Knoppicillin

Knoppicillin
Knoppicillin

c't software kollektion 5
Basisdaten
Entwickler c't-Redaktion
Version 6.0.2/Version 7 in Heft 26/08
(2. Februar 2008)
Abstammung \ Linux
  \ Debian GNU/Linux
    \ KNOPPIX
      \ Knoppicillin
Architekturen IA-32
Größe 250 MB
Startmedium Live-CD
Lizenz proprietär
Sonstiges Preis: mit c't (ohne Virenscanner auch kostenlos)
Sprache: Deutsch, uvm.
Website Knoppicillin Download Edition

Knoppicillin ist eine bootfähige Live-CD zur Desinfektion von Rechnersystemen nach einem Virenbefall. Sie wird von der c't-Redaktion herausgegeben und in regelmäßigen Abständen aktualisiert.

Inhaltsverzeichnis

Konzept

Das Konzept, den Virenscanner von einer Boot-CD zu starten, stellt sicher, dass die Betriebssystemumgebung des Scanners nicht verseucht sein kann. Ein Schädling kann so weder den Scanner selbst manipulieren, noch sich mit Funktionalitäten eines Rootkits unsichtbar machen, da sein Programmcode nicht während des Systemstarts von der Festplatte ausgeführt wurde. Ebenso kann er sich beispielsweise nicht in den Arbeitsspeicher kopieren und von dort aus erneut das System infizieren. Außerdem ist es von einer Live-CD auch dann noch möglich, das System zu booten, wenn eine Vireninfektion dies beim normalen Betriebssystem verhindert.

Knoppicillin ist damit ein wirksames Mittel bei einem Befall mit Schädlingen mit Rootkit-Eigenschaften, der mit herkömmlichen Virenscannern nicht aufgedeckt werden kann – bei anderen Rootkits kann es allerdings (im Gegensatz zu herkömmlichen Viren und Trojanern) sinnvoll sein, diese im aktiven System zu suchen, da ihre charakteristischen Eigenschaften nur dann erkannt werden können.

Die modifizierte Knoppix-Distribution beinhaltet die Linux-Versionen mehrerer Virenscanner und Treiber für alle gängigen Dateisysteme. Damit ist Knoppicillin in der Lage, auch NTFS-Partitionen zu durchsuchen und zu säubern. Eine Aktualisierung der Virensignaturen ist während der laufenden Session automatisch über das Internet oder manuell per Diskette und USB-Stick möglich oder man erstellt sich eine Kopie der CD und integriert dabei gleich aktuelle Virensignaturen.

Wegen der Lizenzen einiger Virenscanner sind die CDs nicht (kosten-)frei erhältlich und nicht komplett downloadbar. Zudem ist bei einigen Virenscannern ein Aktualisieren nur bis zu einem Jahr nach Erscheinen der CD möglich.

Geschichte

Version 3

Das in Ausgabe 20/2004 erschienene Knoppicillin 3 enthält die drei Virenscanner von F-Secure, Sophos und Kaspersky Lab. Für den Zugriff auf NTFS-Partitionen sorgt der proprietäre Treiber von Paragon.

Bei der Produktion der CDs hatte sich ein Fehler eingeschlichen, der erst kurz vor dem Jahreswechsel 2004/2005 festgestellt wurde und dazu führte, dass die Signaturdateien für den Virenscanner von Sophos nicht mehr aktualisiert werden konnten.

Die c't-Redaktion darf zwar wegen der enthaltenen proprietären Software kein komplettes ISO-Abbild von Knoppicillin Version 3.1 im Internet zum Download bereitstellen, hat aber eine Aktualisierung erstellt, welche auch gleich aktualisierte Virensignaturen mit dem Stand von Januar 2005 enthält.

Eine eigene, auf Version 3.1 aktualisierte Knoppicillin-CD kann mittels der Software Jigdo sowie der Original-CD Softwarekollektion 5 hergestellt werden.

Version 4

Dem Heft 23/2005 wurde das aktualisierte Knoppicillin 4 auf CD beigelegt, das die Virenscanner von Kaspersky Lab und Sophos inklusive entsprechender Aktualisierungsberechtigung für ein Jahr enthält. NTFS-Partitionen werden mittels der libntfs-Bibliothek angesprochen; diese ermöglicht zwar noch keinen vollständigen Schreibzugriff, genügt aber zum sicheren Löschen von infizierten Dateien.

Version 5

Mit Heft 21/2006 erschien das aktualisierte Knoppicillin 5, das die Virenscanner von BitDefender Antivirus Scanner, F-Secure Anti-Virus und Sophos SAVScan inklusive entsprechender Aktualisierungsberechtigung für ein Jahr enthält. In der c't spezial „Security“ im März 2007 ist eine aktualisierte Version 5.2 enthalten. Nachdem das Datenformat bei Sophos 2007 geändert wurde, ist dieser Scanner nicht mehr mit aktuellen Signaturen benutzbar.

Version 5.2

Die Version 5.2 erschien mit dem Sonderheft c't special 03/2007, Titel Security.

Version 6

Die Version 6 erschien mit Heft 26/2007, im Dezember 2007. Enthalten sind die Virenscanner von Avira AntiVir und BitDefender mit Aktualisierungsberechtigung für ein Jahr.

Version 7

Version 7 ist mit Ausgabe 26/08 der c't erschienen. Auf x86-Apple-Computern mit mehreren Boot-Partitionen werden nun auch Daten-Partionen im Format HFS plus gemounted und gescannt, sofern man diese nicht explizit im Knoppicillin-Assistenten abwählt. Allerdings berichten einige Benutzer[1], dass die CD auf ihren Rechnern nicht bootet. Dieses Verhalten wird auf eine Inkompatibilität mit dem Award-BIOS zurückgeführt[2] und lässt sich nur durch Ändern des Inhalts der CD umgehen.

Sonstiges

Das Konzept, einen Computer zum Zwecke forensischer Untersuchungen von einem sterilen Medium zu booten, ist nicht neu oder erst mit Knoppicillin eingeführt worden. Früher waren dafür schreibgeschützte Disketten üblich, die aber heutigen Anforderungen in Bezug auf Speicherkapazität und auch Bedienbarkeit nicht mehr gerecht werden.

Wegen der mit auf der CD enthaltenen Scannern verbundenen Lizenzen ist Knoppicillin außerdem an den Erwerb einer Heftausgabe der c't gebunden, während im Laufe der Zeit neben kommerziellen Produkten auch freie entstanden, die diesem Zweck dienen und auf DOS / Windows oder Linux-Derivaten basierenden bootbaren CDs erschienen wie z. B. UBCD oder Helix. Neben anderen forensischen Tools sind oft auch Virenscanner darauf enthalten, die entweder vollständig frei oder zumindest für den nicht kommerziellen Gebrauch frei sind.

Auch auf verschiedenen Versionen der Knoppix-Live-CD/DVD, auf deren Konzept Knoppicillin beruht, waren bisher Virenscanner enthalten, so z. B. f-prot von F-Secure (ursprünglich von FRISK Software International aus Island) oder auch ClamAV.

Einzelnachweise

  1. http://www.heise.de/ct/foren/S-Notfall-CD-bootet-nicht/forum-148541/msg-15967751/read/
  2. http://www.heise.de/ct/foren/forum-2/msg-15974451/read/

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Desinfec’t — (vormals Knoppicillin) c’t software kollektion 5 Basisdaten Entwickler …   Deutsch Wikipedia

  • Direktstartsystem — Der Begriff Direktstartsystem oder Live System bezeichnet ein Betriebssystem, das ohne Installation und Beeinflussung des Inhalts einer im System vorhandenen Festplatte gestartet werden kann. Das gesamte Betriebssystem wird hierzu auf einen… …   Deutsch Wikipedia

  • Formatieren — Die Formatierung (von Latein forma, „Form, Gestalt“) bezeichnet in der EDV im Bereich der Datenspeicherung alle diejenigen Prozesse, durch welche ein Speichermedium zur Aufnahme von Daten vorbereitet wird. Man unterscheidet dabei drei Stufen: Low …   Deutsch Wikipedia

  • Games-Knoppix — In diesem Artikel oder Abschnitt fehlen folgende wichtige Informationen: Artikel veraltet. Aktuelle Version 6.1 weicht stark von seinen Vorgängern ab (ressourcenschonenender, kein KDE mehr (CD Fassung), booten in die Konsole, Barrierefreier,… …   Deutsch Wikipedia

  • Gamesknoppix — In diesem Artikel oder Abschnitt fehlen folgende wichtige Informationen: Artikel veraltet. Aktuelle Version 6.1 weicht stark von seinen Vorgängern ab (ressourcenschonenender, kein KDE mehr (CD Fassung), booten in die Konsole, Barrierefreier,… …   Deutsch Wikipedia

  • Gnoppix — In diesem Artikel oder Abschnitt fehlen folgende wichtige Informationen: Artikel veraltet. Aktuelle Version 6.1 weicht stark von seinen Vorgängern ab (ressourcenschonenender, kein KDE mehr (CD Fassung), booten in die Konsole, Barrierefreier,… …   Deutsch Wikipedia

  • High-Level-Formatierung — Die Formatierung (von Latein forma, „Form, Gestalt“) bezeichnet in der EDV im Bereich der Datenspeicherung alle diejenigen Prozesse, durch welche ein Speichermedium zur Aufnahme von Daten vorbereitet wird. Man unterscheidet dabei drei Stufen: Low …   Deutsch Wikipedia

  • High Level Format — Die Formatierung (von Latein forma, „Form, Gestalt“) bezeichnet in der EDV im Bereich der Datenspeicherung alle diejenigen Prozesse, durch welche ein Speichermedium zur Aufnahme von Daten vorbereitet wird. Man unterscheidet dabei drei Stufen: Low …   Deutsch Wikipedia

  • KNOPPIX — In diesem Artikel oder Abschnitt fehlen folgende wichtige Informationen: Artikel veraltet. Aktuelle Version 6.1 weicht stark von seinen Vorgängern ab (ressourcenschonenender, kein KDE mehr (CD Fassung), booten in die Konsole, Barrierefreier,… …   Deutsch Wikipedia

  • Knoppix STD — In diesem Artikel oder Abschnitt fehlen folgende wichtige Informationen: Artikel veraltet. Aktuelle Version 6.1 weicht stark von seinen Vorgängern ab (ressourcenschonenender, kein KDE mehr (CD Fassung), booten in die Konsole, Barrierefreier,… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”