Ergebnis 1 bis 12 von 12
  1. #1
    Mitglied
    Registriert seit
    Nov 2006
    Beiträge
    148
    Danksagungen
    0

    Standard Alle (Windows-) Spuren beseitigen

    Hallo,

    ich möchte mit Truecrypt meine Partitionen verschlüsseln, würde jedoch gerne wissen ob Windows nicht irgendwelche Spuren zurücklässt.

    Wenn ich jetzt z.B. Dateien auf den Desktop downloade, und diese in das verschlüsselte Verzeichnis verschiebe, und dann die Dateien auf dem Desktop lösche, lassen sich diese doch soweit ich weiß wiederherstellen oder? Wie kann ich also diese Spuren beseitigen, bzw. verhindern, dass Dateien mit bestimmten Tools wiederhergestellt werden können.

    Außerdem möchte ich für Truecrypt ein PW nehmen das 64 Zeichen lang ist. Um dies nicht immer von Hand eingeben zu müssen, habe ich mir überlegt eine txt-Datei auf meinem Memorystick zu speichern, und das PW dann immer davon zu kopieren. Kann ich das so machen, oder speichert Windows diese Daten (also das Passwort vom Memorystick) auch wieder irgendwo, so dass man sie wiederherstellen könnte?

    Außerdem würde ich gerne wissen ob man die Auslagerungsdatei beim Herunterfahren immer löschen lassen sollte.

    Letzte Frage: Wenn ich von einem Memorystick arbeite, und die Daten nie auf den Rechner ziehe, sondern immer vom Memorystick per Word/Excel öffne und auch wieder darauf abspeichere, werden diese Daten dann irgendwo zwischengespeichert, so dass man sie wiederherstellen könnte? Und wenn ja, wie kann ich das verhindern?

    So, sind einige Fragen geworden, ich hoffe ihr könnt mir weiterhelfen.

    Gruß
    sotd

  2. #2
    selbsthilfe durch google

    ex-Moderator

    Avatar von natbornkiller
    Registriert seit
    May 2002
    Beiträge
    6.389
    Danksagungen
    4

    Standard Re: Alle (Windows-) Spuren beseitigen

    Verwende tcgina um dein persönliches Verzeichnisse zu verschlüsseln, oder speicher direkt in eine vorher gemouteten tc container, ansonsten bleibt Dir nur den leeren Speicherplatz aufwendig zu wipem, eraser als Stichwort.

    mir wäre das risko, dass der Stick abhanden kommt zu gross, aber du kannst darauf sowas wie passwrdsafe verwenden, um zumindest das Passwort verschlüsselt zu speochern und am besten in mehreren Kopien.

    Rein theoretisch ist die Zwischeablage von jedem Programm einsehbar, aber wenn man danach die Zwischenablage mehrfach überschreibt, also mit neuem inhalt füllt, ist das erstmal sicher, man kann zr weteren absicerhung auch sich tctemp ansehen, damit wird auch der Temporäre Datei mit tc verschlüsselt.
    mfGr

  3. #3
    Mitglied

    (Threadstarter)


    Registriert seit
    Nov 2006
    Beiträge
    148
    Danksagungen
    0

    Standard Re: Alle (Windows-) Spuren beseitigen

    TCGINA werde ich mir mal ansehen und hoffe, dass ich das auch hinkriege.

    Ich werde das Passwort natürlich ausdrucken und zur Sicherheit an irgendeinem Ort speichern wo keiner drankommt, das ist klar. Meine Frage ist nur, wenn ich die txt-Datei auf dem Memorystick öffne, ob Windows diese irgendwo speichert, so dass sie wiederhergestellt werden könnte? Wenn ich das Passwort verschlüsselt auf dem USB-Stick speichere und dann öffne, wird es mir ja trotzdem im Klartext angezeigt, und wenn Windows diese Datei dann irgendwo speichert hätte ich das Problem wieder.

    Wie kann ich die Datei denn mehrfach überschreiben (mit irgendeinem Schrott versteht sich)? Zusätzlich würde ich dann noch verschlüsseln.

    Und generell gefragt: Sind das alle Dateien in denen Windows Spuren hinterlässt? Ich stelle mit jetzt die Frage, ob es da nicht sicherer ist mit bspw. DriveCrypt die gesamte Bootpartition zu verschlüsseln?

  4. #4
    Mitglied
    Registriert seit
    Jan 2006
    Ort
    San Jose, CA.
    Beiträge
    69
    Danksagungen
    0

    Standard Re: Alle (Windows-) Spuren beseitigen

    sodt fragte:
    [...]Wenn ich jetzt z.B. Dateien auf den Desktop downloade, und diese in das verschlüsselte Verzeichnis verschiebe, und dann die Dateien auf dem Desktop lösche, lassen sich diese doch soweit ich weiß wiederherstellen oder?[...]
    Das ist richtig. Solange vertrauensvolle Daten über die aktive C:\Partition (%Windir%) Deines Systems geführt werden, werden diese sensiblen Daten auch auf dem Datenträger der Rootpartition indirekt abgespeichert und lassen sich somit auch über die sog. unalloziierten Slack-Dateien wiederherstellen. (Je nachdem, wie tiefgründig man auf Deinem System sucht). Eraser wäre in so einem Fall (wie schon oben genannt) die einzige Möglichkeit - dauert aber lange.

    Besser wäre es vielleicht in Deinem Falle ein bootbares Betriebssytem, sowie die Verschlüsselungssoftware zusammen mit den angelaufenen Daten komplett über einen separaten und externen Solid-State-Speicher (z.B. USB-Stick) ab BIOS zu starten und über einen solchen laufen zu lassen. Ein sensibler Daten-Transfer sollte niemals über das allgemein nutzbare und intern installierte OS laufen, da auch geschützte Passwörter, die sich während Deiner Session als auslesbare Plaintext-PW´s im RAM des Computers befinden, indirekt (in den Slack-Files des OS) abgespeichert werden - damit auch wiederherstellbar und auslesbar sind.

    sodt fragte weiterhin:
    [...]Außerdem möchte ich für Truecrypt ein PW nehmen das 64 Zeichen lang ist. Um dies nicht immer von Hand eingeben zu müssen, habe ich mir überlegt eine txt-Datei auf meinem Memorystick zu speichern, und das PW dann immer davon zu kopieren.[...]
    Schlechte Idee - solange das ganze nicht auf einem externen und bootbaren Stick stattfindet.

    sodt fragte zuguterletzt:
    Und generell gefragt: Sind das alle Dateien in denen Windows Spuren hinterlässt? Ich stelle mit jetzt die Frage, ob es da nicht sicherer ist mit bspw. DriveCrypt die gesamte Bootpartition zu verschlüsseln?
    Die Bootpartition lässt sich meines Wissens nicht komplett ver- oder entschlüsseln, ausser über eine gemountete On-the-Fly-DCCP Entschlüsselung, die (welches Prog. auch immer) dennoch den Key der Ent- und Verschlüsselung (Dein Passwort im Klartext) im RAM des Systems vorbehält und abspeichert - und darum geht es ja hier genau.

    Desweiteren loggt Windows über die produzierten MRU´s und MUI´s, bzw. die Index.dat´s etc. weitere Datenverweise.

    Lasse keine sensiblen Daten über Root laufen, es sei denn Root ist dem System kurzfristig entnehmbar, bzw. entfernbar.


    Oliver

  5. #5
    Retro-Nerd-Hippie

    ex-Moderator

    Avatar von MSX
    Registriert seit
    Sep 2005
    Beiträge
    9.765
    Danksagungen
    432

    Standard Re: Alle (Windows-) Spuren beseitigen

    Du, ganz ehrlich: Nimm eine Vollverschlüsselung für Dein Windows. Da gibt es so unendlich viele Stellen im System, an denen man etwas über Dich, Deine (letzten) Tätigkeiten etc herausfinden kann, das nimmt kein Ende.

    Ich such selber noch nach Links, bei denen diese Stellen möglichst komplett gesammelt sind, aber nur als Anfang wären da Registry, INI- und LOG-Dateien, Systemereignisanzeige uä zu nennen. Aber da gibt es garantiert noch weitaus mehr.

    Edit: @ Oliver: Was meinst Du mit dem letzten Satz?

  6. #6
    Mitglied
    Registriert seit
    Jan 2006
    Ort
    San Jose, CA.
    Beiträge
    69
    Danksagungen
    0

    Standard Re: Alle (Windows-) Spuren beseitigen

    MSX fragte:
    Edit: @ Oliver: Was meinst Du mit dem letzten Satz?
    Nun - sensible Daten die Dein System über das Internet (Diskette/CD etc.) wie auch immer erreichen, werden immer im RAM Deines Computers zwischengespeichert und dort auch verarbeitet. Logischeweise auch Deine eingegebenen PW´s im Klartext, (Stichpunkt: Dechiffrierung von PW´s im RAM des Computers).

    Windows hat jedoch die unangenehme "Designschwäche", solche sensiblen RAM-Daten auf seinem, als Bootparameter zugehörigen Datenträger (%ROOT%) zwischenzuspeichern, (zwar nicht in der Auslagerungsdatei, aber als unalloziierte und zwischengespeicherte Dateien im sog. File-Slack der zugeordneten Festplatte). Dieser File-Slack lässt sich jedoch unter zu Hilfenahme entsprechender Werkzeuge teilweise im Ganzen oder in Fragmenten wiederherstellen - es sei denn man löscht diese Slack-Bereiche jedesmal langwierig über eine "Umorientierung" der Datenstruktur. (Überschreibungszyklen). Wie bereits oben erwähnt.

    Kurz ausgedrückt: Das eingesetzte Betriebssystem sollte beim Abspeichern von PW´s bzw. sensibler Daten auf einem dem System entnehmbaren Datenträger liegen und auch von diesem gestartet werden. Ist das gebootete System z.B. auf einem ext. D-Laufwerk installiert, dann läuft der RAM-Slack logischerweise auch über D:\. (z.B. den USB-Stick). Dieser Slack-Bereich wird dann auch genau dort abgespeichert und nicht intern auf C:\, da Windows grundsätzlich bezüglich seiner definierten Umgebungsvariablen auf %SYSTEMROOT% oder %WINDIR% abspeichert.

    Ein Standard-Systemstart über C:\ mit sensibler Datenabspeicherung auf ein ext. Laufwerk ist nach meiner Ansicht - gerade bei grossen HD´s - nicht ganz ungefährlich.

    Und so einen ext. Datenträger könnte man schneller verschwinden lassen.


    Oliver

  7. #7
    selbsthilfe durch google

    ex-Moderator

    Avatar von natbornkiller
    Registriert seit
    May 2002
    Beiträge
    6.389
    Danksagungen
    4

    Standard Re: Alle (Windows-) Spuren beseitigen

    Zitat Zitat von sotd
    TCGINA werde ich mir mal ansehen und hoffe, dass ich das auch hinkriege.

    Ich werde das Passwort natürlich ausdrucken und zur Sicherheit an irgendeinem Ort speichern wo keiner drankommt, das ist klar. Meine Frage ist nur, wenn ich die txt-Datei auf dem Memorystick öffne, ob Windows diese irgendwo speichert, so dass sie wiederhergestellt werden könnte? Wenn ich das Passwort verschlüsselt auf dem USB-Stick speichere und dann öffne, wird es mir ja trotzdem im Klartext angezeigt, und wenn Windows diese Datei dann irgendwo speichert hätte ich das Problem wieder.

    Wie kann ich die Datei denn mehrfach überschreiben (mit irgendeinem Schrott versteht sich)? Zusätzlich würde ich dann noch verschlüsseln.

    Und generell gefragt: Sind das alle Dateien in denen Windows Spuren hinterlässt? Ich stelle mit jetzt die Frage, ob es da nicht sicherer ist mit bspw. DriveCrypt die gesamte Bootpartition zu verschlüsseln?
    Nein, windows speichert solche Dateien nicht temporär ab, aber tctemp hatte ich ja schon oben erwähnt.

    Andere Textverarbetungsprogramme könnten das temporär anlegen, das kannst du aber mit filemon begtachten, wenn Du die Textdatei öffnest, ob dein Programm das macht.
    Dateien überschreiben ist zeitaufwendig, allerdings must Du dennoch die zulett verwendeten Dokumente ausschalten oder immer wieder bereinigen(mach z.b. auch adaware).

    Vollverschlüsselung birgt immer gewisse Risiken, ist aber eindeutig weniger ausfwendig, als alle Spuren zu beseitigen.
    mfGr

  8. #8
    Mitglied

    (Threadstarter)


    Registriert seit
    Nov 2006
    Beiträge
    148
    Danksagungen
    0

    Standard Re: Alle (Windows-) Spuren beseitigen

    Danke schonmal für die ausfürhliche Hilfe!

    Zu Oliver:

    Der erste Teil hört sich sehr gut an, leider glaube ich kaum, dass ich das hinkriege da ich mich um das zu realisieren wahrscheinlich einfach nicht gut genug auskenne.

    Trotzdem habe ich noch eine Frage zu dem Speichern des Passwortes auf dem Memorystick und das kopieren davon. Du schreibst:

    Schlechte Idee - solange das ganze nicht auf einem externen und bootbaren Stick stattfindet.
    Warum ist das eine schlechte Idee? Und was genau ist ein externer (ist nicht jeder Memorystick extern...? ) und bootbarer Stick? Natbornkiller sagte ja, dass Windows dies nirgendwo abspeichern würde, was sind daran also die Nachteile?


    Zu Natbornkiller und allgemein gefragt:

    Ich denke, dass für mich eine Vollverschlüsselung am besten ist, da ich wahrscheinlich einfach nicht genug Ahnung habe um das alles selber zu machen. Da werden dann wohl bei mir immer irgendwelche Schlupflöcher sein. Aber was für ein Programm soll ich jetzt zur Vollverschlüsselung benutzen? Habe einiges Gutes über DriveCrypt gelesen, jedoch auch Negatives. Bisher habe ich nur über Truecrypt Positives gelesen, aber damit kann man ja nicht komplett verschlüsseln. Welche Alternativen gibt es noch, bzw. was würdet ihr mit empfehlen?

    Danke nochmal für die ausführliche Hilfe hier!

  9. #9
    Retro-Nerd-Hippie

    ex-Moderator

    Avatar von MSX
    Registriert seit
    Sep 2005
    Beiträge
    9.765
    Danksagungen
    432

    Standard Re: Alle (Windows-) Spuren beseitigen

    Soweit ich weiß kann es schon passieren, daß Windows Passwörter etc in der Auslagerungsdatei zwischenspeichert und sie somit evtl wieder herstellbar sind. Da verstehe ich nun natbornkiller auch nicht.

    Als Vollverschlüsselungsprogramm kannst Du wohl nehmen, was Du willst. Bei richtigem Einsatz passiert da eigentlich nichts. Backups natürlich immer vorausgesetzt.

    Merci @ Oliver. Mich hatte nur die Formulierung "Root" irritiert.

  10. #10
    selbsthilfe durch google

    ex-Moderator

    Avatar von natbornkiller
    Registriert seit
    May 2002
    Beiträge
    6.389
    Danksagungen
    4

    Standard Re: Alle (Windows-) Spuren beseitigen

    Damit Pages aus dem speicher ausgelagert werden, müssen sie entweder alt sein oder das system so überfordert, dass er die ganze zeit am swappen ist, wobei das System da meines Erachtens die Zwischenablage, nicht auslagern würde, was man aber durchaus auf einem Schwachen System und mit Viel Kenntnis auch ausprobieiren könnte, aber wie schon gesagt, ich wüsste nicht das sowas passieren kann.

    Dem threadstarter wurde doch bereits jetzt schon alle Möglichkeiten genannt, entweder er macht das ganze aufwendig manuell oder er vollverschlüsselt das ganze.
    Inwieweit Programme temporäre Auslagerungsdatei erzeugen und ob man diese wiederherstellen kann, entzieht sich meiner Kenntnis, das könnte aber jeder mehr oder weniger leicht selbst ausprobieren.
    mfGr

  11. #11
    Retro-Nerd-Hippie

    ex-Moderator

    Avatar von MSX
    Registriert seit
    Sep 2005
    Beiträge
    9.765
    Danksagungen
    432

    Standard Re: Alle (Windows-) Spuren beseitigen

    Da stimme ich Dir eigentlich zu.

    Die Chance, daß so etwas passiert, hängt von den verwendeten Programmen und ihrer Speicherbenutzung ab, sowie der Größe des Arbeitsspeichers (physisch und virtuell), und auch der jeweils aktuellen Auslastung des Systems.

    Durch die Benutzung verschiedener Programme zu verschiedenen Zeiten gleichzeitig und in unterschiedlichem Umfang ergeben sich dann entsprechend viele mögliche Kombinationen der Speichernutzung, so daß man nicht pauschal sagen kann, was auf einem System ausgelagert wird, außer man testet möglichst umfangreich, welche Software welche Bereiche des Speichers benutzt etc pp.

    Daß ein 64 Zeichen langes Passwort in der Auslagerungsdatei landet, halte ich aber letztlich auch für sehr, sehr abwegig. TrueCrypt schützt sich dagegen auf jeden Fall, laut FAQ und bei einer Vollverschlüsselung würde sich das Problem auf jeden Fall auch erledigen. Außerdem könnte es OS-betriebsbedingt zum Überschreiben von ausgelagerten Dokumenten kommen, aber umsonst gibt es TC-Temp und CryptoSwapGuerilla auf jeden Fall nicht.

    Es braucht dann natürlich auch noch ein wenig was an Wissen, um aus dem Swapfile etwas auszulesen.

    PS: Danke Dir für die schön geschriebene Antwort.

  12. #12
    Mitglied
    Registriert seit
    Jan 2006
    Ort
    San Jose, CA.
    Beiträge
    69
    Danksagungen
    0

    Standard Re: Alle (Windows-) Spuren beseitigen

    sodt fragte:
    [...]Der erste Teil hört sich sehr gut an, leider glaube ich kaum, dass ich das hinkriege da ich mich um das zu realisieren wahrscheinlich einfach nicht gut genug auskenne.[...]
    Wo liegen denn Deine Probleme? Es ist wichtig Verständnissprobleme von vornherein auszuräumen. Frage hier einfach...

    sodt wollte darüberhinaus wissen:
    Warum ist das eine schlechte Idee? Und was genau ist ein externer (ist nicht jeder Memorystick extern...? ) und bootbarer Stick? Natbornkiller sagte ja, dass Windows dies nirgendwo abspeichern würde, was sind daran also die Nachteile?
    Über das Einfügen durch "Copy & Paste" eines Passwortes vom Stick, wird dieses auch indirekt gespeichert. Bootest Du jedoch vom besagten Stick und verschlüsselt Deine Win-Partition vom Stick aus, werden keine PW´s gespeichert. (ausser auf dem Stick).

    Du solltest vielleicht die Grundprinzipien der direkten und indirekten Abspeicherung unter Windows einmal kennenlernen. Windows speichert nicht nur die Daten, die Du selber (aktiv) sicherst, sondern leider auch indirekt und ohne Deinen Einfluss jene Daten, die Du eigentlich gar nicht gespeichert haben möchtest. Windows macht das automatisch. (Du siehst diese indirekt abgespeicherten Daten nicht im Windows-Explorer - sie lassen sich jedoch über sekundäre Daten-Wiederherstellungsprogramme reproduzieren). Es geht hierbei nicht um die Auslagerungsdatei.

    Alles was im RAM der Maschine von Statten geht, wird indirekt vom MS-OS auf der jeweils aktiven Partition in Intervallen und ohne Zutun des Nutzers, unalloziiert (aber wiederherstellbar), auf dem Datenträger abgespeichert. (Stichwort: File-Slacks). Dazu gehören auch die vertrauensvollen Passwörter, die Du ja logischerweise einmal als Klartext eingegeben hast, um Dich geschützten Contents gegenüber zu authorisieren - Diese PW´s liegen daher als Klartext im RAM Deines Computers - Das Dumme dabei ist bloss, dass Windows solche im Klartext eingegebenen PW´s (ausgelesen aus dem RAM) auch als Klartext-Datei indirekt abspeichert und damit gerade auf jenen HD´s oder Partitionen ablegt auf dem es installiert ist und die ja gerade durch nicht wiederherstellbare PW´s geschützt werden sollten - ist fast schon so etwas wie ein ad-absurdum.

    Platt ausgedrückt - verschlüsselst Du auf einer Partition, die selber verschlüsselt werden soll, wäre das im übertragenen Sinne ungefähr so, als sägst Du auf dem Ast auf dem Du selber sitzt. Besser wäre es meiner Meinung nach, von einem Sekundärsystem aus z.B. eine Primärpartition zu verschlüsseln.

    sodt wollte zuguterletzt wissen:
    [quote][...]Natbornkiller sagte ja, dass Windows dies nirgendwo abspeichern würde, was sind daran also die Nachteile?[...]
    Alles, was über die Zwischenablage des OS´s geführt wird, ist als Datei auch auslesbar - selbst über JavaScript des eingesetzten Internet-Browsers.

    Natbornkiller sagte nicht, dass die Zwischenablage nirgendwo gespeichert würde - er sagte, dass man die Informationen des Clipboards multizyklisch überschreiben könnte, wenn ich ihn richtig verstanden habe - womit er Recht hat. Ich halte das jedoch für umständlich und er vermutlich auch.


    Oliver
    Geändert von Oliver222 (30. 01. 2007 um 05:37 Uhr)

  13.  
     
     

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •