Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: EWF (enhanced write filter) als Schutz des PCs vor Veränderungen

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 03.07.2013, 07:12   #1
jrahe
/// Helfer-Team
 
EWF (enhanced write filter) als Schutz des PCs vor Veränderungen - Standard

EWF (enhanced write filter) als Schutz des PCs vor Veränderungen



Keine Angst vor Malware - ...und täglich grüßt das Mumeltier

Ich setze auf meinem Rechner (Win XP) den sogenannten EWF (enhanced write filter) ein, um die Performance zu erhalten, die Systempflege zu erleichtern und ungewollte Änderungen an der Systempartition C: zu verhindern.
Bei dem Einsatz von EWF werden alle Daten in den RAM geladen und das gesamte System virtuell im RAM ausgeführt. Es finden keine Schreibzugriffe auf C: statt. Nach einem Neustart ist das System wieder absolut unverändert.
Dieser EWF kommt aus der "Windows XP embedded Edition" und kann über Konsolen-Befehle oder Scripte (Batch-Dateien) temporär oder dauerhaft ein- oder ausgeschaltet werden.
Für ein reguläres Arbeiten werden noch weitere Partitionen benötigt, auf denen Daten dauerhaft gespeichert werden/bleiben, da der Schreibschutz sich nur auf die Systempartition C: bezieht.

Kennengelernt und eingesetzt habe ich diese Form des Schutzes beim Konzept für meinen "Lautlos-PC", der ohne Festplatte komplett vom USB-Stick (8 GB) im RAM (1 GB) arbeitet.
- Win XP Prof SP3 auf bootfähigem usb stick
- USB-Stick mit zwei Partitionen: System C: und Daten D:
=> keine Schreibzugriffe auf C: und somit Schonung des Flash-Speichers

Aktuell setze ich diesen Schutz auch auf meinem Standard Laptop mit 160 GB Festplatte und 1 GB RAM ein.
- "normales" Win XP Prof SP3 auf Festplatte C:
- weitere Partitionen auf der Festplatte für Daten D: etc.
(s.a. http://www.trojaner-board.de/137451-...ml#post1099330 Post #5)
=> keine Schreibzugriffe auf C: und somit keine Fragmentierung und Erhaltung der Performance


Schutz:
In beiden Szenarien besteht somit zusätzlicher Schutz vor Veränderungen des Systems durch Trojaner oder andere Malware.
Infektionen sind natürlich weiterhin (temporär im RAM) möglich, würden aber nicht auf C: gespeichert und bei jedem Neustart des Systems automatisch wieder zurückgesetzt werden.


Fragen:
- Nutzt jemand hier diese Möglichkeit?
- Ist diese Möglichkeit (für Win XP und Win 7) allgemein bekannt?
- Sind Nachteile bekannt?
Gibt es z.B. Malware, die schon bewusst nach den Scripten des EWF-Managers sucht und diese ausführt, um so schadhafte Veränderungen dauerhaft auf das System zu übertragen?


INFO:
Ein sehr gutes Tutorial, welches mir als Basis gedient hat, ist hier zu finden:
hxxp://www.windowspage.net/cgi-bin/board/YaBB.pl?num=1186413447

Gruß Jörg

Alt 03.07.2013, 10:27   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EWF (enhanced write filter) als Schutz des PCs vor Veränderungen - Standard

EWF (enhanced write filter) als Schutz des PCs vor Veränderungen



Was ich auf die Schnelle gefunden habe => Schreibschutz für Windows mit EWF-Treiber nachrüsten - so geht´s - EWF-Treiber - Backup & Datenschutz - PC-WELT

Zitat:
Der Treiber ist in den normalen Windows-Versionen nicht enthalten, und Sie bekommen ihn auch nicht als Download von Microsoft. Er ist jedoch Bestandteil von Windows Embedded, einer speziellen Ausführung von Windows, die etwa in Registrierkassen und anderen Systemen ohne Festplatte zum Einsatz kommt. In diesem Workshop zeigen wir Ihnen, wie Sie den EWF-Treiber von Windows 7 installieren – Sie benötigen jeweils den Treiber aus der entsprechenden Embedded-Version des Betriebssystems. Der Trick mit dem EWF-Treibern funktionierte bei Tests in der Redaktion nicht bei Windows 8. Das System beim Test ernsthaft beschädigt. Wir raten Windows-8-Nutzer von dem Trick ab.

Ob sowas Nachteile hat kann ich so garnicht beurteilen, EWF hab ich bisher noch nie probiert.
Ich kenn eher ein anderes Konzept, nämlich sowas wie zB PC-Sheriff oder ganz klassisch: man machts per Hand über Backup-Images und recovert das System je nach Bedarf
__________________

__________________

Alt 03.07.2013, 10:53   #3
jrahe
/// Helfer-Team
 
EWF (enhanced write filter) als Schutz des PCs vor Veränderungen - Standard

EWF (enhanced write filter) als Schutz des PCs vor Veränderungen



Hallo Cosinus,
...vielen Dank für das schnelle feedback

Es funktioniert definitiv SEHR GUT (...zumindestens bei mir auf meinem System)

Bei der von Dir gefundenen Quelle wird das Funktions-Prinzip von EWF ja auch noch einmal erklärt.

Eine sehr gute Anleitung inkl. der benötigten Dateien für Win XP und schon vorkonfigurierten Batch-Dateien findet sich in dem von mir unter INFO angegebenen Tutorial:
hxxp://www.windowspage.net/cgi-bin/board/YaBB.pl?num=1186413447
(leider kann ich hier keine aktiven Links einsetzen, so daß in dem angegebenen das hxxp durch http ersetzt werden muß)

Ich selbst kenne und nutze diese Form schon seit 2 Jahren und habe absolut positive Erfahrungen damit gemacht.


Vergleiche:
Deine Vergleiche passen prinzipiell von der Funktion her, nur daß "PC-Sheriff" Hardwarebasiert ist und EWF Softwarebasiert.
Es ist in der Tat so, als wenn bei jedem Neustart des Systems ein Backup resp. Image des System auf C: zurückgespielt wird. Nur das es mit EWF automatisch, deutlich schneller und komfortabler geschieht.
Wenn tatsächlich Änderungen auf C: übernommern werden sollen (neue Programme, Softwareupdates, neue Favoriten, Konfigurationsänderungen, etc.), so geschieht dies einfach durch den Aufruf bzw. das Anklicken einer Batch-Datei.


Arbeitsweise:
Sinnvollerweise sollte man bei angedachten Änderungen alle notwendigen Dateien zuvor herunterladen und auf einer separaten Partition resp. Datenträger speichern.
Dann das System einmal neustarten, um zwischenzeitlich (temporär) geschehene und evtl. ungewollte Änderungen wieder zurückzusetzen. Mit dem so neu gestarteten und sauberen System einmal die gewünschten Änderungen vornehmen bzw. die gewünschte neue Software installieren, diese Änderungen mit der Batch-Datei übernehmen und neustarten.
=> ab jetzt ist das System wieder geschützt und hat ausschließlich die gewünschten Änderungen übernommen bzw. wurde in den gewünschten Bereichen aktualisiert.

Ich könnte mir vorstellen, daß diese Arbeitsweise für etliche user interessant sein könnte.
Da sie mit dem "PC-Sheriff" vergleichbar ist, bietet sich auch die gleiche Zielgruppe an.

Gruß Jörg


EDIT:
Meine Erfahrungen beziehen sich auf Windows XP Prof SP3.
Nach Angaben des Tutorials sollte es ebenfalls auf Windows 7 problemlos laufen.
Nach dem verlinkten Beitrag von PC-Welt im Post #2 wird vor dem Einsatz bei Windows 8 abgeraten.

Für alle Fälle gilt vor der Umstellung auf EWF wie immer bei solchen Eingriffen ins System:
ZUVOR EIN IMAGE DES SYSTEMS UND EINE AKTUELLE DATENSICHERUNG ANLEGEN !!!
__________________

Geändert von jrahe (03.07.2013 um 11:07 Uhr)

Alt 03.07.2013, 11:37   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
EWF (enhanced write filter) als Schutz des PCs vor Veränderungen - Standard

EWF (enhanced write filter) als Schutz des PCs vor Veränderungen



Zitat:
Deine Vergleiche passen prinzipiell von der Funktion her, nur daß "PC-Sheriff" Hardwarebasiert ist und EWF Softwarebasiert.
Wieso ist PC-Sheriff hardwarebasiert? PC-Sheriff ist auch nur ein Stück Software
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.07.2013, 11:49   #5
jrahe
/// Helfer-Team
 
EWF (enhanced write filter) als Schutz des PCs vor Veränderungen - Standard

EWF (enhanced write filter) als Schutz des PCs vor Veränderungen



...uups, das kenne ich noch anders...!

Ich hatte (allerdings vor ca. 10 Jahren) mehrere Klassensätze einer Bildungseinrichtung mit dem "PC-Sheriff" ausgestattet.
Dabei handelte es sich um kleine Steckplatinen für die PCI-Plätze, auf denen die Konfigurationen gespeichert wurden.
Beim Entfernen dieser Karten ließ sich der PC nicht mehr starten. (vergleichbar mit einem "Dongle" oder "Token")
Insofern hatte ich dies als Hardware angesehen.

Die Konfiguration der Karten fand natürlich softwarebasiert statt.

Die heutigen Versionen von "PC-Sheriff" scheinen komplett softwarebasiert zu sein.


Alt 03.07.2013, 11:54   #6
HardStylerx3
 
EWF (enhanced write filter) als Schutz des PCs vor Veränderungen - Standard

EWF (enhanced write filter) als Schutz des PCs vor Veränderungen



Zitat:
Zitat von jrahe Beitrag anzeigen

(vor ca. 10 Jahren)



Antwort

Themen zu EWF (enhanced write filter) als Schutz des PCs vor Veränderungen
allgemein, automatisch, edition, festplatte, filter, frage, fragen, gen, laptop, malware, neustart, nutzt, pcs, performance, ram, rechner, schutz, sp3, standard, temporär, tutorial, ungewollte, win, win xp, windows, windows xp




Ähnliche Themen: EWF (enhanced write filter) als Schutz des PCs vor Veränderungen


  1. Enhanced Mitigation Experience Toolkit (EMET) zu empfehlen?
    Antiviren-, Firewall- und andere Schutzprogramme - 06.10.2015 (9)
  2. Träges System, Veränderungen, mehrere unbekannte Prozesse
    Log-Analyse und Auswertung - 07.03.2015 (21)
  3. Träges System, Veränderungen, mehrere unbekannte Prozesse - Danke an Schrauber
    Lob, Kritik und Wünsche - 05.03.2015 (0)
  4. Sicherheitskontrolle: unser System überprüft ihren Computer nach Veränderungen
    Log-Analyse und Auswertung - 24.05.2014 (3)
  5. Enhanced-Search.com (Enhanced Search) entfernen
    Anleitungen, FAQs & Links - 27.04.2014 (2)
  6. Selbständiges deaktivieren von Avira Echtzeitscanner, Firewall, Browser-Schutz und E-Mail-Schutz
    Plagegeister aller Art und deren Bekämpfung - 28.01.2014 (10)
  7. Veränderungen am System - Virus eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 25.01.2014 (11)
  8. EWF (enhanced write filter) Teil II => Performance Steigerung durch "Sandboxie"
    Diskussionsforum - 12.07.2013 (0)
  9. Enhanced Mitigation Experience Toolkit
    Antiviren-, Firewall- und andere Schutzprogramme - 24.01.2012 (4)
  10. FAcebook Virus (Enhanced Protection Mode)
    Plagegeister aller Art und deren Bekämpfung - 01.08.2011 (7)
  11. Facemood & Enhanced Search ENTFERNEN
    Mülltonne - 16.05.2011 (2)
  12. Der richtige Schutz - Welchen Virenscanner? Zusatz-Schutz?
    Antiviren-, Firewall- und andere Schutzprogramme - 24.02.2011 (9)
  13. ADSL-Filter
    Netzwerk und Hardware - 14.04.2008 (5)
  14. msconfig started automatisch (ohne vorgenommene Veränderungen)
    Log-Analyse und Auswertung - 23.05.2007 (6)
  15. Veränderungen an der Registry vornehmen?
    Plagegeister aller Art und deren Bekämpfung - 10.05.2007 (3)
  16. enhanced MediaLoads
    Plagegeister aller Art und deren Bekämpfung - 17.01.2005 (1)

Zum Thema EWF (enhanced write filter) als Schutz des PCs vor Veränderungen - Keine Angst vor Malware - ...und täglich grüßt das Mumeltier Ich setze auf meinem Rechner (Win XP) den sogenannten EWF (enhanced write filter) ein, um die Performance zu erhalten, die - EWF (enhanced write filter) als Schutz des PCs vor Veränderungen...
Archiv
Du betrachtest: EWF (enhanced write filter) als Schutz des PCs vor Veränderungen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.