Systemstart-stop-protokollierung abschalten?
Hallo,
gibt es eine Möglichkeit für ein Vista OS Logging abzuschalten aus dem man ersehen kann wann das OS lief? Den letzten Aufruf bestimmter Dateien wird man vermutlich nicht abschalten können aber geht es wenigstens irgendwie keine Spuren zu hinterlassen für Start und Stop des OS? So dass man maximal noch sehen kann wann eine Datei das letzte Mal aufgerufen wurde aber nicht wie lang das OS lief, wie oft es vorher am Tag schon an war usw.
Danke!
Sebastian
gibt es eine Möglichkeit für ein Vista OS Logging abzuschalten aus dem man ersehen kann wann das OS lief? Den letzten Aufruf bestimmter Dateien wird man vermutlich nicht abschalten können aber geht es wenigstens irgendwie keine Spuren zu hinterlassen für Start und Stop des OS? So dass man maximal noch sehen kann wann eine Datei das letzte Mal aufgerufen wurde aber nicht wie lang das OS lief, wie oft es vorher am Tag schon an war usw.
Danke!
Sebastian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 196361
Url: https://administrator.de/forum/systemstart-stop-protokollierung-abschalten-196361.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
14 Kommentare
Neuester Kommentar
Dann würde ich einfach ein anderes OS benutzen, das keienrlei Spuren hinteräßt, z.B. ein Live-System, von Stick oder CD gestartet, daß dann den Trucrypt-Container mountet.
Abgesehen davon: Keiner kann einem vorschreiben, wie oft man seinen Computer benutzt. Ich hatte schon (Privat-)Kunden, die haben ihren nur 2 mal im Jahr eingeschaltet und sonst kaum benutzt.
lks
Abgesehen davon: Keiner kann einem vorschreiben, wie oft man seinen Computer benutzt. Ich hatte schon (Privat-)Kunden, die haben ihren nur 2 mal im Jahr eingeschaltet und sonst kaum benutzt.
lks
Spuren Verwischen hört sich immer nicht so gut an.
Kann doch eigentlich jedem noch dazu egal sein welches OS du in der "regel" benutzt.
Wenn was drauf ist was nicht sein soll spielt das keine Rolle.
Schon mal drauf gekommen das du pauschal jedes mal beim Ausschalten das Event log löscht?
Dann kann man überhaupt nicht's nachvollziehen.
Kann's sein das du ein Privates OS auf einen Firmen PC drauf hast?
Kann doch eigentlich jedem noch dazu egal sein welches OS du in der "regel" benutzt.
Wenn was drauf ist was nicht sein soll spielt das keine Rolle.
Schon mal drauf gekommen das du pauschal jedes mal beim Ausschalten das Event log löscht?
Dann kann man überhaupt nicht's nachvollziehen.
Kann's sein das du ein Privates OS auf einen Firmen PC drauf hast?
Zitat von @SebastianJu:
Den PC nutze ich schon recht häufig, was andere Leute auch sehen. Deswegen wäre es komisch wenn der Rechner angeblich an
war aber die Spuren es nicht hergeben.
Das Eventlog abzuschalten oder zu löschen habe ich auch schon dran gedacht. Würde das reichen oder gibt es da noch
einige andere "Spurenleger"?
Im Prinzip will ich nur die "plausible Abstreitbarkeit" der Existenz eines versteckten OS erhöhen.
Den PC nutze ich schon recht häufig, was andere Leute auch sehen. Deswegen wäre es komisch wenn der Rechner angeblich an
war aber die Spuren es nicht hergeben.
Das Eventlog abzuschalten oder zu löschen habe ich auch schon dran gedacht. Würde das reichen oder gibt es da noch
einige andere "Spurenleger"?
Im Prinzip will ich nur die "plausible Abstreitbarkeit" der Existenz eines versteckten OS erhöhen.
Dann wirf einfach das "zweite" OS in einer VM an, die in der TC-Partition drin ist. Dann sollte es keine Spuren geben.
lks
Moin,
also - kurz nachdem das BKA, SEK, CIA, NSA und vermutlich auch die K.F.O.R-Truppem deine Bude mit nen paar Leo's eingenommen haben, deine Schwester, den Hamster und die Hauskatze schon nach Guantanamo verfrachte wurde möchtest du also gerne deine Start-Stop-Protokollierung abschalten weil das schützt? Gute Idee…
Fangen wir mal ganz einfach an: Dein PC wird wegen einer illegal runtergeladenen MP3 eingesammelt? Ist schon interessant, ich kenne im eigenen Umfeld einige die da nen dezentes Anwaltsschreiben bekommen haben bei dem eine Unterlassungserklärung (selbstverständlich zum extra-günstig-Tarif) gereicht hat. Selbst wenn du es dann auf die Klage ankommen lässt is dein PC den Leuten da zimlich sch… egal -> denn da werden üblicherweise die IP-Listen als Beweis angeführt (und je nach Richter akzeptiert oder nicht). Denn was wollen die machen wenn du z.B. nen Firmen-Anschluss hast (mal eben 200 PCs stilllegen und überprüfen? öhm… eher nicht). Was machen die bei nem ganz normalen Anschluss per Router - gleich alle PCs der Familie beschlagnahmen (inkl. Mobil-Telefone, Tablets, ggf. Smart-TVs, bestimmte Receiver,…)?
Sorry, aber bei deiner Begründung geht bei mir die BSAA los (Bulls*it-Alarmanlage).
Aber ok, jetzt hat also durch die o.g. Behörden der MAD, ggf. sogar das FBI usw. schon zugriff auf deinen Rechner. Und du glaubst wirklich das es auch nur ANSATZWEISE jemanden täuscht weil du nen paar Dateien kopierst?!? Himmel - wenn du denjenigen in einer Behörde findest die wirklich Rechner untersuchen -> herzlichen Glückwunsch, dein Rechner wurde von der dort zuständigen Reinigungskraft überprüft! Natürlich fällt es niemanden auf wenn jemand der - nach eigenen Aussagen - häufig den PC nutzt (und das offensichtlich auch von anderen Leuten bestätigt wird - vermutlich nach einer kurzen Waterbonding-Behandlung irgendwo in Ägypten…) wenn das System jedes mal nur nen paar Minuten läuft, kaum relevante Daten enthält,… Die Leute die sowas untersuchen wurden auch alle mit dem Klammerbeutel gewickelt und wissen beim PC grade mal wo der ein- und ausgeschaltet wird, die wirst du da sicher täuschen… Und ganz nebenbei -> grade wenn du dann solche Daten wie Sys-Start/Ende verbirgst - meinst du nicht das grade DAS die Suche deutlich intensivieren wird?
Und jetzt stelle ich dir zum Abschluss mal ne Frage über die du dann mal während des Downloads deiner illegalen-todesstrafen-mp3 stellen darfst: Du versteckst dein OS - gut. Jetzt gehe ich als erstes mit einer Live-CD hin, lasse mir die HDD-Daten anzeigen. Ich stelle fest: Festplatte 2 TB. Als nächstes starte ich dein OS - und stelle fest: Hier ist nur 1 TB drin aber kein freier Platz auf der Partition… Hmm, was sagt mir das wohl? Oder: Ich sehe du hast in deinem "offenen" Windows sogar 2 TB -> und ich suche einfach mal nach verdächtigen Daten (deine hidden-partition wird ja nicht auf mehreren zig 1000 kleinen Dateien liegen -> und finde ich eine Datei mit nen paar GB, meinst du nicht das ich misstrauisch werde?).
Falls du also sicher gehen willst - lade eben nix illegales runter. Falls du damit nicht leben kannst - suche dir Optionen wie du dich im Netz verstecken kannst… Aber DEIN Vorgehen - sorry, das is lächerlich! Ggf. täuscht du da Mutti die nicht merkt das der PC an war. Selbst nen Studenten im ersten Informatik-Semester sollte das schon nicht mehr täuschen… Ganz davon ab: Die "hidden-os"-Funktion soll auch gar nicht für deinen Zweck dienen - sondern damit du eben ein normales Arbeits-OS hast mit dem du täglich arbeitest und eine versteckte Funktion mit der du eben NUR die vertraulichen Dinge machst -> damit dein normales OS eben mir erstmal keinen Anhaltspunkt gibt und diverse Daten enthält. Aber das ist sicher mehr als nur mal schnell abends nen paar Dateien zu kopieren…
Und ja, es gibt noch _DIVERSE_ Spurenleger (z.B. Swapfile, Temp. Daten, Browsercache,…). Und noch einige die ich dir hier sicher nennen werde die eben auch darauf hindeuten wann das System zuletzt genutzt wurde. Nur bevor ich ggf. einem Kiddy verhelfe die erzieherischen Maßnahmen von Mama und Papa zu umgehen muss da erstmal ein Grund kommen der wirklich überzeugt das es eine reale Anwendung ist… Da ich dich weder sehen kann noch kenne ist das m.E. der einzige Weg um eben nicht den ganzen Kiddys noch mehr Möglichkeiten zu geben an diversen Rechnern planlos rumzuspielen und zu zeigen wie geil die doch HÄÄÄÄÄÄCKKKKENN können...
also - kurz nachdem das BKA, SEK, CIA, NSA und vermutlich auch die K.F.O.R-Truppem deine Bude mit nen paar Leo's eingenommen haben, deine Schwester, den Hamster und die Hauskatze schon nach Guantanamo verfrachte wurde möchtest du also gerne deine Start-Stop-Protokollierung abschalten weil das schützt? Gute Idee…
Fangen wir mal ganz einfach an: Dein PC wird wegen einer illegal runtergeladenen MP3 eingesammelt? Ist schon interessant, ich kenne im eigenen Umfeld einige die da nen dezentes Anwaltsschreiben bekommen haben bei dem eine Unterlassungserklärung (selbstverständlich zum extra-günstig-Tarif) gereicht hat. Selbst wenn du es dann auf die Klage ankommen lässt is dein PC den Leuten da zimlich sch… egal -> denn da werden üblicherweise die IP-Listen als Beweis angeführt (und je nach Richter akzeptiert oder nicht). Denn was wollen die machen wenn du z.B. nen Firmen-Anschluss hast (mal eben 200 PCs stilllegen und überprüfen? öhm… eher nicht). Was machen die bei nem ganz normalen Anschluss per Router - gleich alle PCs der Familie beschlagnahmen (inkl. Mobil-Telefone, Tablets, ggf. Smart-TVs, bestimmte Receiver,…)?
Sorry, aber bei deiner Begründung geht bei mir die BSAA los (Bulls*it-Alarmanlage).
Aber ok, jetzt hat also durch die o.g. Behörden der MAD, ggf. sogar das FBI usw. schon zugriff auf deinen Rechner. Und du glaubst wirklich das es auch nur ANSATZWEISE jemanden täuscht weil du nen paar Dateien kopierst?!? Himmel - wenn du denjenigen in einer Behörde findest die wirklich Rechner untersuchen -> herzlichen Glückwunsch, dein Rechner wurde von der dort zuständigen Reinigungskraft überprüft! Natürlich fällt es niemanden auf wenn jemand der - nach eigenen Aussagen - häufig den PC nutzt (und das offensichtlich auch von anderen Leuten bestätigt wird - vermutlich nach einer kurzen Waterbonding-Behandlung irgendwo in Ägypten…) wenn das System jedes mal nur nen paar Minuten läuft, kaum relevante Daten enthält,… Die Leute die sowas untersuchen wurden auch alle mit dem Klammerbeutel gewickelt und wissen beim PC grade mal wo der ein- und ausgeschaltet wird, die wirst du da sicher täuschen… Und ganz nebenbei -> grade wenn du dann solche Daten wie Sys-Start/Ende verbirgst - meinst du nicht das grade DAS die Suche deutlich intensivieren wird?
Und jetzt stelle ich dir zum Abschluss mal ne Frage über die du dann mal während des Downloads deiner illegalen-todesstrafen-mp3 stellen darfst: Du versteckst dein OS - gut. Jetzt gehe ich als erstes mit einer Live-CD hin, lasse mir die HDD-Daten anzeigen. Ich stelle fest: Festplatte 2 TB. Als nächstes starte ich dein OS - und stelle fest: Hier ist nur 1 TB drin aber kein freier Platz auf der Partition… Hmm, was sagt mir das wohl? Oder: Ich sehe du hast in deinem "offenen" Windows sogar 2 TB -> und ich suche einfach mal nach verdächtigen Daten (deine hidden-partition wird ja nicht auf mehreren zig 1000 kleinen Dateien liegen -> und finde ich eine Datei mit nen paar GB, meinst du nicht das ich misstrauisch werde?).
Falls du also sicher gehen willst - lade eben nix illegales runter. Falls du damit nicht leben kannst - suche dir Optionen wie du dich im Netz verstecken kannst… Aber DEIN Vorgehen - sorry, das is lächerlich! Ggf. täuscht du da Mutti die nicht merkt das der PC an war. Selbst nen Studenten im ersten Informatik-Semester sollte das schon nicht mehr täuschen… Ganz davon ab: Die "hidden-os"-Funktion soll auch gar nicht für deinen Zweck dienen - sondern damit du eben ein normales Arbeits-OS hast mit dem du täglich arbeitest und eine versteckte Funktion mit der du eben NUR die vertraulichen Dinge machst -> damit dein normales OS eben mir erstmal keinen Anhaltspunkt gibt und diverse Daten enthält. Aber das ist sicher mehr als nur mal schnell abends nen paar Dateien zu kopieren…
Und ja, es gibt noch _DIVERSE_ Spurenleger (z.B. Swapfile, Temp. Daten, Browsercache,…). Und noch einige die ich dir hier sicher nennen werde die eben auch darauf hindeuten wann das System zuletzt genutzt wurde. Nur bevor ich ggf. einem Kiddy verhelfe die erzieherischen Maßnahmen von Mama und Papa zu umgehen muss da erstmal ein Grund kommen der wirklich überzeugt das es eine reale Anwendung ist… Da ich dich weder sehen kann noch kenne ist das m.E. der einzige Weg um eben nicht den ganzen Kiddys noch mehr Möglichkeiten zu geben an diversen Rechnern planlos rumzuspielen und zu zeigen wie geil die doch HÄÄÄÄÄÄCKKKKENN können...
Zitat von @SebastianJu:
Wenn er allerdings nur sehen kann wann er das letzte Mal an war geht das schon eher. Man könnte es jeden Abend starten, ein
paar Dateien kopieren, zB Mailordner usw und es würde aussehen wie benutzt (wenn es natürlich auch benutzt werden
kann).
Wenn er allerdings nur sehen kann wann er das letzte Mal an war geht das schon eher. Man könnte es jeden Abend starten, ein
paar Dateien kopieren, zB Mailordner usw und es würde aussehen wie benutzt (wenn es natürlich auch benutzt werden
kann).
Es würde nach diesem Vorgehen grundsätzlich so aussehen, als hätte jemand innerhalb von 10 Minuten ein paar Daten drauf kopiert.
Du benutzt eine FDE, die bekanntermaßen das Verstecken von Partitionen erlaubt. Welchen Sinn hat es da, den Zugriff auf das Cover-System preiszugeben; wer soll dann was glauben?
Der plausible-deniability-Kram in der IT-Security beruht auf einer gewissen Praxisferne und einem Faible für Spielerei der damit befassten Szene, entweder schon bei den (nichtkommerziellen) Entwicklern oder auf Abnehmerseite (auf die dann eher Consumer-orientierte Produkte wie DriveCrypt ausgerichtet werden). Plausible deniability ist ursprünglich ein (außen)politischer Begriff und funktioniert entsprechend nur in der Unschärfe der Politik und des Völkerrechts.
In Deutschland hat ein Beschuldigter ausreichende Rechte, um nicht darauf angewiesen zu sein. Wenn er schnell aus einer Sache "raus kommen" will, ist es meines Erachtens auch sinnvoller, diese Rechte offen zu nutzen, als ein Versteckspiel zu betreiben (wenn Du eine Partition entsperrst, muss sie ausgewertet werden).
In anderen Ländern wird Folter nicht schon deshalb eingestellt, weil ein Abstreiten plausibel ist. Zumal die Plausibilität angesichts der Funktion der vorhandenen Software eben stark geschwächt ist.
Grüße
Richard
Also in Amerika ist's mir noch nie passiert das sich da mal einer für meinem Laptop interessiert hat und selbst wenn. Der Grenzschutz interessiert sich doch nicht für Musik sondern eher um Terrorvereitelung.
Und ich bin der Meinung das das was du machst keinen von dehnen ausbremst. Da wird man doch eher neugieriger.
Das was du machst ist und bleibt absolut Sinnfrei.
Und ich bin der Meinung das das was du machst keinen von dehnen ausbremst. Da wird man doch eher neugieriger.
Das was du machst ist und bleibt absolut Sinnfrei.
Moin,
also ich war jetzt in einem Jahr ich glaube 4-5 mal da, mit diversen Equipment. DAS hat da noch nie einen interessiert… Vor dem Abflug hab ich ab und an durchaus mal ne Sonderkontrolle (auch in DE) - da nehmen die aber nur nen Messfühler und gucken ob ich Sprengstoff oder Drogen irgendwo versteckt hab. Da interessieren die meine Daten überhaupt nicht.
Jetzt zu deiner Partition: Z.B. bei TrueCrypt wird das gemacht indem du einfach eine leere Partition auf der Platte hast. In dieser Partition liegen dann deine verschlüsselten Daten. Meinst du wirklich die sind dann so blöd und merken nix? Komisch, du hast (als Beispiel!) TrueCrypt auf dem Rechner - und von deiner 1 TB-Festplatte hast du noch 700 GB frei? Stimmt, das ist sehr Glaubwürdig! (Und du wirst nunmal den großteil der Platte benötigen um ein System zu verstecken in dem sich Filme, MP3s usw. verbergen sollen… Es wäre ggf. ja noch Glaubwürdig wenn man da 50 GB frei lässt (sollte mal ne Rescue-Parition werden u.ä.) -> und das würde reichen um eben vertrauliche DOKUMENTE zu haben. Nur für MP3, Filme usw. ist da schnell Schluss…
Und jetzt kommen wir mal zum Knackpunkt deines Systems: "Mittlerweile hat es sich so entwickelt…" -> ich vermute mal weil du die Programme dann im versteckten System hast und nicht immer umbooten willst. Und vermutlich hast du da auch dann die ganzen anderen Daten - die du unterwegs zwar nicht brauchst aber die eben trotzdem auf dem Rechner liegen. Und HIER liegt der Knackpunkt: Verschlüsselung und eine glaubhafte Ausrede passen nicht mit "Faulheit" zusammen. Sicherheit kostet nunmal immer - mindestens den Aufwand und die Zeit. Wenn du aber das nicht investierst - dann hilft dir die Verschlüsselung nichts. Im Endeffekt ganz einfach: Verschlüssele dein Windows so stark es geht - aber schalte das Autologin ein bzw. nutze kein Login-Passwort… Schon hast du das ganze System ausgehebelt. Und genau das machst du auch wenn du eben ständig mit dem versteckten System arbeitest…
Was den Punkt mit der Partition angeht - wenn man nicht aufpasst dann überschreibt man Daten: Jetzt bitte ich dich das du mir erklärst wie du bestimmst wohin deine Daten gespeichert werden. Wenn das OS nichts davon weiss, die Partition aber als Nutzbar markiert wurde dann hast du ein Problem: Der Zugriff auf die Festplatte ist alles andere als linear (Stichwort Dateifragmentierung). Jetzt nehmen wir mal an du hast ein verstecktes OS, dieses liegt auf der Platte auf Sektor 12, Spur 5, Block 17. Dem OS wird dieser Block als Frei gemeldet (aber der aktuellen Partition zugehörig!) -> warum sollte es den Block nicht einfach mit der erst besten Datei überschreiben? Und es reicht ja wenn ich nen paar Bit deines versteckten Containers zerlege -> dann is ruhe da drin!. DAS wird also nicht funktionieren wie du dir das denkst (deshalb ist es ja bei TC so das der das als freie Partition markiert - hier weiss das OS das es nicht reinschreiben darf. DAS führt aber wieder in das Problem das du ne Partition glaubhaft erklären musst die eben frei ist aber 70% deiner HDD ausmacht… Viel Erfolg!)
Also - es sagt auch keiner was wenn du dein System sicher machen willst - nur dann bitte SINNVOLL Anfangen! Und die Start-/Stop-Protokollierung gehört sicher nicht dazu… Und ein wenig mehr Sicherheit erreichst du eben nicht durch nur 2-3 Handgriffe… Hier erfordert es doch deutlich mehr Aufwand… (u.A. bringt dir die beste Anonymisierungssoftware nix wenn du dich danach irgendwo anmeldest…)
also ich war jetzt in einem Jahr ich glaube 4-5 mal da, mit diversen Equipment. DAS hat da noch nie einen interessiert… Vor dem Abflug hab ich ab und an durchaus mal ne Sonderkontrolle (auch in DE) - da nehmen die aber nur nen Messfühler und gucken ob ich Sprengstoff oder Drogen irgendwo versteckt hab. Da interessieren die meine Daten überhaupt nicht.
Jetzt zu deiner Partition: Z.B. bei TrueCrypt wird das gemacht indem du einfach eine leere Partition auf der Platte hast. In dieser Partition liegen dann deine verschlüsselten Daten. Meinst du wirklich die sind dann so blöd und merken nix? Komisch, du hast (als Beispiel!) TrueCrypt auf dem Rechner - und von deiner 1 TB-Festplatte hast du noch 700 GB frei? Stimmt, das ist sehr Glaubwürdig! (Und du wirst nunmal den großteil der Platte benötigen um ein System zu verstecken in dem sich Filme, MP3s usw. verbergen sollen… Es wäre ggf. ja noch Glaubwürdig wenn man da 50 GB frei lässt (sollte mal ne Rescue-Parition werden u.ä.) -> und das würde reichen um eben vertrauliche DOKUMENTE zu haben. Nur für MP3, Filme usw. ist da schnell Schluss…
Und jetzt kommen wir mal zum Knackpunkt deines Systems: "Mittlerweile hat es sich so entwickelt…" -> ich vermute mal weil du die Programme dann im versteckten System hast und nicht immer umbooten willst. Und vermutlich hast du da auch dann die ganzen anderen Daten - die du unterwegs zwar nicht brauchst aber die eben trotzdem auf dem Rechner liegen. Und HIER liegt der Knackpunkt: Verschlüsselung und eine glaubhafte Ausrede passen nicht mit "Faulheit" zusammen. Sicherheit kostet nunmal immer - mindestens den Aufwand und die Zeit. Wenn du aber das nicht investierst - dann hilft dir die Verschlüsselung nichts. Im Endeffekt ganz einfach: Verschlüssele dein Windows so stark es geht - aber schalte das Autologin ein bzw. nutze kein Login-Passwort… Schon hast du das ganze System ausgehebelt. Und genau das machst du auch wenn du eben ständig mit dem versteckten System arbeitest…
Was den Punkt mit der Partition angeht - wenn man nicht aufpasst dann überschreibt man Daten: Jetzt bitte ich dich das du mir erklärst wie du bestimmst wohin deine Daten gespeichert werden. Wenn das OS nichts davon weiss, die Partition aber als Nutzbar markiert wurde dann hast du ein Problem: Der Zugriff auf die Festplatte ist alles andere als linear (Stichwort Dateifragmentierung). Jetzt nehmen wir mal an du hast ein verstecktes OS, dieses liegt auf der Platte auf Sektor 12, Spur 5, Block 17. Dem OS wird dieser Block als Frei gemeldet (aber der aktuellen Partition zugehörig!) -> warum sollte es den Block nicht einfach mit der erst besten Datei überschreiben? Und es reicht ja wenn ich nen paar Bit deines versteckten Containers zerlege -> dann is ruhe da drin!. DAS wird also nicht funktionieren wie du dir das denkst (deshalb ist es ja bei TC so das der das als freie Partition markiert - hier weiss das OS das es nicht reinschreiben darf. DAS führt aber wieder in das Problem das du ne Partition glaubhaft erklären musst die eben frei ist aber 70% deiner HDD ausmacht… Viel Erfolg!)
Also - es sagt auch keiner was wenn du dein System sicher machen willst - nur dann bitte SINNVOLL Anfangen! Und die Start-/Stop-Protokollierung gehört sicher nicht dazu… Und ein wenig mehr Sicherheit erreichst du eben nicht durch nur 2-3 Handgriffe… Hier erfordert es doch deutlich mehr Aufwand… (u.A. bringt dir die beste Anonymisierungssoftware nix wenn du dich danach irgendwo anmeldest…)