F8 boot verhindern - wie geht das?, endlich weiß ich es Einstellungen

[Heike]

liest man ja immer mal wieder, mir war nie klar, wie es geht.

Tastatur-Layout ändern war es nicht, das hat rein gar nichts gebracht.

hier ist die Lösung:

Open the ntldr file

With the file opened in the Binary/Hex editor, search for the Hex value "CD 16 0F 85 09." When the value is located, replace it with "CD 16 90 90 90." Now when you reboot, press f8 for safe mode, you will not be able to select any options on the menu. System will now reboot into normal mode after 30 seconds.


I successfully performed this several times on a P4 Xpo Pro SP2 system.
Good luck!
*** I offer no warranty with this reply - use at your own risk ***

Quelle sind nicht irgendwelche "bösen" Seiten, sondern: Newsgroups: microsoft.public.windowsxp.security_admin

ntldr file tauschen, dann geht es, oder es geht eben nicht. Bei mir klappt es einwandfrei

also, wenn es bei einem mal nicht gehen sollte, hier könnte die Ursache sein.

[Gast_Scrapie_*]

Hi

Unter W2k SP2 gerade selbst erfolgreich getestet.
Ziemlich fies um ne Säuberung im Abgesicherten Modus zu erschweren


Scrapie

[Gast_rock_*]

tja...das internet hat unsere heike schon komplett verdorben! LöL!!!

hello hamburg!

[Heike]

muß so sein, wahrscheinlich ist die Ursache aber in Österreich zu suchen

das habe ich auch gefunden

Hidden Start (hstart)
Console applications and batch scripts are regularly run at Windows startup and in schedule. For example, virtual drives are used for frequently accessed directories, meaning that the subst.exe console application has to be run more than once on logon.

The main inconvenience of this is that every application creates a new console window which flickers on the screen. For this reason, I have developed a small startup manager that allows console applications to be started without any windows in the background.

http://www.ntwind.com/software/utilities/hstart.html

funktioniert auch sehr gut, das cmd-Fenster taucht nicht auf dem Bildschirm auf auf

rock, jetzt kannst Du weiterüberlegen.

[Gast_rock_*]

hmmm... ein programm mit dem ja was anstellen kann....

[Gast_Scrapie_*]

Hi

Fern ab von Threads in denen Aufzählungen über "erwünschte" und "unerwünschte" User getätigt werden und wo ich um meine virtuelle Teer- und Federung fürchten muss, hier etwas annähern securitymässiges für "unser" Security-Board Rokop.


Im Falle zukünftige Malware, welche das von Heike im Startposting genannte Szenario ausnützen sollte, finden sich anbei zwei Patches.
Der Eine schaltet das "F8-Menü" aus und der Andere stellt es wieder her. So erspart man sich hantieren mit dem Hexeditor oder das manuelle Kopieren des Bootloaders über die Reperaturfunktion der Windows-Start-CD.

- Getestet unter Windows 2000 und Windows XP als Admin und mit "freier Sicht" auf System- und versteckte Dateien.
- Anwendung auf eigene Gefahr
- Keine Haftung für eventuelle Schäden jeglicher Art
- Bitte die Hashwerte kontrollieren um Manipulation der Dateien auszuschliessen.
- Direkt in "C:\" kopieren und von hier aus starten. Andere Ordner funktionieren nicht.


Da manche hier Heike und mir nicht über den Weg trauen vorsorglich ein Placeboscan...
Patch Nr.1:

MD5 = 416da8795972a2c7e5a1efd46a387cdd
SHA1 = 4fc5a0d4212a93e9baf721b404515eaecac41374

Patch Nr.2:

MD5 = 6c2583fb160ee61a41c05c47b6504fd5
SHA1 = 77a91026578ad35e2b34bf31361db242b4b97c29


Ich hoffe mein Posting trägt nicht dem prophezeiten "Absterben des Forums" bei, sondern bringt wieder etwas mehr Praxisbezug,
Scrapie

[Voyager]

Die Frage bleibt warum ich mir die F8 Funktion (Abgesichertes Boot -Auswahl) wegpatchen sollte ? Was hat das für einen Sinn.

[Gast_Scrapie_*]

Hi

Das musst du selber wissen, WENN du den entsprechenden Patch verwendest.
Ich habe ihn beigelegt um interessierten Usern beim Vergleich zu helfen und event. später mal einen manipulierten ntldr selber erkennen zu können. Die meisten Hexeditoren verfügen über eine schöne Vergleichsfunktion. Da sieht man dann schön was geändert wurde / von malware geändert werden könnte.
Persönlich habe ich auch eher gerne mein F( und daher ebenfalls keine Verwendung für den Einen

Scrapie

[Heike]

Scrapie und ich haben schon mal vorab getestet, es funktioniert bei mir einwandfrei.

klasse, danke für Deine Arbeit

bond, die Frage ist doch nicht, warum man es sollte, die Frage ist, warum man es kann. Warum wird uns immer was von Sicherheit erzählt, die dann doch oft lediglich eine Scheinsicherheit ist?
man muß doch testen, wie sicher die angebliche Sicherheit ist, damit man sie besser einschätzen kann. (und das nicht nur anhand diese Beispieles)

[Heike]

2 downloads nur? man, was seid ihr für Angsthasen.

ist schon richtig, man kann sich mit allem, was man ausprobiert, sein System zerschießen, ob man nun so etwas oder das neueste AV-Tool testet. jeder hier sollte aber doch ein funktionierendes Sicherungs-System haben, dass die Folgen eines "Unglücks" beseitigen könnte.

hier weiß man, was passiert, nichts wirklich gefährliches.

jeder von euch macht downloads, in denen eine Gefahr enthalten sein könnte. Auch bei Quellen, die jahrelang sicher waren, könnte der Server geowned sein und in dem download ist auf einmal eine "nette" Beigabe enthalten. es gibt keine 100%ige Sicherheit, und wie die benutzten AV-Tools dann wirken würden, darüber haben wir ja auch einen Topic.

no risc, no fun.

[zausel]

Nicht Angsthasen ,eher Ahnungslose....
Hier haben doch schon lange Plappertaschen und Maulhelden das sagen übernommen...
Sicherheitsintressierte sind hier eine verschwindende Minderheit....
Zausel

[Heike]

zausel, ich würde gerne wissen, was Du unter "Sicherheitsintressierten" verstehst

hinter der Frage ist keine Falle versteckt, ich stelle sie einfach aus Interesse und um Mißverständnisse zu vermeiden.

eher Ahnungslose

keiner wird mit Ahnung und Wissen geboren.
ich vermutete irrtümlich mal, mit sub7 infiziert zu sein und habe entschieden: der Sache gehe ich jetzt mal auf den Grund. Dieser Weg ist doch immer noch möglich, es muß doch keiner ahnungslos bleiben.

[zausel]

Hallo,
okay okay...

Ich formuliere um.
Streiche "Ahnungslose" und setze dafür "Desintressierte".

Heißt es nicht "Rokop-Security" ,also Rokop -Sicherheit ?
Ein User solch eines Forums, kann doch gut und gerne als "Sicherheitsintressierter" angenommen werden ,oder ?

Hier allerdings muß er mittlerweile mit korrekter Diskussionsbereitschaft antreten......
Auch die Diskussionsthemenfindung wird ihm abgenommen.....
Gefragt ist was vorgegeben wird und glaube ja nicht eine abweichende meinung allzulange haben zu dürfen...
Da sind User und Mod`s vor...
Zausel

[Julian]

jeder von euch macht downloads, in denen eine Gefahr enthalten sein könnte. Auch bei Quellen, die jahrelang sicher waren, könnte der Server geowned sein und in dem download ist auf einmal eine "nette" Beigabe enthalten.

Das wär mir Dank proaktivem Schutz wurscht. Aber gut, lassen wir das...

Ich war einer dieser zwei Downloads. Hat funktioniert. Nur doof, dass man so nicht mehr bei Multibootsystemen zwischen den Betriebssystemen wechseln kann.
Wenn sich das noch verändern liesse, 10 / 10 Punkten auf der Richterskala gäbe ich...

Auch wenn ich nach wie vor keinen legalen Anwendungseinsatz für dieses Programm sehe.

Langsam aber sicher verändert sich Rokop. Vor ein paar Jahren waren noch Tests versierter Leute zu verschiedenen Programmen zu finden. Heute hat Rokop immer mehr den Anschein eines Hack-Boards.
Ich weiss nicht, was ich davon halten soll

[Gast_Scrapie_*]

Auch wenn ich nach wie vor keinen legalen Anwendungseinsatz für dieses Programm sehe.

Ich fand es beruhigend etwas in der Hand zu haben, wenn der erste Wurm/Trojaner kommt, der diese Funktion nützt, um seine Desinfektion durch blockieren von F8 zu erschweren.
Ob dieses Bedürfnis nach etwas Sicherheit legal ist, bzw. im Umkehrschluss, ob so ein Tool und sein Anwendungsgebiet dann illegal ist - ich weiß nicht

Für die Frage im letzten Absatz von dir hab' ich persönlich eine Theorie, auf welche ich hier auf Grund von Offtopic-Gefahr nur kurz verlinken möchte: Klick


Grüße,
Scrapie

[Heike]

Auch wenn ich nach wie vor keinen legalen Anwendungseinsatz für dieses Programm sehe.

das macht ja nichts

Dieses Feature ist, soweit ich mich erinnere, in einigen Programmen enthalten, die zur Sicherung von PCs in Internet-Cafes verwendet werden. Es gibt da ganz umfangreiche Software, die auch remote verwendet werden kann.

ein Freeware-Tool, was so etwas angeblich kann, habe ich auf die Schnelle gefunden.

This nice free password protected security utility enables you to protect your PC by disabling some features like: use of the MS-DOS command prompt in Windows and real mode DOS applications from within the Windows shell, and disable function keys on boot up like the F5, F6 and F8 keys. The program is very useful if you want to disable the lowlevel access to your system. It's easy to use, reliably protected by the password and excellent online help is also available. Try our free password and security tools, free downloads.

ABC Security Protector

alles hat eben 2 Seiten, wie immer.

<off-topic>
MS-DOS command prompt in Windows verbieten, legal oder illegal?
wenn es auf einem PC verboten ist, würde es sich auch remote nicht mehr nutzen lassen (getestet mit Bifrost), dann könnte es auf einmal ein Sicherheits-feature sein.
<off-topic-end>