- Knoppicillin
-
Knoppicillin
c't software kollektion 5Basisdaten Entwickler c't-Redaktion Version 6.0.2/Version 7 in Heft 26/08
(2. Februar 2008)Abstammung \ Linux
\ Debian GNU/Linux
\ KNOPPIX
\ KnoppicillinArchitekturen IA-32 Größe 250 MB Startmedium Live-CD Lizenz proprietär Sonstiges Preis: mit c't (ohne Virenscanner auch kostenlos)
Sprache: Deutsch, uvm.Website Knoppicillin Download Edition Knoppicillin ist eine bootfähige Live-CD zur Desinfektion von Rechnersystemen nach einem Virenbefall. Sie wird von der c't-Redaktion herausgegeben und in regelmäßigen Abständen aktualisiert.
Inhaltsverzeichnis
Konzept
Das Konzept, den Virenscanner von einer Boot-CD zu starten, stellt sicher, dass die Betriebssystemumgebung des Scanners nicht verseucht sein kann. Ein Schädling kann so weder den Scanner selbst manipulieren, noch sich mit Funktionalitäten eines Rootkits unsichtbar machen, da sein Programmcode nicht während des Systemstarts von der Festplatte ausgeführt wurde. Ebenso kann er sich beispielsweise nicht in den Arbeitsspeicher kopieren und von dort aus erneut das System infizieren. Außerdem ist es von einer Live-CD auch dann noch möglich, das System zu booten, wenn eine Vireninfektion dies beim normalen Betriebssystem verhindert.
Knoppicillin ist damit ein wirksames Mittel bei einem Befall mit Schädlingen mit Rootkit-Eigenschaften, der mit herkömmlichen Virenscannern nicht aufgedeckt werden kann – bei anderen Rootkits kann es allerdings (im Gegensatz zu herkömmlichen Viren und Trojanern) sinnvoll sein, diese im aktiven System zu suchen, da ihre charakteristischen Eigenschaften nur dann erkannt werden können.
Die modifizierte Knoppix-Distribution beinhaltet die Linux-Versionen mehrerer Virenscanner und Treiber für alle gängigen Dateisysteme. Damit ist Knoppicillin in der Lage, auch NTFS-Partitionen zu durchsuchen und zu säubern. Eine Aktualisierung der Virensignaturen ist während der laufenden Session automatisch über das Internet oder manuell per Diskette und USB-Stick möglich oder man erstellt sich eine Kopie der CD und integriert dabei gleich aktuelle Virensignaturen.
Wegen der Lizenzen einiger Virenscanner sind die CDs nicht (kosten-)frei erhältlich und nicht komplett downloadbar. Zudem ist bei einigen Virenscannern ein Aktualisieren nur bis zu einem Jahr nach Erscheinen der CD möglich.
Geschichte
Version 3
Das in Ausgabe 20/2004 erschienene Knoppicillin 3 enthält die drei Virenscanner von F-Secure, Sophos und Kaspersky Lab. Für den Zugriff auf NTFS-Partitionen sorgt der proprietäre Treiber von Paragon.
Bei der Produktion der CDs hatte sich ein Fehler eingeschlichen, der erst kurz vor dem Jahreswechsel 2004/2005 festgestellt wurde und dazu führte, dass die Signaturdateien für den Virenscanner von Sophos nicht mehr aktualisiert werden konnten.
Die c't-Redaktion darf zwar wegen der enthaltenen proprietären Software kein komplettes ISO-Abbild von Knoppicillin Version 3.1 im Internet zum Download bereitstellen, hat aber eine Aktualisierung erstellt, welche auch gleich aktualisierte Virensignaturen mit dem Stand von Januar 2005 enthält.
Eine eigene, auf Version 3.1 aktualisierte Knoppicillin-CD kann mittels der Software Jigdo sowie der Original-CD Softwarekollektion 5 hergestellt werden.
Version 4
Dem Heft 23/2005 wurde das aktualisierte Knoppicillin 4 auf CD beigelegt, das die Virenscanner von Kaspersky Lab und Sophos inklusive entsprechender Aktualisierungsberechtigung für ein Jahr enthält. NTFS-Partitionen werden mittels der libntfs-Bibliothek angesprochen; diese ermöglicht zwar noch keinen vollständigen Schreibzugriff, genügt aber zum sicheren Löschen von infizierten Dateien.
Version 5
Mit Heft 21/2006 erschien das aktualisierte Knoppicillin 5, das die Virenscanner von BitDefender Antivirus Scanner, F-Secure Anti-Virus und Sophos SAVScan inklusive entsprechender Aktualisierungsberechtigung für ein Jahr enthält. In der c't spezial „Security“ im März 2007 ist eine aktualisierte Version 5.2 enthalten. Nachdem das Datenformat bei Sophos 2007 geändert wurde, ist dieser Scanner nicht mehr mit aktuellen Signaturen benutzbar.
Version 5.2
Die Version 5.2 erschien mit dem Sonderheft c't special 03/2007, Titel Security.
Version 6
Die Version 6 erschien mit Heft 26/2007, im Dezember 2007. Enthalten sind die Virenscanner von Avira AntiVir und BitDefender mit Aktualisierungsberechtigung für ein Jahr.
Version 7
Version 7 ist mit Ausgabe 26/08 der c't erschienen. Auf x86-Apple-Computern mit mehreren Boot-Partitionen werden nun auch Daten-Partionen im Format HFS plus gemounted und gescannt, sofern man diese nicht explizit im Knoppicillin-Assistenten abwählt. Allerdings berichten einige Benutzer[1], dass die CD auf ihren Rechnern nicht bootet. Dieses Verhalten wird auf eine Inkompatibilität mit dem Award-BIOS zurückgeführt[2] und lässt sich nur durch Ändern des Inhalts der CD umgehen.
Sonstiges
Das Konzept, einen Computer zum Zwecke forensischer Untersuchungen von einem sterilen Medium zu booten, ist nicht neu oder erst mit Knoppicillin eingeführt worden. Früher waren dafür schreibgeschützte Disketten üblich, die aber heutigen Anforderungen in Bezug auf Speicherkapazität und auch Bedienbarkeit nicht mehr gerecht werden.
Wegen der mit auf der CD enthaltenen Scannern verbundenen Lizenzen ist Knoppicillin außerdem an den Erwerb einer Heftausgabe der c't gebunden, während im Laufe der Zeit neben kommerziellen Produkten auch freie entstanden, die diesem Zweck dienen und auf DOS / Windows oder Linux-Derivaten basierenden bootbaren CDs erschienen wie z. B. UBCD oder Helix. Neben anderen forensischen Tools sind oft auch Virenscanner darauf enthalten, die entweder vollständig frei oder zumindest für den nicht kommerziellen Gebrauch frei sind.
Auch auf verschiedenen Versionen der Knoppix-Live-CD/DVD, auf deren Konzept Knoppicillin beruht, waren bisher Virenscanner enthalten, so z. B. f-prot von F-Secure (ursprünglich von FRISK Software International aus Island) oder auch ClamAV.
Einzelnachweise
- ↑ http://www.heise.de/ct/foren/S-Notfall-CD-bootet-nicht/forum-148541/msg-15967751/read/
- ↑ http://www.heise.de/ct/foren/forum-2/msg-15974451/read/
Weblinks
- c't-Artikel „Mit Knoppicillin-5 auf Virenjagd“ (Version 5)
- c't-Downloadseite (FTP)
- "Arbeiten mit Knoppicillin" - Einführung der Landesakademie für Fortbildung und Personalentwicklung an Schulen des Landes Baden-Württemberg
Wikimedia Foundation.