GLF

[ZerberusX]

Man bekommt durchaus getrennt Hardware wieder.

Wird die externe Festplatte entdeckt besteht hier halt das Risiko ,dass der geheime Container entdeckt wird. Aber der Verlust einer externen Festplatte ist wesentlich leichter zu verkraften als der eines teuren Gamer-PCs..... Und ,ob der Container entdeckt wird ist ebenfalls fraglich.


Trotzdem bitte meinen vorherigen Post lesen!!!!!


Wird die beschlagnahmt haben die halt eine externe mit wertlosem und verschlüsseltem Müll.

Der Hauptunterschied zwischen usneren beiden MEthoden...

Mein System ist verschlüsselt und die Auslagerungsdateien etc. ebenfalls. Wird das versteckte Windows also gefunden kann ich den PC auch vergessen. Da wäre die Gefahr wegen den Auslagerugnsdatein einfach zu groß.


Bei seiner MEthode ist alles unverschlüsselt bis auf die externe Platte. Durch das Backup sollen die Auslagerungen gelöscht werden und da kein verstecktes System vorhanden ist ,ist alles unverdächtig....


Aber wie gesagt. Ich bezweifle die Löschwirkung des Backups!

[Ovid]

Man bekommt durchaus getrennt Hardware wieder.

Hast du dafür Belege?
Wenn das stimmt: Dann ja: Das ist ein Vorteil, wenn auch der einzige.

[Smaragd aus Oz]

Nach der Sitzung ist die Platte wieder abzunehmen

Ja, siehste, und das ist das Problem: Eine Sitzung auf'm Pott mache ich mit meinem Rechner nur sehr selten, aber ich trage ihn gerne von hie nach da oder auf dem Schoße. Da kann ich es nicht gebrauchen, dass noch irgendwelche Dinger an ihm baumeln.


Zu dem Zurückbekommen der Hartwaren:
Was glaubt Ihr denn, wie schnell man seinen blitzeblanken PC zurückbekommt, hm? Nach einem Tag? Nach einer Woche? Nach einem Monat?? Da gucken die sich das Ding vielleicht das erste Mal an. Und wenn er so steril aussieht, dann wird bestimmt ganz gründlich nachgeschaut.
Also: Das Zeug ist erst mal für eine ganze Weile weg. Für diese Zeit muss man sich eh einen Ersatzrechner kaufen, wenn man nicht unvernetzt sein will. Und dann wäre es mir irgendwann ehrlich gesagt schnurz, ob ich den alten Rechner zurückbekomme oder nicht.

[Khenu Baal]

Sei nicht so frustriert .

Bin ich nur über das völlig abgehobene Gekwatsche, das niemandem von denjenigen, die es bräuchten, was bringt. Nach meiner Vorstellung sollten in diesem Bereich lesbare, verständliche und für den Laien umsetzbare Step-by-Step-Anleitungen zur Bedienung diverser Software angeboten werden. Alles andere hat hier mbMn nix zu suchen. Mich als Anwender interessiert ausschließlich die Bedienung und daß es funzt. Genau wie beim Auto, der Kaffeemaschine oder der Klospülung. Punkt. Dieses Rumgelabere "Ich mach es so..." ... "Ich mach es besser..." gehört ins Off Topic.

Zugegeben, ich bin da etwas radikaler als meine geschätzten Teamkollegen. Aber ich bin auch einer derjenigen, der auf hilfreiche Tipps angewiesen war, teilweise noch ist. Von daher also prädestiniert, um zu beurteilen, ob der DAU - und an den richtet sich dieser Forenbereich - was mit dem Geschriebenen anfangen kann.

Daß die von "dnt" beschriebene Methode funktioniert, weiß ich aus eigener Anschauung. Ich weiß aber auch, daß Otto Normalperverso mit diesem Fachchinesich nichts anfangen kann und will. Wer also nicht nur mit seiner Genialität angeben möchte, sollte sich bemühen, die Leute da abzuholen, wo sie stehen. Gutes Beispiel dafür ist u.a. "Lolimat", dessen Postings nachweislich schon etlichen Leuten Anstöße gaben, sich mit der Materie einzulassen. Eben weil er nicht den Oberschlauen raushängen läßt, sondern sich textlich auf die Adressaten einstellt. Dadurch wendet sich die Kundschaft nicht kopfschüttelnd ab, sondern liest interessiert weiter.

Na ja, meine Haltung dazu dürfte eh bekannt sein. Äußere mich ja nicht zum ersten Mal zu dem Problem.

[gelöscht_22]

Liebster Khenu,
@all,

oh je, da habe ich ja wieder was angestellt
Bestimmt liebst Du mich jetzt nicht mehr

Also jetzt mal für den

unbedarften oder naiven Benutzer

Das mit dem Verstecken von Daten ist nicht so ohne.
Derjenige, der TrueCrypt oder dergleichen kennt, weiß, dass er damit sog. Container anlegen kann.
Das sind große Dateien auf dem Rechner, die als eigenständiges Laufwerk (z.B. als Laufwerk z:\) per Passwort geöffnet werden können.
Nur so hat man Zugriff auf den Inhalt des Containers und kann dort (quasi in die große Datei hinein) Daten verschlüsselt ablegen.
Ist das Passwort nicht zufällig "0", oder "1234", so ist es sehr unwahrscheinlich, dass der Container, von wem auch immer, unbefugt geöffnet werden kann.

So weit so gut. Die Daten liegen also sicher verwahrt in dem Container.

NUR: Die Dateien, die man aus diesem Container aufruft, die werden von Windows an den unmöglichsten Stellen gemerkt.

Somit kann ein Unbefugter möglicherweise erkennen, welche Dateien in Benutzung waren und so ggf. unangenehme Schlüsse ziehen (Dateinamen), die die Sache verkomplizieren können.

Nun gibt es eine Fülle an Programmen, die mehr oder weniger gut, Windows von dem, was es sich so alles gemerkt hat, säubern.
Ich traue diesen Programmen nicht und überschreibe mein gesamtes Windows mit einer Sicherungskopie (sog. Image), die ich erstellt habe, bevor ich den Container das erste mal angefasst habe.

Programme zum Erstellen von Images gibt es auch eine Reihe, die besten Erfahrungen habe ich jedoch mit GhostCE8 gemacht.

Habe ich also meine privaten Daten bearbeitet, so spiele ich das zuletzt erstellte Image zurück, überschreibe damit mein Windows zur gänze und bin dann wieder auf dem Installationsstand wie vorher.
Das ist mitunter lästig, wenn ich in der zwischenzeit Einstellungen gemacht habe, oder andere Programme installiert habe. Diese Änderungen sind dann alle futsch. Insofern muss man schon öfter nach größeren Umbaumaßnahmen an seinem Windows ein neues Image erstellen, um nicht alles doppelt und dreifach machen zu müssen.

Das ist der erste Teil, der verhindert, dass man anhand einer History oder irgendwelcher sonstwo von Windows gespeicherten Daten ersehen kann, welche privaten Daten man so angefasst hat.

Jedoch ist die Existenz eines verschlüsselten Containers auf dem Rechner mitunter Grund genug für gewisse Leute, einen z.B. beschlagnahmten Rechner so lange nicht heraus zu geben, bis nicht alle Daten offen gelegt wurden. So kann der Rechner dann für immer verschollen sein.

Deshalb ist es ratsam, zu verhindern, das überhaupt die Existenz eines solchen Containers bewiesen/vermutet werden kann.

Es gibt hierfür verschiedene Methoden, aber eine gute ist, den Container auf einer seperaten Festplatte anzulegen. Und zwar nicht als Datei wie auf dem Rechner, sondern die gesamte Festplatte als einen großen Container zu verwenden.

Damit Windows Daten auf einer Festplatte speichern kann, muss auf der Festplatte mindestens eine Partition existieren die formatiert ist. Auf einer neuen Festplatte ist das nicht der Fall.

TrueCrypt, und andere Programme, können aber den Container anlegen, ohne dass die Festplatte partitioniert werden oder formatiert werden muss.

Beim Erstellen des Containers schreibt TrueTrypt Zufallsdaten auf die Festplatte. Es ist nicht ersichtlich, das überhaupt ein Container existiert. Kein Mensch kann nachweisen, dass die Festplatte nicht einfach nur gelöscht worden ist. Insofern macht diese Methode Sinn, weil sie sehr unverdächtig ist.

Erfahrungsgemäß bekommt man diese Festplatte auch wieder, weil ja nichts lesbares an Daten daruf gespeichert worden ist, und es auch keinen Hinweis daruf gibt, das sich ggf. verschlüsselte Daten auf der Festplatte befinden. Die meisten Ordnungshüter schreiben dann "1x Festplatte, nicht lesbar" in den Bericht hinnein. Was ja auch stimmt.

Ich hoffe, ich habe mir Khenus Gnade wieder ertippt und mich allgemeinverständlich ausgedrückt.

Wer Verständnisfragen hat, oder weitere Informationen wünscht, der soll einfach nachfragen.

dasneuetangram

[ZerberusX]

Wenn ihr unbedingt Rechner verschenken wollt. Bitte......^^


Ich bin da eher der geizige Typ.





Zum Topic. Nochetwas ist mir aufgefallen. Bei seiner Methode hat das Hauptsystem kontakt zum Schutzmaterial. Bei meiner MEthode bleibt das Hauptsystem unangetastet. Lediglich das versteckte System hat kontakt zum Schutzmaterial.

Angenommen das Windows Backup würde wirklich jede Auslagerungs-Datei und sonstige spuren vernicht wäre deine MEthode vorteilhafter als meine. Reiner PC und keine Anzeichen für ein verstecktes System.


ANGENOMMEN.
Beweis mir ,dass das Backup alles gnadenlos und unwiederbringlich zerstört. Dann haben wir die beste Methode gefunden. Ich bin der Meinung ,dass man alles was Windows überschreibt wiederherstellen kann. Nur mit spezieller Shredder-Software ists wirklich zerstört.

Beispielsweise die Gutmann-Methode:
Die Gutmann-Methode, benannt nach ihrem Erfinder Peter Gutmann, der diese erstmals im Jahr 1996 veröffentlichte, ist eine Methode zur vollständigen Löschung von Daten, die auf magnetischen Speichermedien, z. B. Festplatten, gespeichert sind. Dabei werden die Daten insgesamt bis zu 35-mal mit bestimmten Werten nach einem speziellen Muster überschrieben.


Wilslt du mir ernsthaft erzählen ,dass ein einfaches Backup die Daten verstümmelt und unerkennbar macht? Das ist wie als würdest du durch ein Wort einen Strich malen.....

Und mit Schredder-Software kritzelst du die ganze Box voll.

[Ovid]

http://www.heise.de/security/meldung/Si ... 98816.html

[ZerberusX]

Da halte ich dagegen. (ZWar ohne spezielle Argumentation ,aber dennoch).

Ich würde niemals mit der Gutmann Methode überschreiben (wirklich viel zu aufwendig und heftig). Ich wähle da eher Zufallsdaten und dann 8 mal überschreiben....

Mit 1 mal würde ich mich tatsächlich nicht sicher fühlen. Ich bin fest davon überzeugt ,wenn die wollen können die ziemlich viel herstellen.



Was anderes:
Wie genau funktioniert ein Windows Backup? Was passiert genau mit den Auslagerungsdaten? nehmen wir mal an die Auslagerungsdaten waren vor dem Backup mehr (durch die Benutzung). JEtzt spielst du also dein Backup auf ,wo andere Auslagerungsdaten sind die aber von der Größe her weniger sind als deine aktuellen. Nun dampft Windows das neue auf das alte. Was passiert mit den Auslagerungsdaten. Da werden die Sektoren überschrieben die gebraucht werden. Was passiert mit den Sektoren die genutzt wurden ,weil die vorherige Auslagerungsdateio größer war? Ich glaube kaum ,dass Windows die mit Zufallswerten überschreibt. Diese Teile liegen dann wohl unadressiert hinter dem neuem Windows.

Genau da liegt das Problem. Da ich überzeugt bin 1 mal überschreiben genügt nicht ,ist der überhangsektor ein Anhaltspunkt für die komplette Datei die überschrieben unter dem neuem Windows liegt.


?

Echt nerdig

[Khenu Baal]

Na bitte, geht doch !

Nun gibt es eine Fülle an Programmen, die mehr oder weniger gut, Windows von dem, was es sich so alles gemerkt hat, säubern.
Ich traue diesen Programmen nicht...

Ich schon. Und zwar so lange, bis mir ein aktenkundiger Fall sagt, daß der CCleaner oder der EastTech Eraser ihre Arbeit nicht ordnungsgemäß verrichten.

die besten Erfahrungen habe ich jedoch mit GhostCE8 gemacht

Nun ja, ich bescheide mich mit dem Imagemaker für arme Leute: Acronis True Image Home .

P.S. Um meine Gnade zu verlieren, müßtest Du schon sehr kreativ sein . Bist Du ja nicht .

P.P.S. Guter Text! So in etwa muß das aussehen, um gelesen zu werden und gegebenenfalls Interesse zu wecken. Ich wußte ja, daß Du's kannst .

[ZerberusX]

Khenu:
Da liegst du meiner Meinung nach völlig richtig. Was Windows unter löschen versteht ist wirklich lächerlich.


Da kann man sich nur auf SafeErease etc. verlassen....


Warum sollte es da bei einem Windows Backup anders sein?

[Gelöscht_28]

Soweit ich weiß sthet das Zeug erstmal gut 3 Jahre da bis es untersucht wird. Das wird glaube ich zentral gemacht, weil nicht jedes Land hat auch ne computerwissenschaftliche Abteilung. Und jetzt nehmen wir als beispiel die festnahmen bei den BL´s, 600 oder so waren das?600 Rechner, jeder im Schnitt 1 TB, dazu Laptops, externe, CD´s sticks usw... das kommen bestimmt 2 Petabyte zusamm. Das muss alles untersucht werden, jede Datei muss nachgeschaut werden, hinter dem Cosplaylied könnte ja ein Kinderporno versteckt sein usw. Bei denen sind die Lager wahrscheinlich bis unters dach gefüllt, dann kommen ja noch raubkopierer, Terroristen und das andere viehzeugs dazu... wenn man den Rechner wiederbekommt hat man längt einen holografischen rechner mit //brain schnittstelle am kopp.

Alleine bis die anfangen da nach zu schauen könnte Monate dauern. Und je unverdächtiger es aussieht, umso genauer gucken die nach. Würd ich zumindest so machen.

Die Sache ist aber die, die dürfen das dingen nciht bis in alle ewigkeit behalten. Wenn die bei mir nur ne verschlüsselte Platte finden, dann dient das Teil nicht der Beweissicherung wenn ich den Schlüssel nicht rausrücke. Wenn keine anderen Beweise vorliegen kann man mich nciht festhalten und den Rechner muss ich dann auch wieder kriegen weil es nicht möglich ist Truecrypt in einem akzeptablen Zeitraum zu knacken.

Ansonsten, Chinaböller kaufen, sprengpulver rausnehmen, in säckchen abfüllen, in der Platte pazieren und eine Fernsteuerbare einheit aus dem Modellflugzeugbau dran. Knopfdruck und Peng, ist die Platte schrott. Und was die da rauslesen könne verschlüsselt sein, oder einfach nur Datenmüll, da muss man sich nur ne Platte kaufen, sonst nichts.

[ZerberusX]

3-6 Monate kann es dauern.... Aber selbst dann wäre ich froh. 3 Jahre ist für meine Begriffe unrealistisch (nicht die Regel).


Es wäre nett ,wenn jemand auf die Windows Backups eingehen würde ;D. Aber der 2te Fachmann hier scheint wohl off zu sein ;P.

[gelöscht_22]

Hallo ZerberusX,

ACHTUNG FACHCHINESISCH

Das Programm GhostCE8, Ghost03 läuft nicht unter Windows.
Man bootet von einer Diskette, von einer CD (liegt beim Kauf dabei) oder einem USB-Stick und startet die Software, die unter DOS läuft. Also Windows läuft nicht.

Die erstellte Imagedatei ist sektorbasiert, d.H. es werden die Sektoren der Partition von 0 bis Ende gelesen, komprimiert und in die Imagedatei geschrieben. Sonst wäre es kein Image, sondern ein simples Backup.

Beimzurückspielen passiert das gleiche, jeder Sektor wird überschrieben, somit ist auch sicher gestellt, das alles was zwischen den Sektoren hängt, die sog. FileSlacks mit überschrieben werden. Das sind die Bereiche eines Sektors(Blocks um genau zu sein), die von einer Datei nur teilweise benutzt werden und von Windows nicht gelöscht werden. Von Windows wird der Block geladen, bis zum EndOfFile (EOF) beschrieben und dann wieder auf die Platte geschreiben. So kommen etliche Megabyte an Bereichen zusammen, auf die man unter Windows keinen Zugriff hat, wo aber dennoch Daten liegen. Programme wie BCWipe (kostenfrei in einer älteren Version) kann aber auch FileSlacks löschen.

Kurz zum Hintergrund: Studierter Informatiker und Dr. der Softwaretechnik, Author von verschiedenen Backuprogrammen. Ich arbeite in einer Firma die u.A. forensische Datenanalyse für die Steuerfahndung macht und dessen Aufgabe es ist, eben so viel wie möglich an Daten ans Licht zu holen.
HDD Coding/Decoding bis auf Domainebene.

dasneuetangram
auch mal angeben wollen

[Ovid]

Mit 1 mal würde ich mich tatsächlich nicht sicher fühlen. Ich bin fest davon überzeugt ,wenn die wollen können die ziemlich viel herstellen.

Dass du dich nicht sicher fühlst hat keinen argumentatorischen Wert.
Es gibt wissenschaftliche Beweise, die gegen dein Sicherheitsgefühl sprechen.

Wie genau funktioniert ein Windows Backup?

Kommt auf die Methode an.
Ein komplettes Partitionsimage, was immer gleich groß bleibt und auf eine gleich große Partition sektorweise kopiert wird, würde das Problem der "trailing data" lösen.

[ZerberusX]

Ah!
Jetzt versteh ich. Die komplette Platte wird gescannt und überschrieben wie es war. Auch die leeren Sektoren. Das klingt schon interessanter.



Jetzt hast du schonmal das mit den Überhangsektoren zerstört.


Mein letztes (Achtung) ABER!

Wie oft überschreibt Ghost die Platte mit dem Image? Sicher nur 1 einziges mal oder?

Da wären wir wieder beim Thema Papierblätter und deren Durchsichtigkeit.

Bist du also überzeugt 1 mal überschreiben reicht aus?

Edit:
Sicher ist mein Gefühl kein Argument. Mir reicht aber ,dass das Verteidigungsministerium ebenfalls mehrmals überschreibt...

Warum belassen die es nicht bei einem mal?