde in Systemdateien.
Genug Analogie, jetzt rede ich nur noch über Computer. Genauer gesagt über meinen EeePC. Der hat zu wenig Ressourcen für einen installierten Virenscanner. Der Rechner wird langsamer, dafür wird die Batterie schneller leer. Also gehe ich ungeschützt ins Netz. Deshalb würde ich den Rechner ab und zu gerne auf Viren untersuchen.
Viren, Würmer und Rootkits können sich so gut verstecken, daß sie von einem Virenscanner, der auf dem infizierten System läuft, nicht mehr entdeckt werden. Um die Bösewichte zu finden, muß man die Festplatte von einem nichtinfizierten System aus untersuchen.
Das sind zwei gute Gründe, sich einen Virenscanner zu wünschen, den man „von außen“ , von einem zweiten, nichtinfizierbaren System aus, starten kann.
Betriebssystem auf CD, USB oder SpeicherkartePrinzipiell kann man ein Betriebssystem nicht nur von Festplatte, sondern auch von einer CD, einem USB-Stick oder einer Speicherkarte starten.
Allerdings muß das BIOS muß das Booten von diesen Datenträgern unterstützen. Bei älteren Rechnern funktioniert das schlicht nicht. Mein Medion-PC von 2003 läßt sich zwar von CD, nicht aber von Speicherkarte oder USB-Stick booten.
Manchmal muß man die Bootreihenfolge im BIOS ändern: Meinem EeePC muß man immer mal wieder sagen, daß er bitte von der eingelegten Speicherkarte und nicht von der Festplatte booten soll. Neuere Rechner (aber leider nicht der EeePC) bieten beim Druck auf bestimmte Tasten (F8, F11, F12) ein Startmenü an, das die startfähigen Geräte zur Wahl stellt.
Von CD bootenEine CD-R ist todsicher schreibgeschützt. Sie kann nicht nachträglich infiziert werden.
Man hat unter Linux die Auswahl zwischen verschiedenen Live-Distributionen. Diese Live-Distributionen findet man als ISO-Images im Internet. Die brennt man auf CD. Von den so erstellten Live-CDs kann man umstandslos den Rechner booten. Eine der bekannteren Live-Distributionen ist
Knoppix. Gelegentlich legen Computerzeitschriften auch fertige Live-CDs bei.
Windows macht etwas mehr Arbeit: Man muß die CD-Version Windows PE selber bauen. Dazu benötigt man eine Windows-Installations-CD, einen PE Builder, Zeit und Geduld.
Von USB oder Speicherkarte bootenNormale USB-Sticks sind beschreibbar. Ein sicheres System läßt sich auf USB-Sticks mit Schreibschutzschalter einrichten. Leider sind diese Sticks inzwischen sehr schwer zu kriegen. Die c't gibt eine
Übersicht noch lieferbarer Sticks.
Der Schreibschutzschalter auf SD-Karten ist wertlos– er ist nur eine freundliche Bitte an die Software, nichts auf die Karte zu schreiben. Es würde mich wundern, wenn Viren und andere Bösewichte darauf hören.
Die Live-Distributionen von Linux und Windows PE lassen sich auch auf USB-Sticks installieren. Knoppix 6.01 liefert dafür gleich ein Programm mit. Windows PE mit Windows XP als Ausgangspunkt macht wieder etwas mehr Arbeit. Der Artikel „Setup-Stick. Windows XP auf Netbooks installieren in der C't 22/2008 liefert eine ausführliche Anleitung.
Und nun das Ganze mit Virenscanner…Virenscanner auf bootfähiger CDJetzt kann man ein Linux oder Windows PE von CD starten. Es fehlt noch der Virenscanner. Den kriegt man da auch nicht so einfach drauf. Es ist einfacher, sich gleich ein Linux oder Knoppix mit Virenscanner inklusive zu beschaffen.
ClamwinClamwin ist ein portabler Virenscanner, der ähnlich wie beispielsweise Firefox Portable ohne Installation startet. Er ist sogar gratis. Leider übersieht er zu viele Viren.
Rettungs-CDs der kommerziellen VirenscannerKaspersky,
Avira,
Bitdefender,
Dr. Web und
F-Secure bieten Rettungs-CDs als ISO-Images zum Download an. Diese enthalten ein Live-Linux mit dem Virenscanner. Avira liefert die Signatur-Updates gleich im ISO-Image mit aus. Bei F-Secure muß man die Signaturupdates getrennt auf einen USB-Stick runterladen.
TechMixer liefert eine englischsprachige Übersicht über Rettungs-CDs.
Ausprobiert habe ich weder die Rettungs-CDs noch Clamwin.
KnoppicillinKnoppicillin ist ein Projekt der Computerzeitschrift c't. Es handelt sich um eine auf Virenjagd optimierte Knoppix-Version. Knoppicillin ist ausschließlich als CD-Beilage der c't erhältlich. Knoppicillin startet umstandslos von dieser CD.
Die aktuelle Version 7 lag der CT 26/2008 bei. Sie enthält drei verschiedene kommerzielle Virenscanner, Avira Anti-Vir, BitDefender Antivirus und Kaspersky Anti-Virus, die bis Ende 2009 mit Signatur-Updates versorgt werden.
Falls man unter Knoppix keine Internet-Verbindung kriegt, kann man sich die Signatur-Updates auch auf einem sauberen (!) Windows runterladen. Knoppix liefert ein Tool dazu mit.
Ich benutze Knoppicillin regelmäßig und bin sehr zufrieden damit. Knoppicillin arbeitet langsam und gründlich– ein kompletter Festplattenscan mit allen Virenscannern sollte man am besten über Nacht laufen lassen. Und da ist es noch lange nicht sicher, daß der Rechner am nächsten Morgen auch fertig ist…
c't-Notfall-WindowsEbenfalls ein c't-Projekt ist das c't-Notfall Windows auf der Basis von Windows PE 2. Das muß man sich allerdings selber bauen– das kostet Zeit und Nerven.
Die Bauanleitung und die nötigen Dateien für die aktuelle Version 2009 findet sich ebenfalls auf der CT 26/2008. Sie enthält AntiVirus 2009 von Gdata, das bis Dezember 2009 mit Signatur-Updates versorgt wird. Mit im Paket sind diverse Systemwerkzeuge, mit denen man (vielleicht) ein kaputtes System wieder flott kriegt– oder zumindest eigene Dateien vor einer fälligen Neuinstallation retten kann.
Virenscanner auf bootfähigem USB-Stick/ SpeicherkarteLeider hat mein EeePC kein optisches Laufwerk. Und aus mir unverständlichen Gründen starten die Knoppix-CDs nicht von meinem externen DVD-Brenner. Also brauche ich einen bootfähigen USB-Stick mit einem Virenscanner.
Man könnte vermutlich Clamwin Portable unter Windows PE betreiben. Ich habe es nicht ausprobiert, weil die Clamwin kein sehr zuverlässiger Virenscanner ist. Mein Wunsch an eine gute Fee wäre eine portable Version der guten kommerziellen Virenscanner. Ich habe aber meine Zweifel, daß es die jemals geben wird (außer in der Schatztruhe am Ende des Regenbogens).
Knoppicillin auf dem USB-StickKnoppicillin 7 läßt sich unter Windows verhältnismäßig einfach auf einem USB-Stick installieren. Die Anleitung hier gilt nur für Knoppicillin 7 von Dezember 2008. In der nächsten Knoppicillin-Version ist wahrscheinlich wieder alles anders.
Zutaten:
- Ein ISO-Image der Knoppicillin-CD aus der c't 26/2008. ISO-Images lassen sich z. B. mit der Software Isobuster oder gratis mit H2cdimage erzeugen.
- Die Software Unetbootin für Windows.
- Einen USB-Stick mit 1GByte Platz. Ein Schreibschutzschalter schadet nicht. Vorsicht– alle Dateien auf dem Stick werden bei der Knoppicillin-Installation gelöscht!
- Ein sauberes, nichtinfiziertes Windows
Zubereitung
- Unetbootin starten und die Eingabemaske ausfüllen
Distribution: Debian
Version: Stable_NetInstall
Image: ISO. Hier den Pfad zum Knoppicillin-Image angeben
USB-Laufwerk: Laufwerksbuchstaben des Sticks oder der Speicherkarte angeben.
- Auf OK klicken und warten bis „Fertig“ gemeldet wird. Unetbootin beenden. Stick abziehen, wieder reinstecken und im Explorer öffnen
- Datei syslinux.cfg im Wurzelverzeichnis löschen oder umbenennen. Sie wird nicht mehr benötigt und stört nur.
- Den gesamten Inhalt des Verzeichnisses \boot\isolinux ins Wurzelverzeichnis (auf die oberste Verzeichnisebene) kopieren.
- Die Datei isolinux.cfg im Wurzelverzeichnis in syslinux.cfg umbenennen.
- Unetbootin hat auch alle anderen Dateien von der CD mitkopiert. Die stören nicht weiter, aber man kann sie löschen, wenn man will. Überflüssig sind:
bilder\
html\
scrshots\
software\
tools\
autorun.inf
cdcover.pdf
liesmich.txt
start.exe
start.htm
sw0808.ico
Jetzt kann man den Rechner mit dem Stick/ der Speicherkarte als Bootmedium neu starten. Wenn alles geklappt hat, startet der Rechner mit einem vollwertigen Knoppicillin.
Andere Linux-basierte Virenscanner auf dem USB-StickUnetbootin 3.57 bietet an, die Kaspersky Rescue Disk und die Dr Web Antivirus Live CD auf den Stick zu verfrachten. Das habe ich nicht ausprobiert.
c't-Notfall-WindowsDer PE Builder läßt dem Benutzer die Wahl: Möglich ist die Installation auf einem USB-Medium oder das Erstellen eines ISO-Images zum Brennen auf CD. Details findet man im c't-Artikel.
WIDGETIZE