Systemwiederherstellungspunkt im Detail

Hallo,

ich habe mich bewusst für dieses Forum und nicht für das Subforum Datenwiederherstellung entschieden, weil es eine allgemeine Frage ist und trotz Virenbefall kein Datenverlust vorliegt.

Was tut Windows 7 im Detail beim Laden eines Wiederherstellungspunktes?
Die registry und wichtige Systemdateien werden wiederhergestellt, so viel konnte ich herausfinden.

- Eigene Dateien sollen nicht betroffen sein. Damit ist alles im C:\users\benutzer Ordner gemeint?! Gibt es hier Einschränkungen?
- Installierte Programme sollen nicht beeinträchtigt werden, wie geht das, fast alle setzen doch Registry Einträge?!
- Was genau ist mit wichtigen Systemdateien gemeint? Alle Dateien im system32 / syswow 64 oder eine irgendwie festgelegte / ermittelte Liste an Dateien?

Konkreter Grund für meine Frage ist , dass ich nach dem Laden eines Wiederherstellungspunkte (vor dem Virenbefall) zwar ein wesentlich lauffähigeres Betriebssystem vorfinde, der Virus aber trotzdem noch seine Spuren hinterlässt (Dateien auf der Partition sind z.B. immer noch versteckt) Ich hätte eigentlich ein 1:1 Systemabbild erwartet.

Wie könnte ein Schadprogramm soetwas realisieren und wie funktioniert das alles genau? Danke im Vorraus

edit: Es gibt hier ein Schriftartenproblem, da steht d e t a ! l ;p

Die sog. Systemwiederherstellung ist auch unter Windows 7 vollkommen ungeeignet ein durch Malware geschädigtes Betriebssystem zu retten.
Eine komplette Systemsicherung ist nur durch ein Imageprogramm möglich.

Auch wenn es unhöflich erscheinen mag, aber für eine Erklärung was bei der Systemwiederherstellung passiert reicht das Lesen hiervon
http://windows.microsoft.com/de-AT/windows-vista/System-Restore-frequently-asked-questions

Hallo,

1:1 Systemabbild war sehr ungünstig formuliert von mir. Ich hab kein tatsächliches Systemabbild erwartet in dem früher gelöschte Daten plötzlich wieder da sind, sondern eher ein alles was seit Tag X neu dazu kam ist jetzt wieder weg und die dadurch verursachten Änderungen wurden rückgängig gemacht. Ein bisschen so wie die Delta Technologie von VmWare Snapshots, wobei dieser Vergleich hinkt vermutlich noch viel mehr *g*

Jedenfalls danke für den Link. Aber auch wenn es unhöflich erscheint, der einzig ansatzweise relevante Absatz für meine Fragestellungen ist meiner Meinung nach dieser hier:

Mithilfe der Systemwiederherstellung können Sie die Systemdateien des Computers in den Zustand wiederherstellen, den sie zu einem früheren Zeitpunkt hatten. Damit haben Sie die Möglichkeit, Systemänderungen am Computer ohne Auswirkung auf persönliche Dateien, wie z. B. E-Mails, Dokumente oder Fotos, rückgängig zu machen.

Zum Vergrößern anklicken....

Leider wirft das in mir mehr Fragen auf als es Antworten gibt.

Welche Systemdateien?
Was für Systemänderungen? Offensichtlich wird die registry wiederhergestellt. Einzelne Schlüssel oder exakt genau so?
Welche persönlichen Daten? das Benutzerverzeichnis? Sämtliche Email-, Dokument-, Foto- Dateiformate überall auf der Festplatte? (Vermute ich mal)
Wie wird ermittelt was wiederhergestellt wird? Oder ist das statisch?
Lässt sich ein Wiederherstellungspunkt vor dem Laden manipulieren? Auch er muss ja eigentlich irgendwo gespeichert werden.
usw..

Vielleicht bin ja begriffsstutzig, aber mir erschließt sich der technische Vorgang was da genau passiert mit dieser Dokumentation überhaupt nicht.

Dass in meinem wiederhergestellten Win7 die ATI Catalyst Control Center.exe rumzickt kann ich noch nachvollziehen, der Virus könnte benötigte Dateien gelöscht haben und diese wurden natürlich nicht wiederhergestellt, wir reden ja wie du schon einwarfst nicht über eine Imagewiederherstellung.
Aber dass die Dateien, die der Virus versteckt hat (ist die komplette D:\ Partition) immer noch versteckt sind verstehe ich z.B. nicht. Wo speichert Windows diesen Flag? In einem ADS? In der registry?

Ich hoffe du hast keine Hemmungen auf diese Fragen einzugehen, ich habe nicht vor einen Virus zu programmieren, der das Systemwiederherstellungssystem austrickst, du sagst ja selber es eignet sich nicht um einen Virus loszuwerden, es interessiert mich nur was da passiert.

Vermutlich weiß das aber keiner so genau oder?

Unter Windows 7 besitzt die Systemwiederherstellung zum ersten Mal so etwas wie eine Vorschau. Um diese zu nutzen, klicken Sie auf der Dialogseite, welche die Wiederherstellungspunkte auflistet, dort auf die Schaltfläche Nach betroffenen Programmen suchen, nachdem Sie zuvor in der Liste einen Systemwiederherstellungspunkt ausgesucht haben.
Windows 7 teilt Ihnen dann nach kurzer Wartezeit mit, welche Software geändert oder gar entfernt würde, falls Sie eine Systemwiederherstellung mit diesem Wiederherstellungspunkt durchführen

Zum Vergrößern anklicken....

http://www.pc-magazin.de/ratgeber/windows-7-systemwiederherstellung-vorschaufunktion-1035790.html

Aber dass die Dateien, die der Virus versteckt hat (ist die komplette D:\ Partition) immer noch versteckt sind verstehe ich z.B. nicht. Wo speichert Windows diesen Flag? In einem ADS? In der registry?

Zum Vergrößern anklicken....

Ich denke, daß wird in der Partitionstabelle vermerkt. Und das ist eben nicht Windowsebene bzw. erkennt/erfährt es nicht. Ein Partionierungsprogramm sollte damit umgehen können und diese wieder sichtbar machen.

ich würde vorschlagen, daß der TO einen Screenshot von der Datenträgerverwaltung reinstellt.
Das System an sich ist nicht mehr vertrauenswürdig um das deutlich zu machen.
Die Systemwiederherstellung sichert keine persönlichen Daten, nur wichtige Treiber- und Windowssystemdateien.

Hi,

Spitzwegerich schrieb:

Unter Windows 7 besitzt die Systemwiederherstellung zum ersten Mal so etwas wie eine Vorschau. [...]

Zum Vergrößern anklicken....

Zum Vergrößern anklicken....

Danke.
Ich werde mir das noch (genau) anschauen, was ich aus dieser Funktion für Erkenntnisse ziehen kann. Aber ihr kennt das ja. Man hat nie genug Zeit und wenn doch dann gerade keine Lust.

nokiafan schrieb:

Ich denke, [ ...] Partitionstabelle [...]

Zum Vergrößern anklicken....

Auf Wikipedia werden unter dem Stichwort Partitionstabelle verschiedene Kennnummern in der Partitionstabelle erklärt.
Dort steht z.B. dass die Kennzeichnung

0x12
---> OEM-Partition für Konfiguration, Diagnose, BIOS-Erweiterung (für Microsoft-Betriebssysteme unsichtbar)

bedeutet.

Zuerst dachte ich: Cool, das ist die Erklärung dafür. Nach dem zweiten und dritten mal Lesen dieses Satzes fürchte ich aber, dass ich mich schon wieder ungünstig ausgedrückt habe.
Die Partition an sich ist für Windows sichtbar, nur alle Dateien darin sind versteckt. Es muss also einen anderen Weg geben oder?

WinSimba schrieb:

ich würde vorschlagen, daß der TO einen Screenshot von der Datenträgerverwaltung reinstellt.
Das System an sich ist nicht mehr vertrauenswürdig um das deutlich zu machen.
Die Systemwiederherstellung sichert keine persönlichen Daten, nur wichtige Treiber- und Windowssystemdateien.

Zum Vergrößern anklicken....

Hier ist der gewünschter Screenshot:

http://www.bilder-space.de/show_img.php?img=74e245-1332887884.png&size=original

Ich bin deiner Meinung, mein System wurde kompromittiert.
Mich interessiert, wie das passieren konnte. Also die Infektion an sich und die Auswirkungen / Veränderungen des Ladens eines Wiederherstellungspunktes vor dem Zeitpuntk der Infektion.

Angenommen ihr wärt im Besitz des Assemblercode einer Software und hättet herausgefunden es handelt sich um eine Win32 PE programmiert für x86 Systeme, welche allerdings keine .Net Assembly wäre.
Außerdem hättet ihr (zumindest eine Teilmenge) der benutzten Windows Api Funktionen ermitteln können.

Welche (möglichst einfachen) Möglichkeiten gäbe es weitere Details über die Funktionsweise herauszufinden?

Gruß

@elmes,
du siehst auf dem Screenshot hoffentlich was jeder andere auch sieht,
nämlich, daß es zwei Partitionen ohne Laufwerkbezeichnung gibt.
Windows sieht Daten nur bei eindeutiger Bezeichnung der Laufwerke. Deshalb der Tipp von nokiafan.

Zu deinen weiteren Fragen was der Schadcode genau angerichtet hat kann ich nur relativ kurz antworten.
Habe keine Glaskugel, die Auskunft gibt. Wende dich vertrauensvoll an den Programmierer des Schadcodes.
Dir fehlt Zeit und Lust?
Eigenartig, für Assembler-Fragen reicht die Zeit !?
Deine Fragen und im nachhinein auch deine Eingangserklärung hinterlassen bei mir inzwischen ein eigenartiges Gefühl. In einem echten Fall wären mir die verlorenen Daten wichtig und ob diese Daten nach dem Sichtbarmachen noch vertrauenswürdig sind und was ich danach tun müsste und auch warum meine Schutzsoftware diesen Gau nicht verhindert hat.

Wenn ohnehin nichts verloren ging, dann wäre es doch logisch das System neu zu machen, entsprechende Partitionen beim Setup zu erstellen, wozu also diese Fragen?

Hallo WinSimba,

Die beiden Partitionen ohne Laufwerksbezeichnung gehören Linux.

Ich bin einfach ein neugieriger Azubi in der IT Branche und möchte die Zusammenhänge gerne besser verstehen, z.B. auch wie du sagst mein Virenscanner diesen Gau nicht verhindern konnte.

(Wichtige) Daten gingen nicht verloren und Neuinstallation ist auch geplant.

Verstehe aber dass das vielleicht alles etwas komisch wirkt. Ist auch eigentlich egal. Interessant allerdings schon.

@elmes,
meiner Selbsteinschätzung nach gehöre ich zu denjenigen die einfacheren Sachverhalten folgen können.
Was ich hier sagen will, die angeblich versteckte Partition d:\ ist lt Screenshot vorhanden .
Deine Erklärungen und Fragen gehen für mich zu viel in die falsche Richtung.