sebastianju
Goto Top

Systemstart-stop-protokollierung abschalten?

Hallo,

gibt es eine Möglichkeit für ein Vista OS Logging abzuschalten aus dem man ersehen kann wann das OS lief? Den letzten Aufruf bestimmter Dateien wird man vermutlich nicht abschalten können aber geht es wenigstens irgendwie keine Spuren zu hinterlassen für Start und Stop des OS? So dass man maximal noch sehen kann wann eine Datei das letzte Mal aufgerufen wurde aber nicht wie lang das OS lief, wie oft es vorher am Tag schon an war usw.

Danke!
Sebastian

Content-ID: 196361

Url: https://administrator.de/forum/systemstart-stop-protokollierung-abschalten-196361.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 31.12.2012 um 14:32:57 Uhr
Goto Top
Hat Dir Deine mama Computerverbot erteilt?

Sorry, aber im Ernst, wozu soll das gut sein? Um Spuren zu verwischen? Nimm einfach eine Live-CD. Dann hinterläßt man gar keine Spuren.

lks
SebastianJu
SebastianJu 31.12.2012 um 17:15:43 Uhr
Goto Top
Um Spuren zu verwischen. Beispielsweise, wenn jemand ein OS hätte das mit Truecrypt verschlüsselt ist. Aber gleichzeitig noch ein verstecktes OS mit der eigentlich arbeitet. Es macht keinen Sinn zu behaupten dass man normal das äußere OS benutzt wenn jemand der nachschaut sehen kann dass es nur ab und zu mal kurz gestartet wurde.

Wenn er allerdings nur sehen kann wann er das letzte Mal an war geht das schon eher. Man könnte es jeden Abend starten, ein paar Dateien kopieren, zB Mailordner usw und es würde aussehen wie benutzt (wenn es natürlich auch benutzt werden kann).

Es würde halt nur nichts bringen wenn man sieht dass es nur 10min an war.

Grüße!
Sebastian
Lochkartenstanzer
Lochkartenstanzer 31.12.2012 aktualisiert um 17:53:59 Uhr
Goto Top
Dann würde ich einfach ein anderes OS benutzen, das keienrlei Spuren hinteräßt, z.B. ein Live-System, von Stick oder CD gestartet, daß dann den Trucrypt-Container mountet.

Abgesehen davon: Keiner kann einem vorschreiben, wie oft man seinen Computer benutzt. Ich hatte schon (Privat-)Kunden, die haben ihren nur 2 mal im Jahr eingeschaltet und sonst kaum benutzt.


lks
wiesi200
wiesi200 31.12.2012 um 20:58:59 Uhr
Goto Top
Spuren Verwischen hört sich immer nicht so gut an.

Kann doch eigentlich jedem noch dazu egal sein welches OS du in der "regel" benutzt.
Wenn was drauf ist was nicht sein soll spielt das keine Rolle.

Schon mal drauf gekommen das du pauschal jedes mal beim Ausschalten das Event log löscht?
Dann kann man überhaupt nicht's nachvollziehen.

Kann's sein das du ein Privates OS auf einen Firmen PC drauf hast?
SebastianJu
SebastianJu 31.12.2012 um 21:16:10 Uhr
Goto Top
Mir gehts hauptsächlich darum dass heutzutage ja wegen eines nicht gekauften mp3 schon PCs eingesammelt werden. Klar kann man ein Passwort für ein verschlüsseltes OS vergessen aber es kann ja trotzdem mal sein dass es Sinn macht das Pass für das Äußere OS rauszugeben. Dafür ist es ja gemacht. Das OS ist soweit auch arbeitsfähig und per Skript kriegt es Mails, Chatlogs und Browserdaten übermitteln wenn ich mich ab und zu dort einlogge. Theoretisch einmal am Tag. Damit dürfte es schon relativ benutzt aussehen.

Den PC nutze ich schon recht häufig, was andere Leute auch sehen. Deswegen wäre es komisch wenn der Rechner angeblich an war aber die Spuren es nicht hergeben.

Das Eventlog abzuschalten oder zu löschen habe ich auch schon dran gedacht. Würde das reichen oder gibt es da noch einige andere "Spurenleger"?

Im Prinzip will ich nur die "plausible Abstreitbarkeit" der Existenz eines versteckten OS erhöhen.

Grüße!
Sebastian
Lochkartenstanzer
Lochkartenstanzer 31.12.2012 um 21:39:29 Uhr
Goto Top
Zitat von @SebastianJu:
Den PC nutze ich schon recht häufig, was andere Leute auch sehen. Deswegen wäre es komisch wenn der Rechner angeblich an
war aber die Spuren es nicht hergeben.

Das Eventlog abzuschalten oder zu löschen habe ich auch schon dran gedacht. Würde das reichen oder gibt es da noch
einige andere "Spurenleger"?

Im Prinzip will ich nur die "plausible Abstreitbarkeit" der Existenz eines versteckten OS erhöhen.


Dann wirf einfach das "zweite" OS in einer VM an, die in der TC-Partition drin ist. Dann sollte es keine Spuren geben.

lks
wiesi200
wiesi200 31.12.2012 um 21:52:58 Uhr
Goto Top
Mal ernsthaft das wes du vor hast bringt meiner Meinung nach nicht's und außerdem wir sind nicht da das wir eine illegale MP3 Sammlung für dich verstecken.

Trotzdem noch schoenes neues Jahr.
SebastianJu
SebastianJu 31.12.2012 um 22:39:50 Uhr
Goto Top
Das hatte ich auch schon überlegt aber VMs sind nicht besonders leistungsfähig. Grafikkartenmäßig usw.

Ich denke ich werde mich erstmal um das Event log kümmern. Ich frage mich zwar was bei einem Systemstart noch alles gestartet wird das logs erstellt aber es wird dem schon näherkommen was ich suche.

Grüße!
Sebastian
maretz
maretz 01.01.2013 um 10:23:02 Uhr
Goto Top
Moin,

also - kurz nachdem das BKA, SEK, CIA, NSA und vermutlich auch die K.F.O.R-Truppem deine Bude mit nen paar Leo's eingenommen haben, deine Schwester, den Hamster und die Hauskatze schon nach Guantanamo verfrachte wurde möchtest du also gerne deine Start-Stop-Protokollierung abschalten weil das schützt? Gute Idee…

Fangen wir mal ganz einfach an: Dein PC wird wegen einer illegal runtergeladenen MP3 eingesammelt? Ist schon interessant, ich kenne im eigenen Umfeld einige die da nen dezentes Anwaltsschreiben bekommen haben bei dem eine Unterlassungserklärung (selbstverständlich zum extra-günstig-Tarif) gereicht hat. Selbst wenn du es dann auf die Klage ankommen lässt is dein PC den Leuten da zimlich sch… egal -> denn da werden üblicherweise die IP-Listen als Beweis angeführt (und je nach Richter akzeptiert oder nicht). Denn was wollen die machen wenn du z.B. nen Firmen-Anschluss hast (mal eben 200 PCs stilllegen und überprüfen? öhm… eher nicht). Was machen die bei nem ganz normalen Anschluss per Router - gleich alle PCs der Familie beschlagnahmen (inkl. Mobil-Telefone, Tablets, ggf. Smart-TVs, bestimmte Receiver,…)?

Sorry, aber bei deiner Begründung geht bei mir die BSAA los (Bulls*it-Alarmanlage).

Aber ok, jetzt hat also durch die o.g. Behörden der MAD, ggf. sogar das FBI usw. schon zugriff auf deinen Rechner. Und du glaubst wirklich das es auch nur ANSATZWEISE jemanden täuscht weil du nen paar Dateien kopierst?!? Himmel - wenn du denjenigen in einer Behörde findest die wirklich Rechner untersuchen -> herzlichen Glückwunsch, dein Rechner wurde von der dort zuständigen Reinigungskraft überprüft! Natürlich fällt es niemanden auf wenn jemand der - nach eigenen Aussagen - häufig den PC nutzt (und das offensichtlich auch von anderen Leuten bestätigt wird - vermutlich nach einer kurzen Waterbonding-Behandlung irgendwo in Ägypten…) wenn das System jedes mal nur nen paar Minuten läuft, kaum relevante Daten enthält,… Die Leute die sowas untersuchen wurden auch alle mit dem Klammerbeutel gewickelt und wissen beim PC grade mal wo der ein- und ausgeschaltet wird, die wirst du da sicher täuschen… Und ganz nebenbei -> grade wenn du dann solche Daten wie Sys-Start/Ende verbirgst - meinst du nicht das grade DAS die Suche deutlich intensivieren wird?

Und jetzt stelle ich dir zum Abschluss mal ne Frage über die du dann mal während des Downloads deiner illegalen-todesstrafen-mp3 stellen darfst: Du versteckst dein OS - gut. Jetzt gehe ich als erstes mit einer Live-CD hin, lasse mir die HDD-Daten anzeigen. Ich stelle fest: Festplatte 2 TB. Als nächstes starte ich dein OS - und stelle fest: Hier ist nur 1 TB drin aber kein freier Platz auf der Partition… Hmm, was sagt mir das wohl? Oder: Ich sehe du hast in deinem "offenen" Windows sogar 2 TB -> und ich suche einfach mal nach verdächtigen Daten (deine hidden-partition wird ja nicht auf mehreren zig 1000 kleinen Dateien liegen -> und finde ich eine Datei mit nen paar GB, meinst du nicht das ich misstrauisch werde?).

Falls du also sicher gehen willst - lade eben nix illegales runter. Falls du damit nicht leben kannst - suche dir Optionen wie du dich im Netz verstecken kannst… Aber DEIN Vorgehen - sorry, das is lächerlich! Ggf. täuscht du da Mutti die nicht merkt das der PC an war. Selbst nen Studenten im ersten Informatik-Semester sollte das schon nicht mehr täuschen… Ganz davon ab: Die "hidden-os"-Funktion soll auch gar nicht für deinen Zweck dienen - sondern damit du eben ein normales Arbeits-OS hast mit dem du täglich arbeitest und eine versteckte Funktion mit der du eben NUR die vertraulichen Dinge machst -> damit dein normales OS eben mir erstmal keinen Anhaltspunkt gibt und diverse Daten enthält. Aber das ist sicher mehr als nur mal schnell abends nen paar Dateien zu kopieren…

Und ja, es gibt noch _DIVERSE_ Spurenleger (z.B. Swapfile, Temp. Daten, Browsercache,…). Und noch einige die ich dir hier sicher nennen werde die eben auch darauf hindeuten wann das System zuletzt genutzt wurde. Nur bevor ich ggf. einem Kiddy verhelfe die erzieherischen Maßnahmen von Mama und Papa zu umgehen muss da erstmal ein Grund kommen der wirklich überzeugt das es eine reale Anwendung ist… Da ich dich weder sehen kann noch kenne ist das m.E. der einzige Weg um eben nicht den ganzen Kiddys noch mehr Möglichkeiten zu geben an diversen Rechnern planlos rumzuspielen und zu zeigen wie geil die doch HÄÄÄÄÄÄCKKKKENN können...
C.R.S.
C.R.S. 01.01.2013 um 12:47:51 Uhr
Goto Top
Zitat von @SebastianJu:
Wenn er allerdings nur sehen kann wann er das letzte Mal an war geht das schon eher. Man könnte es jeden Abend starten, ein
paar Dateien kopieren, zB Mailordner usw und es würde aussehen wie benutzt (wenn es natürlich auch benutzt werden
kann).

Es würde nach diesem Vorgehen grundsätzlich so aussehen, als hätte jemand innerhalb von 10 Minuten ein paar Daten drauf kopiert.
Du benutzt eine FDE, die bekanntermaßen das Verstecken von Partitionen erlaubt. Welchen Sinn hat es da, den Zugriff auf das Cover-System preiszugeben; wer soll dann was glauben?

Der plausible-deniability-Kram in der IT-Security beruht auf einer gewissen Praxisferne und einem Faible für Spielerei der damit befassten Szene, entweder schon bei den (nichtkommerziellen) Entwicklern oder auf Abnehmerseite (auf die dann eher Consumer-orientierte Produkte wie DriveCrypt ausgerichtet werden). Plausible deniability ist ursprünglich ein (außen)politischer Begriff und funktioniert entsprechend nur in der Unschärfe der Politik und des Völkerrechts.
In Deutschland hat ein Beschuldigter ausreichende Rechte, um nicht darauf angewiesen zu sein. Wenn er schnell aus einer Sache "raus kommen" will, ist es meines Erachtens auch sinnvoller, diese Rechte offen zu nutzen, als ein Versteckspiel zu betreiben (wenn Du eine Partition entsperrst, muss sie ausgewertet werden).
In anderen Ländern wird Folter nicht schon deshalb eingestellt, weil ein Abstreiten plausibel ist. Zumal die Plausibilität angesichts der Funktion der vorhandenen Software eben stark geschwächt ist.

Grüße
Richard
SebastianJu
SebastianJu 01.01.2013 um 19:31:20 Uhr
Goto Top
Das öffentliche System ist sicherlich schon eher für das normale Arbeiten gedacht und ja, ich sollte vielleicht auch eher dort mehr arbeiten. Aber irgendwie hat es sich halt so entwickelt dass ich mittlerweile halt doch eher im versteckten OS unterwegs bin.

Übrigens wird niemand sehen dass da irgendwas mit dem Festplattenplatz nicht stimmt. Wenn ein öffentliches OS gemountet ist sollte es eigentlich den gesamten Platz belegen und, wenn man nicht aufpasst auch das versteckte System überschreiben. (Oder galt das nur für Container?) Theoretisch sollte man also nicht sehen dass es da noch mehr gibt. Versteckte OS sind keine Container als Dateien. Das sind komplett verschlüsselte Partitionen. Und im öffentlichen hat man die komplette Größe der Partition zum Schreiben zur Verfügung. (Ohne jetzt noch mal extra nachzuschauen.) Wäre ja sonst sehr leicht erkennbar.

Und ob das jetzt Sinn macht... ich hab mir das vor Jahren mal so eingerichtet. Einfach weil es eben doch noch ein bißchen sicherer ist als der normale User es handhabt. Genauso wie im Lotto trifft es immer irgendwo jemand. Und wenn ein wenig mehr Sicherheit einfach zu machen ist wieso nicht? Ich gehöre nicht zu den Leuten bei denen man 20 Viren und Trojanern findet, denen dass trotzdem egal ist und die ihr Onlinebanking immer noch auf dem Rechner machen.

Mir ist klar dass es keine 100prozentige Sicherheit gibt. Trotzdem kann ich versuchen etwas sicherer unterwegs zu sein. Und mehr versuch ich ja nicht.

Übrigens ist mir auch niemand auf den Fersen. Wie man anonym unterwegs ist weiß ich auch. Von daher mache ich mir hier keine Sorgen. Trotzdem "Lieber Vorsicht als Nachsicht".

Und klar wird normal lieber eine Abmahnung verschickt. Nur scheint es heutzutage ja Usus zu sein dass "jede" Hausdurchsuchung erfolgreich ist da praktisch auf jedem Rechner irgendwas zu finden ist dass nicht 100% copyrighttechnisch korrekt ist. Da sind ja nicht mal Politiker gegen gefeit. Wer kein Backup macht braucht hinterher nicht jammern wenn die Festplatte kaputt ist. Genauso braucht jemand nicht jammern bei dem zufällig irgendwas nicht bezahltes gefunden wurde wenn derjenige sich nicht geschützt hat.

Ich benutze praktisch nur portable Software. Inklusive Browser, Mail usw. Und das wird alles kopiert. Und ja, sicherlich ist das nicht perfekt. Ich versuche ja auch nur es etwas besser zu machen. Dass ein Profi an meinem Rechner Arbeit verschwendet halte ich für sehr weit hergeholt. Trotzdem... wenn ich mit ein paar Handgriffen etwas glaubwürdiger darstellen kann... wieso nicht?

Grüße!
Sebastian
SebastianJu
SebastianJu 01.01.2013 um 19:36:39 Uhr
Goto Top
Ich unternehme zwar keine Reisen in die USA, aber vielleicht ja doch irgendwann. Und wenn ich höre dass Reisende gezwungen werden ihre Passwörter preiszugeben um Notebooks zu entschlüsseln...

Und ja... dieses ganze Securityzeugs ist eher eine Spielerei. Ich hab nicht wirklich was zu verstecken bis auf die heutige Urheberrechtslage durch die praktisch jeder kriminell wird, selbst Politiker die der Urheberrechtslobby die Füße küssen.

Ich hab meinen PC von Anfang an so eingerichtet und mir ist klar dass das nicht perfekt ist. Trotzdem kann ich versuchen es etwas perfekter zu machen.

Grüße!
Sebastian
wiesi200
wiesi200 01.01.2013 um 19:45:56 Uhr
Goto Top
Also in Amerika ist's mir noch nie passiert das sich da mal einer für meinem Laptop interessiert hat und selbst wenn. Der Grenzschutz interessiert sich doch nicht für Musik sondern eher um Terrorvereitelung.

Und ich bin der Meinung das das was du machst keinen von dehnen ausbremst. Da wird man doch eher neugieriger.

Das was du machst ist und bleibt absolut Sinnfrei.
maretz
maretz 02.01.2013 um 08:03:30 Uhr
Goto Top
Moin,

also ich war jetzt in einem Jahr ich glaube 4-5 mal da, mit diversen Equipment. DAS hat da noch nie einen interessiert… Vor dem Abflug hab ich ab und an durchaus mal ne Sonderkontrolle (auch in DE) - da nehmen die aber nur nen Messfühler und gucken ob ich Sprengstoff oder Drogen irgendwo versteckt hab. Da interessieren die meine Daten überhaupt nicht.

Jetzt zu deiner Partition: Z.B. bei TrueCrypt wird das gemacht indem du einfach eine leere Partition auf der Platte hast. In dieser Partition liegen dann deine verschlüsselten Daten. Meinst du wirklich die sind dann so blöd und merken nix? Komisch, du hast (als Beispiel!) TrueCrypt auf dem Rechner - und von deiner 1 TB-Festplatte hast du noch 700 GB frei? Stimmt, das ist sehr Glaubwürdig! (Und du wirst nunmal den großteil der Platte benötigen um ein System zu verstecken in dem sich Filme, MP3s usw. verbergen sollen… Es wäre ggf. ja noch Glaubwürdig wenn man da 50 GB frei lässt (sollte mal ne Rescue-Parition werden u.ä.) -> und das würde reichen um eben vertrauliche DOKUMENTE zu haben. Nur für MP3, Filme usw. ist da schnell Schluss…

Und jetzt kommen wir mal zum Knackpunkt deines Systems: "Mittlerweile hat es sich so entwickelt…" -> ich vermute mal weil du die Programme dann im versteckten System hast und nicht immer umbooten willst. Und vermutlich hast du da auch dann die ganzen anderen Daten - die du unterwegs zwar nicht brauchst aber die eben trotzdem auf dem Rechner liegen. Und HIER liegt der Knackpunkt: Verschlüsselung und eine glaubhafte Ausrede passen nicht mit "Faulheit" zusammen. Sicherheit kostet nunmal immer - mindestens den Aufwand und die Zeit. Wenn du aber das nicht investierst - dann hilft dir die Verschlüsselung nichts. Im Endeffekt ganz einfach: Verschlüssele dein Windows so stark es geht - aber schalte das Autologin ein bzw. nutze kein Login-Passwort… Schon hast du das ganze System ausgehebelt. Und genau das machst du auch wenn du eben ständig mit dem versteckten System arbeitest…

Was den Punkt mit der Partition angeht - wenn man nicht aufpasst dann überschreibt man Daten: Jetzt bitte ich dich das du mir erklärst wie du bestimmst wohin deine Daten gespeichert werden. Wenn das OS nichts davon weiss, die Partition aber als Nutzbar markiert wurde dann hast du ein Problem: Der Zugriff auf die Festplatte ist alles andere als linear (Stichwort Dateifragmentierung). Jetzt nehmen wir mal an du hast ein verstecktes OS, dieses liegt auf der Platte auf Sektor 12, Spur 5, Block 17. Dem OS wird dieser Block als Frei gemeldet (aber der aktuellen Partition zugehörig!) -> warum sollte es den Block nicht einfach mit der erst besten Datei überschreiben? Und es reicht ja wenn ich nen paar Bit deines versteckten Containers zerlege -> dann is ruhe da drin!. DAS wird also nicht funktionieren wie du dir das denkst (deshalb ist es ja bei TC so das der das als freie Partition markiert - hier weiss das OS das es nicht reinschreiben darf. DAS führt aber wieder in das Problem das du ne Partition glaubhaft erklären musst die eben frei ist aber 70% deiner HDD ausmacht… Viel Erfolg!)

Also - es sagt auch keiner was wenn du dein System sicher machen willst - nur dann bitte SINNVOLL Anfangen! Und die Start-/Stop-Protokollierung gehört sicher nicht dazu… Und ein wenig mehr Sicherheit erreichst du eben nicht durch nur 2-3 Handgriffe… Hier erfordert es doch deutlich mehr Aufwand… (u.A. bringt dir die beste Anonymisierungssoftware nix wenn du dich danach irgendwo anmeldest…)