Keine Angst vor Malware - ...und täglich grüßt das Mumeltier

Ich setze auf meinem Rechner (Win XP) den sogenannten EWF (enhanced write filter) ein, um die Performance zu erhalten, die Systempflege zu erleichtern und ungewollte Änderungen an der Systempartition C: zu verhindern.
Bei dem Einsatz von EWF werden alle Daten in den RAM geladen und das gesamte System virtuell im RAM ausgeführt. Es finden keine Schreibzugriffe auf C: statt. Nach einem Neustart ist das System wieder absolut unverändert.
Dieser EWF kommt aus der "Windows XP embedded Edition" und kann über Konsolen-Befehle oder Scripte (Batch-Dateien) temporär oder dauerhaft ein- oder ausgeschaltet werden.
Für ein reguläres Arbeiten werden noch weitere Partitionen benötigt, auf denen Daten dauerhaft gespeichert werden/bleiben, da der Schreibschutz sich nur auf die Systempartition C: bezieht.

Kennengelernt und eingesetzt habe ich diese Form des Schutzes beim Konzept für meinen "Lautlos-PC", der ohne Festplatte komplett vom USB-Stick (8 GB) im RAM (1 GB) arbeitet.
- Win XP Prof SP3 auf bootfähigem usb stick
- USB-Stick mit zwei Partitionen: System C: und Daten D:
=> keine Schreibzugriffe auf C: und somit Schonung des Flash-Speichers

Aktuell setze ich diesen Schutz auch auf meinem Standard Laptop mit 160 GB Festplatte und 1 GB RAM ein.
- "normales" Win XP Prof SP3 auf Festplatte C:
- weitere Partitionen auf der Festplatte für Daten D: etc.
(s.a. http://www.trojaner-board.de/137451-...ml#post1099330 Post #5)
=> keine Schreibzugriffe auf C: und somit keine Fragmentierung und Erhaltung der Performance


Schutz:
In beiden Szenarien besteht somit zusätzlicher Schutz vor Veränderungen des Systems durch Trojaner oder andere Malware.
Infektionen sind natürlich weiterhin (temporär im RAM) möglich, würden aber nicht auf C: gespeichert und bei jedem Neustart des Systems automatisch wieder zurückgesetzt werden.


Fragen:
- Nutzt jemand hier diese Möglichkeit?
- Ist diese Möglichkeit (für Win XP und Win 7) allgemein bekannt?
- Sind Nachteile bekannt?
Gibt es z.B. Malware, die schon bewusst nach den Scripten des EWF-Managers sucht und diese ausführt, um so schadhafte Veränderungen dauerhaft auf das System zu übertragen?


INFO:
Ein sehr gutes Tutorial, welches mir als Basis gedient hat, ist hier zu finden:
hxxp://www.windowspage.net/cgi-bin/board/YaBB.pl?num=1186413447

Gruß Jörg

Was ich auf die Schnelle gefunden habe => Schreibschutz für Windows mit EWF-Treiber nachrüsten - so geht´s - EWF-Treiber - Backup & Datenschutz - PC-WELT

Zitat:

Der Treiber ist in den normalen Windows-Versionen nicht enthalten, und Sie bekommen ihn auch nicht als Download von Microsoft. Er ist jedoch Bestandteil von Windows Embedded, einer speziellen Ausführung von Windows, die etwa in Registrierkassen und anderen Systemen ohne Festplatte zum Einsatz kommt. In diesem Workshop zeigen wir Ihnen, wie Sie den EWF-Treiber von Windows 7 installieren – Sie benötigen jeweils den Treiber aus der entsprechenden Embedded-Version des Betriebssystems. Der Trick mit dem EWF-Treibern funktionierte bei Tests in der Redaktion nicht bei Windows 8. Das System beim Test ernsthaft beschädigt. Wir raten Windows-8-Nutzer von dem Trick ab.

Ob sowas Nachteile hat kann ich so garnicht beurteilen, EWF hab ich bisher noch nie probiert.
Ich kenn eher ein anderes Konzept, nämlich sowas wie zB PC-Sheriff oder ganz klassisch: man machts per Hand über Backup-Images und recovert das System je nach Bedarf

Hallo Cosinus,
...vielen Dank für das schnelle feedback

Es funktioniert definitiv SEHR GUT (...zumindestens bei mir auf meinem System)

Bei der von Dir gefundenen Quelle wird das Funktions-Prinzip von EWF ja auch noch einmal erklärt.

Eine sehr gute Anleitung inkl. der benötigten Dateien für Win XP und schon vorkonfigurierten Batch-Dateien findet sich in dem von mir unter INFO angegebenen Tutorial:
hxxp://www.windowspage.net/cgi-bin/board/YaBB.pl?num=1186413447
(leider kann ich hier keine aktiven Links einsetzen, so daß in dem angegebenen das hxxp durch http ersetzt werden muß)

Ich selbst kenne und nutze diese Form schon seit 2 Jahren und habe absolut positive Erfahrungen damit gemacht.


Vergleiche:
Deine Vergleiche passen prinzipiell von der Funktion her, nur daß "PC-Sheriff" Hardwarebasiert ist und EWF Softwarebasiert.
Es ist in der Tat so, als wenn bei jedem Neustart des Systems ein Backup resp. Image des System auf C: zurückgespielt wird. Nur das es mit EWF automatisch, deutlich schneller und komfortabler geschieht.
Wenn tatsächlich Änderungen auf C: übernommern werden sollen (neue Programme, Softwareupdates, neue Favoriten, Konfigurationsänderungen, etc.), so geschieht dies einfach durch den Aufruf bzw. das Anklicken einer Batch-Datei.


Arbeitsweise:
Sinnvollerweise sollte man bei angedachten Änderungen alle notwendigen Dateien zuvor herunterladen und auf einer separaten Partition resp. Datenträger speichern.
Dann das System einmal neustarten, um zwischenzeitlich (temporär) geschehene und evtl. ungewollte Änderungen wieder zurückzusetzen. Mit dem so neu gestarteten und sauberen System einmal die gewünschten Änderungen vornehmen bzw. die gewünschte neue Software installieren, diese Änderungen mit der Batch-Datei übernehmen und neustarten.
=> ab jetzt ist das System wieder geschützt und hat ausschließlich die gewünschten Änderungen übernommen bzw. wurde in den gewünschten Bereichen aktualisiert.

Ich könnte mir vorstellen, daß diese Arbeitsweise für etliche user interessant sein könnte.
Da sie mit dem "PC-Sheriff" vergleichbar ist, bietet sich auch die gleiche Zielgruppe an.

Gruß Jörg


EDIT:
Meine Erfahrungen beziehen sich auf Windows XP Prof SP3.
Nach Angaben des Tutorials sollte es ebenfalls auf Windows 7 problemlos laufen.
Nach dem verlinkten Beitrag von PC-Welt im Post #2 wird vor dem Einsatz bei Windows 8 abgeraten.

Für alle Fälle gilt vor der Umstellung auf EWF wie immer bei solchen Eingriffen ins System:
ZUVOR EIN IMAGE DES SYSTEMS UND EINE AKTUELLE DATENSICHERUNG ANLEGEN !!!

Zitat:

Deine Vergleiche passen prinzipiell von der Funktion her, nur daß "PC-Sheriff" Hardwarebasiert ist und EWF Softwarebasiert.

Wieso ist PC-Sheriff hardwarebasiert? PC-Sheriff ist auch nur ein Stück Software

...uups, das kenne ich noch anders...!

Ich hatte (allerdings vor ca. 10 Jahren) mehrere Klassensätze einer Bildungseinrichtung mit dem "PC-Sheriff" ausgestattet.
Dabei handelte es sich um kleine Steckplatinen für die PCI-Plätze, auf denen die Konfigurationen gespeichert wurden.
Beim Entfernen dieser Karten ließ sich der PC nicht mehr starten. (vergleichbar mit einem "Dongle" oder "Token")
Insofern hatte ich dies als Hardware angesehen.

Die Konfiguration der Karten fand natürlich softwarebasiert statt.

Die heutigen Versionen von "PC-Sheriff" scheinen komplett softwarebasiert zu sein.

Zitat:

Zitat von jrahe

(vor ca. 10 Jahren)