Linux-Bitdefender-Kurz-Howto-NTFS Einstellungen

[Gast_piet_*]

Linux-Bitdefender-Kurz-Howto-NTFS

von CD booten. Am Prompt
# knoppix 2 eingeben...[Enter].

Mounten der Windowspartitionen:

# mount /dev/hda1 /mnt/hda1 [Enter]

für die erste prim. Partition (meist C:/) auf der Windows installiert ist.

# mount /dev/hdx /mnt/hdx [Enter]

für die Partitionen die noch bearbeitet (gescannt) werden sollen.

Treiber für den NTFS-Schreibzugriff laden bzw. kopieren.

Annahme: Win2k/XP ist auf C:/ also /mnt/hda1 installiert.

# cp /mnt/hda1/windows/system32/drivers/ntfs.sys /var/lib/captive/ntfs.sys [Enter]

# cp /mnt/hda1/windows/system32/ntoskrnl.exe /var/lib/captive/ntoskrnl.exe [Enter]

hier die Pfandangaben für Win2kProf. Man kann die beiden Dateien auch von beliebigen anderen Datenträgern etc. nach / var/lib/captive/ kopieren.

# startx

KDE startet. http://mitglied.lycos.de/piet74/1.jpg

Bitdefender starten. http://mitglied.lycos.de/piet74/9.jpg

Einstellungen vornehmen, Pfad eingeben. Scanbutton. http://mitglied.lycos.de/piet74/8.jpg

Good Luck

piet

http://www.bitdefender.com/bd/site/pressce...u_id=25&n_id=58

[DonQuijano]

Hi piet,
das ist eine sehr schöne Anleitung.

Viele Grüße

Bilbo

[Grinko]

Die sollte man an die Hauptseite bringen.
Wird warscheinlich oft benötigt werden bei tiefem Virusbefall.

[DonQuijano]

Kann man die Anleitung nicht anpinnen? Das wäre gut.

Viele Grüße

[Gast_SHAKAL_*]

Dazu habe ich doch auch noch was von Holgi, wer ihn noch kennt:

E-Mail Virenschutz unter Debian/GNU Linux (Woody)

[Gast_piet_*]

Viel hat das mit dem Howto aber nicht zu tun. Mach das nächste mal bitte ein eigenen Thread auf.

piet

[SkeeveDCD]

Vorsicht, zum Scannen mag das ja vielleicht gut sein, aber nicht fürs Reinigen.

Andreas Marx hatte Besuch von 2 Bitdefender-Leute die ihm das vorführen wollten, gefunden wurde der Virus auf der Partition, angeblich gereinigt auch. Nach dem naechsten Booten war der Virus allerdings immer noch im System - und durch den Schreibzugriff unter Linux wohl dann zufaellig irgendwelche Daten zerstoert.

[Gast_INT 3_*]

Der Haken an der ganzen Geschichte ist der angebliche Treiber zum NTFS schreiben. Vielleicht sollte man sich das Zeugs vorneweg mal anschauen ob es denn auch so funktioniert wie gewuenscht. Weil mir ist KEIN NTFS Treiber (ausser die von Microsoft selber) bekannt die zuverlaessig ihre Dienste verrichten. Auch kein NTFSDOS von Systeminternals tut das _richtig_. Und hier in dem Fall von Bitdefender wurde das _experimentelle_ NTFS schreiben eingebunden obwohl man ueberall auf jeder Linux Seite liest es ist EXPERIMENTELL. Mahlzeit.

[Rokop]

Hallo ! Es wird der ORIGINAL MICROSOFT NTFS TREIBER geladen und verwendet.

[SkeeveDCD]

Der Original-Treiber? Dann ist das ganze Lizenzrechtlich bedenklich - oder Bitdefender zahlt pro CD fett an Microsoft.

Die Version die bei Marx getestet wurde benutzte AFAIK den Linux NTFS-Treiber.

[Gast_piet_*]

Hättet ihr euch die Zeilen mal genau angeschaut, wüßtet Ihr auch was verwendet wird.

# cp /mnt/hda1/windows/system32/drivers/ntfs.sys /var/lib/captive/ntfs.sys [Enter]

# cp /mnt/hda1/windows/system32/ntoskrnl.exe /var/lib/captive/ntoskrnl.exe [Enter]

Was die Rechtliche Seite angeht wär das natürlich schon interessant. Da es mehrere Projekte gibt die "nur" die Windowstreiber laden und unter Linux zur Verfügung stellen.

piet

[Rokop]

Softwin Deutschland hat mir gegenüber versichert, dass die Treiber mittlerweile frei verfügbar wären, sprich keine Lizenzkosten etc. anfallen.

[Gast_piet_*]

Ok...danke für die Info.

piet

[SkeeveDCD]

Und wer opfert jetzt sein System um zu testen ob die Reinigung von Viren auf NTFS-Laufwerken auch wirklich auch funktioniert?

[Gast_INT 3_*]

# cp /mnt/hda1/windows/system32/ntoskrnl.exe /var/lib/captive/ntoskrnl.exe [Enter]

Muhaha

Klar, wir kopieren aus der Partition Dateien raus, welche gesaeubert werden soll - ja gehts eigentlich noch ?! Hat schon mal einer darueber nachgedacht was passiert wenn dort ein PE-Infector dran haengt ?!

[SkeeveDCD]

Ach so:

Softwin Deutschland hat mir gegenüber versichert, dass die Treiber mittlerweile frei verfügbar wären, sprich keine Lizenzkosten etc. anfallen.

Und deswegen muss man sich auch diese 2 Dateien von seinen eigenen System kopieren und Softwin liefert sie nicht mit. LOL. Au backe, die erzählen da ja Sachen bei Bitdefender.

Abgesehen davon, was machst man wenn diese beiden Dateien beschädigt oder infiziert sind?

[Gast_piet_*]

Klar, wir kopieren aus der Partition Dateien raus, welche gesaeubert werden soll - ja gehts eigentlich noch ?!

das ist eine Möglichkeit. Ich seh schon das Ihr zwei es immer noch nicht gelesen habt.

hier die Pfandangaben für Win2kProf. Man kann die beiden Dateien auch von beliebigen anderen Datenträgern etc. nach / var/lib/captive/ kopieren.

piet

Der Beitrag wurde von piet bearbeitet: 01.02.2004, 14:22

[SkeeveDCD]

Piet, wer lesen kann ist klar im Vorteil. Gilt auch für dich.

Es ging hier auch um die lizenzrechtlichen Aussagen von Bitdefender bezüglich dieser zwei Dateien. Und da hat Bitdefender ganz klar eine Falschaussage gemacht - sonst würden sie die 2 Dateien selber mitliefern und nicht den Anwender dieses rumkopieren zumuten.

Abgesehen davon, wenn du noch ein zweites lauffähiges XP/2000-System zu Verfügung hast brauchst du auch keine Rescue CD mehr. Dann hängt man die infizierte HDD einfach als 2. Platte in den 2. Computer und reinigt unter Windows.

[Gast_piet_*]

Nachtrag zum Howto, es sind zwingend die WinXP-Treiber erforderlich.

Das wie folgt in ein paar Minuten.

piet

[Gast_piet_*]

Wird wohl noch etwas dauern, da ich das ServicePack1 für WinXP benötige. Und leider ist der Win-Server grottenlahm.

piet

[SkeeveDCD]

Piet, selbst mit den Original-Dateien von MS ist es nicht garantiert das der Schreibzugriff 100% funktioniert. So lange ist der Test von Andreas Marx nicht her, also kann man doch davon ausgehen das schon das System mit dem Einbinden der Original-Dateien verwendet wurde. Und trotzdem hat die Reinigung nicht funktioniert und es wurden Daten auf der Platte zerstört.

Wenn man Originaldateien hat wäre es dann nicht sinnvoller gleich eine PE BART-CD zu erstellen?

[Gast_piet_*]

Ich will es zumindest versuchen. Wenn es nicht funktioniert werde ich es hier kundtun.

piet

[SkeeveDCD]

Ich hoffe du nimmst auch mal nen File Infector für den Test und machst MD5-Prüfsummen über alle Dateien auf der Festplatte und vergleichst die nach der Reinigung.

[Gast_piet_*]

ok....alles nochmal. Ist einfacher als gedacht wenn man ein paar Sachen halt weiß.

1. Wir benötigen ntfs.sys und ntoskrnl.exe eines WindowsXP
2. Am besten die beiden Files auf Diskette oder CD bannen.

Hier verwendet:

ntfs.sys - MS Windows XP Service Pack 1/1a Free Build 5.1.2600.1106 NTFS
ntoskrnl.exe - MS Windows XP Service Pack 1/1a Free Build German 5.1.2600.1106 Kernel

Hier beide auf die Partition C:/ (Fat32) in einen Ordner namens "Treiber" kopiert, da kein DiskettenLW am Notebook und ein Rohling war mir zu schade dafür.

In einem Ordner auf D:/ (NTFS) ist ein Ordner "Test" mit 2 Versionen des Sub7-Trojaners. Die *zip-Files sowie entpackt.

http://mitglied.lycos.de/piet74/lsltr.txt

Verzeichnissinhalt: ls -ltR /mnt/hda5/Test vor dem Scannen.

Von CD booten. Mit rechter Maustaste HDA1 anklicken und per MOUNT einhängen. Wie gesagt, von CD bzw Diskette ist das einbinden auch möglich.

"Install NTFS Write Drivers" starten.

Mit "Forward" den Scan starten. jetzt findet er auf /mnt/hda1 die 2 Dateien. Sind die Dateien erkannt worden sieht das ganze so

http://mitglied.lycos.de/piet74/snapshot1.png

aus.

Jetzt die NTFS-Partition mounten. Rechte Maustaste->Mount auf das entsprechende Icon, hier HDA5 also D:/. Die Partition wird jetzt Read/Write gemountet.

den Scanner starten, Einstellungen...Scannen.

http://mitglied.lycos.de/piet74/snapshot3.png

Verzeichnissinhalt: ls -ltR /mnt/hda5/Test nach dem Scannen.

http://mitglied.lycos.de/piet74/lsltr2.txt

Der Schreibzugriff funktioniert. Ich weiß nicht was A.Marx falsch gemacht hat, aber irgendwas muss er nicht beachtet haben.

piet

[Gast_piet_*]

Ich hoffe du nimmst auch mal nen File Infector für den Test und machst MD5-Prüfsummen über alle Dateien auf der Festplatte und vergleichst die nach der Reinigung.

Da hast Du falsch gehofft. Wie wäre es wenn Du ebenfalls mal was produktives beiträgst als nur kluge Ratschläge zu geben.

piet

[SkeeveDCD]

Ich bin sehr produktiv und habe heute an der Scan Engine eines gewissen Antiviren-Programmes gearbeitet. Im Gegesatz zu dir, der Tipps gibt wie man möglicherweise seine NTFS-Partition röstet.

Und dein Test sagt absolut nichts aus solange du nicht wirklich feststellen kannst was genau verändert wurde. Und ich denke auch mal das Andreas Marx da etwas mehr Erfahrung hat als du und weiss was er da getestet hat. Sonst hättest du ein AV-Testcenter und nicht er?

Du solltest vielleicht mal nach Windows booten und schauen ob die Dateien wirklich weg sind. Das war naemlich das was Andreas Marx festgestellt hat. Nur unter Linux wurden sie als gelöscht angezeigt.

Und NTFS ist nicht gleich NTFS, da gibt es Unterschiede, z.B. Windows Server etc.. Oder was meinst du warum Firmen mit langjähriger Erfahrung wie die Hersteller von Ghost, Partition Magic oder z.B. bei Acronis das nicht selber hingekriegt haben.

[Gast_piet_*]

OhOh....vergeßt Bitdefender mit NTFS-Support. Die Dateien sind in der Tat nach einen Windowsstart immer noch vorhanden. Also vergeßt Diese Anleitung...es funktioniert nicht. Sorry A.Marx.

Die Partition funktioniert allerdings noch.

Nichts für Ungut...der Sticky ist somit wohl überflüßig.

piet

[Gast_piet_*]

Nochmal ein Nachtrag:

Auf

http://www.computerbase.de/news/software/b...bzugriff_linux/

wird geschrieben das die Dateien aus englischen Betriebssystemen stammen müssen.

Sobald mir diese Dateien vorliegen werde ich es nochmal probieren.

piet

[Gast_piet_*]

Mit den englischen Versionen der ntfs.sys und der ntoskrnl.exe funktioniert der Schreibzugriff wiedererwarten doch.

Und zwar hab ich ihn die Files aus der XPSP1A_EN_X86_CHK extrahieren lassen.

http://download.microsoft.com/download/9/7..._en_x86_CHK.exe

hier noch mal die Dateien nach dem Scan:

http://mitglied.lycos.de/piet74/dateien.txt

die zwei *.zip nochmal entpackt. Also den ursprünglichen Test-Ordner wieder hergestellt (wie vor dem Scan).

http://mitglied.lycos.de/piet74/dateien2.txt

diesmal beides unter Win mit dir *.* /s > text.txt in die Dateien geschrieben.

Bis auf sub7.exe hat er alle anderen *.exe gelöscht. Inwieweit das nun einer sauberen Entfernung entspricht müssen andere Leute beantworten.

piet

[VanTom]

hm, wo finde ich die Datei : ntoskrnl.exe in dem File? Eine direkte Suche in dem entpackten Verzeichnis scheint sie nicht zu finden. Stexkt die vielleicht in einer anderen Datei oder so?

bis denn

VanTom

[Gast_piet_*]

also hier ist ntoskrnl.ex_ (1.242.123 Bytes) in dem ServicePack enthalten. Falls Du sie dennoch nicht findest...Mail oder PM.

piet

[@thehop]

Hallo beisammen ...

Danke für das HowTo - lade gerade BitDefender Rescue System Version 2008.

DL: ftp://ftp.bitdefender.com/pub/rescue_cd (bitdefender_2008_RescueCD_v2.iso | 488 MB)


FRAGE: Hat die Anleitung nach immerhin 4 Jahren noch Gültigkeit? (die Links scheinen ja "outdated" zu sein.)


EDIT: Seh gerade, das es da noch LinuxDefender Live! und Security CD gab/gibt ?
Die sind aber von 2004 -> http://archive.bitdefender.com/bd/site/mirrors.php

salü
@thehop



suchen finden :::> hophop live-cd antiviren live cd antivirus-cd rescue-cd

Der Beitrag wurde von @thehop bearbeitet: 11.01.2008, 11:31

[DonQuijano]

Der kernel ist veraltet.
(Die Anleitung von piet ist super.)