Systemwiederherstellungspunkt im Detail

Dieses Thema Systemwiederherstellungspunkt im Detail im Forum "Windows 7 Forum" wurde erstellt von elmes, 22. März 2012.

Thema: Systemwiederherstellungspunkt im Detail Hallo, ich habe mich bewusst für dieses Forum und nicht für das Subforum Datenwiederherstellung entschieden, weil...

  1. Hallo,

    ich habe mich bewusst für dieses Forum und nicht für das Subforum Datenwiederherstellung entschieden, weil es eine allgemeine Frage ist und trotz Virenbefall kein Datenverlust vorliegt.

    Was tut Windows 7 im Detail beim Laden eines Wiederherstellungspunktes?
    Die registry und wichtige Systemdateien werden wiederhergestellt, so viel konnte ich herausfinden.

    - Eigene Dateien sollen nicht betroffen sein. Damit ist alles im C:\users\benutzer Ordner gemeint?! Gibt es hier Einschränkungen?
    - Installierte Programme sollen nicht beeinträchtigt werden, wie geht das, fast alle setzen doch Registry Einträge?!
    - Was genau ist mit wichtigen Systemdateien gemeint? Alle Dateien im system32 / syswow 64 oder eine irgendwie festgelegte / ermittelte Liste an Dateien?

    Konkreter Grund für meine Frage ist , dass ich nach dem Laden eines Wiederherstellungspunkte (vor dem Virenbefall) zwar ein wesentlich lauffähigeres Betriebssystem vorfinde, der Virus aber trotzdem noch seine Spuren hinterlässt (Dateien auf der Partition sind z.B. immer noch versteckt) Ich hätte eigentlich ein 1:1 Systemabbild erwartet.

    Wie könnte ein Schadprogramm soetwas realisieren und wie funktioniert das alles genau? Danke im Vorraus :)

    edit: Es gibt hier ein Schriftartenproblem, da steht d e t a ! l ;p
     
  2. Die sog. Systemwiederherstellung ist auch unter Windows 7 vollkommen ungeeignet ein durch Malware geschädigtes Betriebssystem zu retten.
    Eine komplette Systemsicherung ist nur durch ein Imageprogramm möglich.

    Auch wenn es unhöflich erscheinen mag, aber für eine Erklärung was bei der Systemwiederherstellung passiert reicht das Lesen hiervon
    http://windows.microsoft.com/de-AT/windows-vista/System-Restore-frequently-asked-questions
     
  3. Hallo,

    1:1 Systemabbild war sehr ungünstig formuliert von mir. Ich hab kein tatsächliches Systemabbild erwartet in dem früher gelöschte Daten plötzlich wieder da sind, sondern eher ein alles was seit Tag X neu dazu kam ist jetzt wieder weg und die dadurch verursachten Änderungen wurden rückgängig gemacht. Ein bisschen so wie die Delta Technologie von VmWare Snapshots, wobei dieser Vergleich hinkt vermutlich noch viel mehr *g*

    Jedenfalls danke für den Link. Aber auch wenn es unhöflich erscheint, der einzig ansatzweise relevante Absatz für meine Fragestellungen ist meiner Meinung nach dieser hier:

    Leider wirft das in mir mehr Fragen auf als es Antworten gibt.

    Welche Systemdateien?
    Was für Systemänderungen? Offensichtlich wird die registry wiederhergestellt. Einzelne Schlüssel oder exakt genau so?
    Welche persönlichen Daten? das Benutzerverzeichnis? Sämtliche Email-, Dokument-, Foto- Dateiformate überall auf der Festplatte? (Vermute ich mal)
    Wie wird ermittelt was wiederhergestellt wird? Oder ist das statisch?
    Lässt sich ein Wiederherstellungspunkt vor dem Laden manipulieren? Auch er muss ja eigentlich irgendwo gespeichert werden.
    usw..

    Vielleicht bin ja begriffsstutzig, aber mir erschließt sich der technische Vorgang was da genau passiert mit dieser Dokumentation überhaupt nicht.

    Dass in meinem wiederhergestellten Win7 die ATI Catalyst Control Center.exe rumzickt kann ich noch nachvollziehen, der Virus könnte benötigte Dateien gelöscht haben und diese wurden natürlich nicht wiederhergestellt, wir reden ja wie du schon einwarfst nicht über eine Imagewiederherstellung.
    Aber dass die Dateien, die der Virus versteckt hat (ist die komplette D:\ Partition) immer noch versteckt sind verstehe ich z.B. nicht. Wo speichert Windows diesen Flag? In einem ADS? In der registry?

    Ich hoffe du hast keine Hemmungen auf diese Fragen einzugehen, ich habe nicht vor einen Virus zu programmieren, der das Systemwiederherstellungssystem austrickst, du sagst ja selber es eignet sich nicht um einen Virus loszuwerden, es interessiert mich nur was da passiert.

    Vermutlich weiß das aber keiner so genau oder?
     
  4. http://www.pc-magazin.de/ratgeber/windows-7-systemwiederherstellung-vorschaufunktion-1035790.html
     
  5. Ich denke, daß wird in der Partitionstabelle vermerkt. Und das ist eben nicht Windowsebene bzw. erkennt/erfährt es nicht. Ein Partionierungsprogramm sollte damit umgehen können und diese wieder sichtbar machen.
     
  6. ich würde vorschlagen, daß der TO einen Screenshot von der Datenträgerverwaltung reinstellt.
    Das System an sich ist nicht mehr vertrauenswürdig um das deutlich zu machen.
    Die Systemwiederherstellung sichert keine persönlichen Daten, nur wichtige Treiber- und Windowssystemdateien.
     
  7. Hi,

    Danke.
    Ich werde mir das noch (genau) anschauen, was ich aus dieser Funktion für Erkenntnisse ziehen kann. Aber ihr kennt das ja. Man hat nie genug Zeit und wenn doch dann gerade keine Lust.

    Auf Wikipedia werden unter dem Stichwort Partitionstabelle verschiedene Kennnummern in der Partitionstabelle erklärt.
    Dort steht z.B. dass die Kennzeichnung

    0x12
    ---> OEM-Partition für Konfiguration, Diagnose, BIOS-Erweiterung (für Microsoft-Betriebssysteme unsichtbar)

    bedeutet.

    Zuerst dachte ich: Cool, das ist die Erklärung dafür. Nach dem zweiten und dritten mal Lesen dieses Satzes fürchte ich aber, dass ich mich schon wieder ungünstig ausgedrückt habe.
    Die Partition an sich ist für Windows sichtbar, nur alle Dateien darin sind versteckt. Es muss also einen anderen Weg geben oder?

    Hier ist der gewünschter Screenshot:

    http://www.bilder-space.de/show_img.php?img=74e245-1332887884.png&size=original

    Ich bin deiner Meinung, mein System wurde kompromittiert.
    Mich interessiert, wie das passieren konnte. Also die Infektion an sich und die Auswirkungen / Veränderungen des Ladens eines Wiederherstellungspunktes vor dem Zeitpuntk der Infektion.

    Angenommen ihr wärt im Besitz des Assemblercode einer Software und hättet herausgefunden es handelt sich um eine Win32 PE programmiert für x86 Systeme, welche allerdings keine .Net Assembly wäre.
    Außerdem hättet ihr (zumindest eine Teilmenge) der benutzten Windows Api Funktionen ermitteln können.

    Welche (möglichst einfachen) Möglichkeiten gäbe es weitere Details über die Funktionsweise herauszufinden?

    Gruß
     
  8. @elmes,
    du siehst auf dem Screenshot hoffentlich was jeder andere auch sieht,
    nämlich, daß es zwei Partitionen ohne Laufwerkbezeichnung gibt.
    Windows sieht Daten nur bei eindeutiger Bezeichnung der Laufwerke. Deshalb der Tipp von nokiafan.

    Zu deinen weiteren Fragen was der Schadcode genau angerichtet hat kann ich nur relativ kurz antworten.
    Habe keine Glaskugel, die Auskunft gibt. Wende dich vertrauensvoll an den Programmierer des Schadcodes.
    Dir fehlt Zeit und Lust?
    Eigenartig, für Assembler-Fragen reicht die Zeit !?
    Deine Fragen und im nachhinein auch deine Eingangserklärung hinterlassen bei mir inzwischen ein eigenartiges Gefühl. In einem echten Fall wären mir die verlorenen Daten wichtig und ob diese Daten nach dem Sichtbarmachen noch vertrauenswürdig sind und was ich danach tun müsste und auch warum meine Schutzsoftware diesen Gau nicht verhindert hat.

    Wenn ohnehin nichts verloren ging, dann wäre es doch logisch das System neu zu machen, entsprechende Partitionen beim Setup zu erstellen, wozu also diese Fragen?
     
  9. Hallo WinSimba,

    Die beiden Partitionen ohne Laufwerksbezeichnung gehören Linux.

    Ich bin einfach ein neugieriger Azubi in der IT Branche und möchte die Zusammenhänge gerne besser verstehen, z.B. auch wie du sagst mein Virenscanner diesen Gau nicht verhindern konnte.

    (Wichtige) Daten gingen nicht verloren und Neuinstallation ist auch geplant.

    Verstehe aber dass das vielleicht alles etwas komisch wirkt. Ist auch eigentlich egal. Interessant allerdings schon. :)
     
  10. @elmes,
    meiner Selbsteinschätzung nach gehöre ich zu denjenigen die einfacheren Sachverhalten folgen können.
    Was ich hier sagen will, die angeblich versteckte Partition d:\ ist lt Screenshot vorhanden .
    Deine Erklärungen und Fragen gehen für mich zu viel in die falsche Richtung.
     
Die Seite wird geladen...

Systemwiederherstellungspunkt im Detail - Ähnliche Themen

Forum Datum
Systemwiederherstellungspunkte können nicht mehr erstellt werden Windows 7 Forum 6. Nov. 2014
Systemwiederherstellungspunkt Windows XP Forum 11. Sep. 2009
Systemwiederherstellungspunkt Windows 7 Forum 2. Feb. 2009
Systemwiederherstellungspunkt erstellen Windows XP Forum 21. Feb. 2013
Systemwiederherstellungspunkt setzen Windows XP Forum 5. Nov. 2009