3. Wie funktionieren Writeblocker?

Wie funktionieren Writeblocker?

  • M

    Ja. Das fehlende Detail ist, dass du nicht schreiben kannst. Fuer viele Dinge brauchst du halt einfach Schreibzugriff, z.B. kannst du nicht einmal Einstellungen fuer Programme dauerhaft aendern und manche Programme funktionieren dann einfach nicht mehr.
    Jedes Programm, das eine Ausnahme bekommt, ist wieder ein neues potentielles Einfallstor.
    Im Alltag wuerde man das kaum einsetzen koennen, aber fuer Internet-Cafes und Schulrechner lohnt es sich, wenn auch begrenzt.

    0
  • ?

    Marthog schrieb:

    Ja. Das fehlende Detail ist, dass du nicht schreiben kannst. Fuer viele Dinge brauchst du halt einfach Schreibzugriff, z.B. kannst du nicht einmal Einstellungen fuer Programme dauerhaft aendern und manche Programme funktionieren dann einfach nicht mehr.

    Ok.

    Könnte man das Problem nicht dadurch lösen, daß man Schreibzugriffe einfach umleitet, z.B. in eine eingebaute Ramdisk o.ä.?

    0
  • S

    Genau das wird bereits gemacht. Üblicherweise nicht mit einer Ram-Disk (zu klein), sondern mit einer 2. Partition, die dann vom "Writeblocker" ausgeblendet wird, also für das System nicht sichtbar ist.

    Bzw. wurde. In letzter Zeit habe ich solche Systeme nicht mehr gesehen... sind die aus der Mode gekommen, oder hab ich die nur nicht mehr wahrgenommen?

    0
  • ?

    Von CRU- Wiebetech gibt es solche Writeblocker für den Forensikbereich, die dienen aber eher der Möglichkeit, eine 1:1 Kopie einer Festplatte zu erstellen, ohne die Festplatte in irgendeiner Form zu beschreiben.

    Für Virenschutz sind die wohl nicht konstruiert. Außerdem sind sie sauteuer.
    (300,- Euro ca.)

    Frage wäre halt auch, ob man so einen Writeblocker nicht auch in Heimarbeit herstellen könnte. Habe deswegen auch in einem Forum für Mikoprozessorprogrammierung gepostet, da meinte jemand, daß
    das ziemlich aufwendig bzw. von Hobbybastlern nicht mehr zu realisieren sei.

    0
  • R

    waere es nicht einfacher, pragmatischer und guenstiger eine clone HDD zu haben und in einem bootloader sich in ein zweites system booten zu koennen das diese wieder rueberkopiert falls etwas auf der primaeren HDD schief geht?

    0
  • ?

    die ganze HDD zu clonen, wäre zu aufwendig.
    Wenn, würde es Sinn machen, nur die Unterschiede wieder rückgängig zu machen.

    Ähnliches gibt es ja schon in Form von sogenannten Protektorenkarten.
    Diese leiten den Schreibzugriff auf ein bestimmtes Laufwerk um in eine spezielle Datei.

    Nach Reboot sind die Änderungen wieder weg.

    Leider funktionieren diese Protektorenkarten aber nicht betriebsystemunabhängig.

    0
  • M

    Writeblocker schrieb:

    Leider funktionieren diese Protektorenkarten aber nicht betriebsystemunabhängig.

    Ich denke, dabei gibt es gar nichts Systemunabhaengiges. Selbst die erwaehnte Forensik-software wird einfach block-by-block kopieren (wenn auch geloeschte Dateien gefunden werden sollen) und jedes bekannte Dateisystem verstehen koennen.

    0
  • R

    Writeblocker schrieb:

    die ganze HDD zu clonen, wäre zu aufwendig.

    von welchem aufwand sprichst du? da gibt es zuviele moeglichkeiten und keine ist wirklich valide.

    0
  • T

    Warum benutzt du nicht eine VM? Die kann man normalerweise so einstellen, daß alle Schreibzugriffe temporär sind, also nach dem booten alles wieder beim Alten ist.

    0

  • Es gibt auch Softwarelösungen (bzw. genauer: weitere Softwarelösungen neben VMs).

    Unter Windows gibt es z.B. den sog. "Enhanced Write Filter".
    Nachteil: man kann den per Software aktivieren und natürlich auch per Software wieder deaktivieren.
    Wozu man allerdings Admin-Rechte benötigt.
    Evtl. reicht aber schon als Sicherheit dass es "auffällt" wenn der "Enhanced Write Filter" deaktiviert wurde. Was sich mMn. irgendwie einrichten lassen müsste.

    ----

    Eine andere Lösung, die dann auch mehr-oder-weniger OS-unabhängig wäre, wäre über iSCSI. Dazu bräuchte man zwei PCs die über ein möglichst schnelles Netzwerk verbunden sind. Einer spielt dann iSCSI Target, und mit der passenden Software kann man das iSCSI Target so konfigurieren dass Änderungen nur in eine Änderungs-Datei geschrieben werden. Bzw. wenn man auf dem Target sowas wie den "Enhanced Write Filter" laufen lässt, müsste die iSCSI Target Software das ganze nichtmal unterstützen. Der Vorteil davon wäre dass der Client ("iSCSI Initiator") keine Möglichkeit hat einfach so eine Änderung am iSCSI Target vorzunehmen -- wie z.B. am iSCSI Target dafür zu sorgen dass Änderungen doch "persistiert" werden.

    Nur "mehr-oder-weniger" OS-unabhängig ist das ganze deswegen, weil natürlich nicht jedes OS von Haus aus einen iSCSI Initiator mitbringt oder gar von iSCSI booten kann. Bei Windows sollte es IIRC aber spätestens ab Windows 8 funktionieren (Linux = keine Ahnung, würde mich aber wundern wenns mit aktuellen Distros nicht ginge). In Kombination mit PXE wäre dann kein lokaler Datenträger nötig wo sich irgendwas unerwünschtes permanent einnisten könnte. Bleiben tut natürlich immer das BIOS, wenn es ein Virus schafft sich da einzunisten dann hilft sowieso nurmehr ein BIOS-Schreibschutz (müsste das Mainboard können - k.A. ob man Mainboards bekommt die das können) oder evtl. ein TPM.

    Alternativ kann man natürlich eine iSCSI Initiator Karte kaufen. Die ist dann von sich aus bootfähig, und Treiber für die üblichen OSe sollten kein Problem sein. Dummerweise sind die Dinger nur nicht ganz billig.

    Der Vorteil von iSCSI Lösungen ist u.A. dass man bei Anwendungen wie z.B. Internet-Cafe viel Speicherplatz sparen kann. Und auch den Wartungsaufwand klein halten. Da man sämtliche Workstations die mit dem selben Image laufen sollen auch vom selben Image booten kann. Jede Workstation bekommt dann einfach nur ihre eigene Änderungsdatei, das Image selbst wird aber geshared. Und wenn man Updates einspielen muss, muss man das auch nur auf einem Image machen.

    ----

    Eine Hardwarelösung Marke Eigenbau halte ich auch für *sehr* aufwendig.

    0
Anmelden zum Antworten