Windows XP Hacks Secrets

Document Sample
Windows XP Hacks Secrets Powered By Docstoc
					    PC Underground




 Windows XP
Hacks & Secrets
      Daniel Koch
    Christian Immler




   DATA BECKER
236       Windows-Sicherheitsrisiken aufgedeckt und abgestellt


      Alle aktuell laufenden Prozesse werden angezeigt. Um nun noch mehr De-
      tails zu den Prozessen zu bekommen, geben Sie in die Eingabeaufforderung
      tlist –s oder tasklist /svc ein.


      Geheimnis gelüftet – trotzdem bestehen Gefahren
      Das Geheimnis um Svchost.exe ist also gelüftet und normalerweise ungefähr-
      lich. Svchost.exe kann unter normalen Umständen der Zugriff aufs Internet
      gewährt werden. Wenn Sie allerdings häufig Probleme mit dem Svchost-Pro-
      zess durch Abstürze oder Fehlermeldungen wie Programmfehler: svchost.exe
      hat einen Fehler verursacht, starten Sie die Anwendung neu haben, kann dies
      auf eine Verseuchung mit dem Blaster-Wurm hindeuten. Insbesondere wenn
      die Abstürze und Fehler während Internetzugriffen erfolgen. In diesem Fall
      hilft nur ein guter Vierenscanner oder ein kleines Tool von Microsoft:
      http://www.microsoft.com/downloads/details.aspx?FamilyID=e70a0d8b-fe98-
      493f-ad76-bf673a38b4cf&DisplayLang=de.

      Vorher können Sie mit diesen Informationen mit tasklist.exe nachschauen,
      welches Programm per svchost.exe aufs Internet zugreifen will, und den
      Zugriff eventuell unterbinden.


3.20 Recovery Console: Vorbereitung auf den
     Windows-Crash
      Wenn Windows absolut nicht mehr läuft, greifen viele Anwender zur ultima-
      tiven Lösung – Windows neu installieren. Nun, effektiv ist das auf jeden
      Fall. Ist es aber auch eine praktische Lösung? Wir meinen: Nein! Schließlich
      gehen so nicht nur viel Zeit verloren, sondern im Zweifelsfall auch zig Win-
      dows-Einstellungen und Programmverknüpfungen, von den persönlichen Da-
      ten ganz zu schweigen.

      Mit der Wiederherstellungskonsole (Recovery Console) können Sie ganz ein-
      fach Ihr Windows wieder reparieren. Aber nicht nur das, dieses Tool kann
      auch noch für andere Aufgaben eingesetzt werden.
      •    Bootsektor reparieren
      •    Master Boot Record reparieren
      •    Teile der Registry sichern und wiederherstellen
      •    Dateien auf der Festplatte anlegen, löschen und austauschen
      •    Dienste und Treiber aktivieren bzw. deaktivieren etc.
             Windows-Sicherheitsrisiken aufgedeckt und abgestellt      237

Die Wiederherstellungskonsole ist auf jeder Windows XP-CD enthalten und
kann direkt von dort gestartet werden. Dazu lassen Sie beim Rechnerstart
die CD eingelegt, geben nach der Aufforderung an, dass Sie von CD booten
wollen, und drücken die Taste [F2]. Anstelle des Setup-Programms wird jetzt
die Wiederherstellungskonsole aufgerufen.


Wiederherstellungskonsole direkt von der Platte
starten
Wenn Sie die Wiederherstellungskonsole häufiger brauchen, sollten Sie sie
auf die Festplatte installieren. So taucht sie beim nächsten Systemstart im
Bootmenü auf und kann ganz bequem gestartet werden. Dafür müssen Sie
sich an einem Benutzerkonto mit Administrationsrechten anmelden.

1. Legen Sie die Windows XP-CD ein und zeigen Sie auf Start/Ausführen.
2. Geben Sie X:\i386\winnt32 /cmdcons ein und drücken Sie die [Enter]-
    Taste. Ersetzen Sie X durch den Laufwerkbuchstaben Ihres CD-ROM-
    Laufwerkes.
3. Folgen Sie jetzt einfach den Anweisungen des Assistenten. Während der
    Installation wird die Setup-Routine wahrscheinlich versuchen, eine Ver-
    bindung zum Micosoft-Server herzustellen, um so nach aktuellen Versi-
    onen der Wiederherstellungskonsole zu suchen. Sie sollten das auf jeden
    Fall zulassen. Schließlich sind aktuellere Versionen immer besser.

Die Installation erfolgt automatisch in dem Verzeichnis CMDCONS Ihrer
Systempartition. Beim nächsten Neustart steht die Wiederherstellungskonso-
le im XP-Bootmenü zur Verfügung.


Sicherheitseinstellungen der Konsole aushebeln
Da haben Sie sich nun die Wiederherstellungskonsole installiert, aber so
richtig zufrieden können Sie damit noch nicht sein. Schließlich unterliegt sie
so vielen Einschränkungen, dass das Arbeiten mit ihr keinen „Spaß“ macht.
So können in den Standardeinstellungen beispielsweise keine Daten auf
Disketten gespeichert noch kann auf Dateien zugegriffen werden, die nicht
im Systemordner von Windows liegen. Nun sind diese Einschränkungen im
Netzwerkalltag natürlich sinnvoll. Denn ohne die könnte jeder Admin wich-
tige Firmendaten auf Diskette ziehen und auf ganz persönliche Daten zugrei-
fen.
238     Windows-Sicherheitsrisiken aufgedeckt und abgestellt


      Im Heimgebrauch stören solche Einschränkungen allerdings. Also weg da-
      mit! Durch die folgenden Schritte können Sie auf alle Verzeichnisse zugrei-
      fen und müssen sich nicht jedes Mal, wenn Sie die Wiederherstellungskonso-
      le einsetzen, als Administrator anmelden.

      Recovery Console aufgebohrt
      Um auf alle Verzeichnisse zugreifen zu können, öffnen Sie den Registrie-
      rungs-Editor und folgen dem Pfad HKEY_LOCAL_MACHINE\Software\Mi
      crosoft\Windows NT\CurrentVersion\Setup\RecoveryConsole.

      Ändern Sie den Wert des DWORD-Werts SetCommand von 0 auf 1.

      Nachdem Sie die Änderungen gespeichert haben, starten Sie Windows neu.
      Rufen Sie die Wiederherstellungskonsole auf und geben Sie den folgenden
      Befehl ein:
          set AllowAllPaths = true

      Fortan können Sie bequem auf alle Daten und Verzeichnisse zugreifen.

      Zu Hause nervt es, dass man sich immer als Administrator anmelden muss,
      um an der Konsole zu arbeiten. Mit einem kleinen Eingriff in die Registry ist
      das fortan nicht mehr nötig.

      Hangeln Sie sich zu dem Schlüssel HKEY_LOCAL_MACHINE\Software\
      Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole und weisen
      Sie dem Wert SecurityLevel den Wert 1 zu.


      So stellen Sie Ihre Bootdateien wieder her
      Nun ist die Installation der Wiederherstellungskonsole natürlich nur die
      halbe Miete. Schließlich muss sie auch noch entsprechend bedient werden.
      Wie das geht, sehen Sie am besten anhand eines praktischen Beispiels. Und
      um es auch richtig interessant zu machen, wollen wir uns gleich einem Su-
      per-GAU widmen, nämlich dem Wiederherstellen von defekten oder gelösch-
      ten Bootdateien.

      Das passiert übrigens häufiger, als Sie vielleicht denken. So haben es bei-
      spielsweise viele Viren speziell auf die Bootdateien abgesehen. Ein weiterer
      Fall ist, wenn Sie z. B. eine Linux-Partition wieder von der Platte löschen
      und den Linux-Boot-Manager GRUB eingesetzt haben, wie es z. B. SuSE-
      Linux in den aktuellen Versionen macht. Dann wird hin und wieder der
      Master Boot Record beschädigt und muss neu geschrieben werden.
               Windows-Sicherheitsrisiken aufgedeckt und abgestellt             239

Melden Sie sich unter der Wiederherstellungskonsole an und geben Sie an-
schließend auf der Bootpartition FIXBOOT [Laufwerk:] und FIXMBR ein.
FIXBOOT schreibt einen neuen Partitionsbootsektor auf die Systempartiti-
on. FIXMBR [Gerätename] wird benötigt, um den Master Boot Record
(MBR) der Startpartition wiederherzustellen.

FIXMBR kann allerdings die Partitionstabelle beschädigen, wenn ein Parti-
tionsvirus z. B. die Partitionstabelle geändert oder verschlüsselt hat oder ein
Hardwareproblem vorliegt. Die Ausführung dieses Befehls kann dann dazu
führen, dass in diesen Fällen nicht mehr auf die Partition zugegriffen werden
kann. Versuchen Sie auf jeden Fall immer, erst ein Boot- oder Partitionsvirus
mit einem Virenscanner unschädlich zu machen. Gehen Sie also nicht vor-
schnell damit um. Eine typische Fehlermeldung ist: NTLDR is missing. An-
schließend steht das System und fährt nicht hoch.

     Bootdiskette nicht vergessen
     Wenn es zu Problemen mit dem Booten kommt, sollten Sie auf jeden Fall eine Boot-
     diskette zur Hand haben. Mit einer Bootdiskette können Sie den Bootvorgang ü-
     berbrücken und das System starten. Anschließend können Sie sich dann bei laufen-
     dem Betriebssystem an die Fehleranalyse machen.
     Legen Sie eine Diskette ein und formatieren Sie sie. Kopieren Sie anschließend aus
     dem Stammverzeichnis C:\ die Dateien ntldr, NTDETECT.COM, BOOT.INI, AUTO
     EXEC.BAT und, falls vorhanden, ntbootdd.sys auf die Diskette.

Um im Ernstfall eine oder mehrere Bootdateien wiederherzustellen, gehen
Sie folgendermaßen vor:

1. Legen Sie die Windows XP-CD ein und drücken Sie die Taste [F2].
2. Wählen Sie nun die zu reparierende Windows XP-Installation aus. Nor-
    malerweise gibt es ja nur eine.
3. Melden Sie sich mit dem Administratorkennwort an und reparieren Sie
    mit dem Befehl Fixboot c: den Bootsektor der Bootfestplatte.
4. Jetzt müssen die Startdateien von der Bootdiskette auf die Festplatte
    kopiert werden. Das erledigen die folgenden Befehle:
    copy a:\ntldr c:\
    copy a:\ntdetect.com c:\
    copy a:\BOOT.INI c:\
    copy a:\autoexec.bat c:\
    copy a:\ntbootdd.sys c:\ (nur falls vorhanden)

5. Vorhandene Dateien lassen Sie überschreiben.
240     Windows-Sicherheitsrisiken aufgedeckt und abgestellt


      6. Wenn Sie zwischendurch Hardwareänderungen vorgenommen haben,
          kann es passieren, dass die BOOT.INI nicht mehr zum System passt. In
          diesem Fall geben Sie den Befehl Bootcfg/rebuild ein. Dadurch wird die
          BOOT.INI mit den aktuellen Einstellungen neu aufgebaut.
      7. Zu guter Letzt verlassen Sie mit Exit die Wiederherstellungskonsole und
          starten den Rechner ohne Diskette neu.
          Jetzt sollte alles wieder wie gewohnt laufen.


3.21 So sichern Sie Ihren privaten
     Windows-Codeschlüssel
      Wenn Sie Ihre Daten mit der Windows-eigenen Verschlüsselung EFS (En-
      crypting File System) verschlüsseln, brauchen Sie einen privaten Schlüssel,
      um wieder an diese Daten heranzukommen. Geht dieser Schlüssel verloren,
      z. B. durch eine notwendige Neuinstallation oder ein defektes Benutzerkon-
      to, können die Daten nicht wiederhergestellt werden.

      Auch dann nicht, wenn die Daten nicht auf der Windows-Partition liegen.
      Dieses Problem können Sie ganz einfach umgehen, indem Sie den Schlüssel
      auf Diskette oder USB-Stick sichern.
      1. Melden Sie sich als Administrator bzw. mit Administratorrechten an.
      2. Zeigen Sie auf Start/Ausführen und geben Sie secpol.msc ein.
      3. Öffnen Sie Richtlinien öffentlicher Schlüssel und wählen Sie Agenten für
          Wiederherstellung verschlüsselter Daten.
      4. Im rechten Fensterbereich finden Sie das Zertifikat für den Administra-
          tor zum Zweck der Dateiwiederherstellung. Klicken Sie dieses Zertifikat
          mit der rechten Maustaste an und wählen Sie Alle Tasks/Exportieren
          und Weiter.
      5. Aktivieren Sie die Option Ja, privaten Schlüssel exportieren und wählen
          Sie Weiter.
      6. Sie können jetzt entscheiden, ob Sie den Schlüssel, der dem Administra-
          tionskonto zugeordnet ist, löschen wollen. Aktivieren Sie dazu Privaten
          Schlüssel nach erfolgreichem Export löschen. Das Löschen hat den Vor-
          teil, dass so tatsächlich niemand mehr an diesen Schlüssel herankommt.
          Wenn Sie allerdings die Diskette mit dem exportierten Schlüssel verlie-
          ren, gilt das auch für Sie. Verzichten Sie also besser auf das Löschen des
          Schlüssels.
                   Windows-Sicherheitsrisiken aufgedeckt und abgestellt    241

     7. Wählen Sie Weiter, geben Sie das Kennwort zum Sichern des exportier-
         ten Schlüssels ein und zeigen Sie auf Weiter.
     8. Tragen Sie einen Dateinamen für die Datei ein, in die der private
         Schlüssel und das Zertifikat gespeichert werden sollen. Wählen Sie als
         Speicherort am besten eine Diskette und zeigen Sie anschließend auf
         Weiter.
     9. Wählen Sie Fertig stellen und zeigen Sie auf OK.
     Um auf Nummer sicher zu gehen, sollten Sie sich von der Diskette eine Ko-
     pie anlegen und sie an einem anderen Ort als die Originaldiskette aufbewah-
     ren.

     Schlüssel wiederherstellen
     Der Ernstfall ist eingetreten, Sie haben den privaten Schlüssel verloren. Zum
     Glück haben Sie ihn aber auf USB-Stick bzw. Diskette gespeichert und kön-
     nen ihn so ganz einfach wiederherstellen.
     1. Klicken Sie die PFX-Datei, in der Sie den privaten Schlüssel gespeichert
         haben, mit der rechten Maustaste an und wählen Sie PFX installieren.
     2. Zeigen Sie auf Weiter und bestätigen Sie den Dateipfad.
     3. Wählen Sie Weiter, geben Sie das Passwort ein und zeigen Sie erneut
         auf Weiter.
     4. Zeigen Sie auf Alle Zertifikate in folgendem Speicher speichern und wäh-
         len Sie dann Durchsuchen.
     5. Wählen Sie jetzt nacheinander Eigene Zertifikate, OK, Fertig stellen, Ja
         und OK.


3.22 Verräterische Dateilisten entfernen
     Wenn Sie noch in dem Glauben sind, dass Ihre täglichen Schritte nicht über-
     wacht werden können, haben Sie sich getäuscht. Sei es nun der Chef oder
     sonst wer, Microsoft macht es „Spionen“ ganz einfach, Ihren virtuellen Ta-
     gesablauf nachzuvollziehen. Egal ob die aufgerufenen Internetseiten oder die
     zuletzt geöffneten Dokumente, Spionage lauert überall. Der sind Sie nun a-
     ber nicht schutzlos ausgeliefert. Mit einigen Kniffen bringen Sie auch den
     besten Spion zur Verzweiflung.
242     Windows-Sicherheitsrisiken aufgedeckt und abgestellt



      Registryänderungen tarnen
      Im Registrierungs-Editor wird nach dem Start der zuletzt bearbeitete Schlüs-
      sel angezeigt. Jeder, der es möchte, kann nun also überprüfen, welche Ände-
      rungen Sie vorgenommen haben. Und das wollen Sie ja nicht, oder?

           Vorsicht!
           Achten Sie darauf, dass Sie sich nicht alle Rechte entziehen, da Sie ansonsten nicht
           mehr mit der Registry arbeiten können. Legen Sie sich also sicherheitshalber zu-
           nächst noch ein zusätzliches Benutzerkonto an. Das können Sie ja später dann ein-
           fach wieder entfernen.

      Starten Sie den Registrierungs-Editor über Start/Ausführen und regedit und
      hangeln Sie sich zu dem Schlüssel HKEY_CURRENT_USER\Software\Mi
      crosoft\Windows\CurrentVersion\Applets\Regedit. Klicken Sie im rechten
      Fensterbereich doppelt auf LastKey und löschen Sie dessen Wert. Klicken
      Sie nun im linken Fensterbereich mit der rechten Maustaste auf Regedit und
      wählen Sie Berechtigungen. Wählen Sie Erweitert und klicken Sie doppelt auf
      Ihren Kontonamen. In dem Dialogfenster Berechtigungseintrag für Regedit
      aktivieren Sie das Kontrollkästchen Wert festlegen.


      Internetspuren vernichten
      Über den Verlauf im Internet Explorer können neugierige Benutzer Ihren ge-
      samten Tagesablauf nachvollziehen. Denn hier wird jede einzelne Seite, die
      Sie aufgerufen haben, protokolliert. So müsste beispielsweise Ihr Chef ledig-
      lich einen Blick in den Verlauf werfen, und schon weiß er, welche Seiten Sie
      so den ganzen Tag besucht haben. Hier gilt es also einzugreifen. Zeigen Sie
      im Internet Explorer auf Extras und Internetoptionen. Wählen Sie Verlauf
      leeren und bestätigen Sie die Kontrollabfrage mit Ja. Anschließend sollten
      Sie noch in dem Feld Tage, die die Seite ... den Wert 0 einstellen.


      Internetmüll einfach löschen
      Die temporären Dateien des Internet Explorer ermöglichen einen schnellen
      Zugriff auf bereits besuchte Seiten. Das schafft der Internet Explorer, indem
      er beispielsweise Grafiken auf Ihrer Festplatte speichert und sie somit beim
      erneuten Aufrufen einer Seite nicht noch mal anfordern muss. Nun ist der
      schnellere Seitenzugriff natürlich ein Vorteil. Da diese temporären Dateien
      aber von jedem eingesehen werden können, stellen sie einen massiven Ein-
      griff in Ihre Privatsphäre dar. Also gilt auch hier, dass Sie lieber einen klei-
      nen Geschwindigkeitsnachteil in Kauf nehmen sollten, sich dafür aber nicht
              Windows-Sicherheitsrisiken aufgedeckt und abgestellt            243

ausspionieren lassen. Zum Löschen der temporären Dateien zeigen Sie im
Extras-Menü auf Internetoptionen und wählen Dateien löschen. In dem öff-
nenden Dialogfenster aktivieren Sie das Kontrollkästchen Alle Offlineinhalte
löschen und wählen OK. Nun werden Sie durch diese Prozedur natürlich
keinen Geschwindigkeitspreis gewinnen. Daher sollten Sie die temporären
Dateien mit dem Schließen des Browsers automatisch löschen lassen.

1. Zeigen Sie dazu im Extras-Menü auf Internetoptionen und wechseln Sie
    in die Registerkarte Erweitert.
2. Unter Sicherheit aktivieren Sie das Kontrollkästchen Leeren des Ordners
    „Temporary Internet Files“ beim Schließen des Browsers.

Immer dann, wenn Sie jetzt den Browser schließen, werden die temporären
Dateien gelöscht. Ganz? Leider nicht? Dazu ist noch ein tieferes Eintauchen
in die Windows-Welten notwendig.


Auch hartnäckigen Schmutz beseitigen
Der Internet Explorer erstellt immer die Datei index.dat. In dieser werden al-
le besuchten Internetseiten protokolliert. Da hilft es auch nichts, dass Sie
die temporären Dateien jedes Mal löschen. Nun wäre es natürlich das nahe
Liegendste, diese Datei zu löschen. Das funktioniert nur eben nicht ganz so
einfach, denn diese Datei wird direkt mit Windows geladen. Und aktuelle
benutzte Dateien können eben nicht so ohne weiteres gelöscht werden. Mit
einem kleinen Trick gelingt es aber trotzdem.

Legen Sie eine neue Textdatei an und tragen Sie den folgenden Inhalt ein:
    RD /S /Q "C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary
    Internet Files"
    RD /S /Q "C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Verlauf"
    RD /S /Q "C:\Dokumente und Einstellungen\Username\Cookies"

Tragen Sie anstelle von Username Ihren Benutzernamen ein und passen Sie
die Pfadangaben ggf. an. Speichern Sie diese Datei beispielsweise unter dem
Namen datloeschich.cmd in dem Verzeichnis C:\ Dokumente und Einstellun-
gen\All users\Startmenu\Programme\AutoStart ab. Durch diese Datei wird
der gesamte Inhalt des Verzeichnisses Temporary Internet Files, in dem sich
die Datei index.dat befindet, gelöscht. Windows legt dann automatisch eine
neue, leere index.dat an.