Analysen im Bereich Software


Windows

Windows-Version

Konfiguration

Installierte Komponenten

Sicherheit

 

Sonstige

Installierte Anwendungen

Internet Explorer

Mozilla Firefox

Netzwerk

 

 

Windows Version

 

Allgemeines

Enthält die Kerninformationen zu der installierten Windowsversion. Beachten Sie, daß diese Seite sensible Daten, wie Seriennummer und Key Ihrer Windows-Version, enthält.  

 

Background

Windows wurde Ende der 80-er Jahre als grafische Benutzeroberfläche für das Betriebssystem MS DOS eingeführt. Vereinheitlichung der Benutzerschnittstellen in Programmen (Fenstertechnik, GUI - Graphical User Interface), Multitasking (mehrere Programme bzw. Systemaufgaben können "gleichzeitig" ausgeführt werden), Datenaustausch via Zwischenablage und Netzwerksupport waren die Hauptvorteile gegenüber MS DOS. Großen Markteinfluss erreichten bereits Windows 3.x bzw. Windows for Workgroups und NT 4. Letztere Version - ein eigenständiges Betriebssystem ohne MS-DOS-Unterbau - richtete sich mit erweitertem Netzwerksupport und höheren Sicherheitsstandards (Zugriffsrechte, NTFS-Dateisystem) an professionelle Anwender.

Windows 95 als das erste eigenständige 32-Bit-Windows-Betriebssystem für den Heimanwender, (das kein vorinstalliertes MS DOS benötigte, aber immer noch weitgehend auf MS DOS basiert), führte die bis heute im Grunde gültige Bedieneroberfläche (Desktop) ein. Entscheidende technische Fortschritte waren die Plug&Play-Fähigkeit (automatische Erkennung der Hardware), das Power Management und der verbesserte Multimediasupport (Spiele) mit der Schnittstelle DirectX. Revolutionäre Neuerung "unter der Oberfläche" war die neue Speicherverwaltung, die jeder Anwendung einen eigenen, 2 GB großen Adressraum zur Verfügung stellte. Dies war die Grundlage für große, komfortable Anwendungen, der Softwareentwickler wurde befreit von den Fesseln des Datensegments.

 

Spätere Service-Packs für Windows 95, in befriedigender Vollständigkeit aber erst der Nachfolger Windows 98 (und Windows 98 Second Edition - dieses v.a. eine fehlerbereinigte Version), etablierten weiteren technischen Support: USB, DVD, AGP, FireWire, Dual-Monitor-Betrieb und ACPI (Power Management), teilweise aber erst rudimentär. Die Internetanbindung wurde durch automatische Installation des Internet Explorers wesentlich erleichtert, das FAT-32-Dateisystem erlaubte die Nutzung von großen Festplatten. 

Windows Me (Millennium Edition) glänzte durch sein modernisiertes Look & Feel (hochauflösende Desktopsymbole, Animationseffekte), durch eingebauten Support für Scanner und Kameras) und einige Systemdienste wie Systemwiederherstellung und automatische Kompression von Verzeichnissen.

Etwa parallel zu Windows Me erschien für den professionellen Einsatz Windows 2000 als Nachfolger von NT 4, das durch insgesamt sechs Service Packs seinerseits laufend aktualisiert und verbessert worden war. Es vereinigt die Oberflächenneuerungen von Me mit dem höheren Sicherheitsstandard und Netzwerksupport von NT. Das Dateisystem NTFS5 erlaubt Verschlüsselung, der verbesserte ACPI-Support erlaubt das Interrupt-Sharing, so daß zum ersten mal Ressourcen-Doppelbelegung (z.B. 2 Erweiterungskarten belegen den selben Interrupt) nicht zu Konflikten führen musste.

 

Windows XP (Experience) ist nach MS DOS, Windows 3.1 und Windows 95 als der vierte Meilenstein in der Microsoft-Produktgeschichte zu bezeichnen. Betriebssystemtechnisch basiert es auf NT (New Technolgy), der MS-DOS-Unterbau ist komplett beseitigt worden. Gleichzeitig wurde der bessere Multimedia- und Spiele-Support der 9x/Me-Produktlinie gegenüber NT/2000 in XP integriert. Viele grundlegende Technologien wie ACPI, AGP oder USB sind jetzt ausgereift und die Systemstabilität verbessert.

 

Auch das Look & Feel wurde stark erneuert durch High-Resolution-Symbole und sogenannte Themes (Themen, Oberflächenschalen), verschiedenen Designs der Oberflächendarstellung, des Aussehens von Kontrollelementen etc.

  

Verumständlicht wurde lediglich die Installation durch die erforderliche Produktaktivierung, insbesondere dadurch, daß diese bei jeder erheblichen Hardwareveränderung des Systems (Einbau einer neuen Grafikkarte oder Festplatte) wiederholt werden muß.

Anwender mit älteren Systemen erhalten unter XP einen reduzierten Support, insbesondere für ISA-Erweiterungskarten. Denn einer der Leitsätze von XP lautet Legacy-free (legacy=Vermächtnis) und bezieht sich v.a. auf die ISA-Busarchitektur.

 

Windows XP und seine Nachfolger Vista, Windows 7 und Windows 8 sind also die geeigneten Betriebssysteme für modern ausgestattete PC´s mit genügend Ressourcen (Speicher, Festplatte, Prozessorleistung, Grafikkarte) für Anwender, die moderne Softwareprodukte nutzen wollen oder die heutigen multimedialen Möglichkeiten (Videoschnitt, DVD) ausschöpfen wollen.

Für 64-Bit-Systeme bietet Microsoft Windows XP x64 (und analoge Nachfolgeversionen) an - Design und Funktionalität entsprechen der 32-Bit-Version, der Support für ältere Hardware wurde weiter reduziert. 32-Bit-Anwendungen laufen weiterhin ab, jedoch ohne Geschwindigkeitsvorteil. 64-Bit-Anwendungen profitieren vom erheblich erweiterten Adressraum und bieten gesteigerte Ausführungsperformance.

 

Wie schon bei den vorherigen Windows-Versionen ist das regelmäßige Updaten auf die neuesten Service- und Sicherheits-Packs sehr zu empfehlen. Diese beheben Fehler und aktualisieren den Hardwaresupport, insbesondere aber stopfen sie Sicherheitslöcher im System, immer wieder v.a. im Internet Explorer, sind doch die schlimmsten Feinde der heutigen Computernutzung nicht mehr Ressourcenkonflikte, mangelhafte gegenseitige Abschottung von Anwendungen und fehlender Hardware-/Treibersupport, sondern Angriffe von außen mit Viren und trojanischen Pferden. Und leider hat Microsoft lange Zeit zu wenig Wert auf Sicherheitsmaßnahmen gegen solche Attacken gelegt. 

 

Informationsfelder

 

Bereich Versionsinfo

Produkt: Die Windows-Version wird - unabhängig von Produktstrings der Registry - über die Versionsnnummer ermittelt.

Version/installiert: Angabe der Haupt- und Neben-Versionsnummer und des installierten Service Packs sowie des Installationsdatums dieser Windows-Version auf Ihrem System.

MS Produktname: Die Registry enthält produkt-, versionsnummer- und service-pack-bezogene Einträge, die von Microsoft bei der Installation vorgenommen und bei Updates aktualisiert werden. Angegeben wird ggf. auch die sogenannte BuildLab, die die Installation auch von kleineren Service-Pack-Upgrades ausweist (z.B.: Build 2600.xpsp1.020828-1920).

Serien-Nr./Key: Angabe der Produktseriennummer und des Produkt-Keys, den der Anwender während der Installation als Nachweis seiner Lizenzberechtigung eingeben muß.

PC aktiv seit: Gibt an, wie lange Ihr PC bereits in Betrieb ist.

Automatische Updates: Gibt die Konfiguration der Auto-Update-Funktion wieder, sofern ermittelbar.

DirectX: Installierte DirectX-Version

OpenGL: Installierte OpenGL-Version

 

Bereich Benutzer

Benutzer: Der von Ihnen während der Windows-Installation selbst vergebene Benutzername.

Organisation: Der von Ihnen während der Windows-Installation selbst vergebene Name Ihrer Organisation (Firma).

 

 

 

Konfiguration

 

Allgemeines

 

Enthält umfassende Angaben zu allen Aspekten der Windows-Konfiguration:

 

 

Installierte Komponenten

 

Allgemeines

Auflistung aller vom Betriebssystem verwalteten und im Gerätemanager aufgeführten Geräte. Angegeben wird im Fenster unterhalb der Listbox der Registry-Pfad, unter dem das Gerät verzeichnet ist, und unter dem ggf. zahlreiche weitere, gerätespezifische Informationen verzeichnet sein können. 

Sämtliche Daten werden aus der Registry gewonnen.

 

Informationsfelder

 

Die obige Tabelle enthält die verschiedenen Geräteklassen. Die meisten Bezeichnungen sind weitgehend selbsterklärend. 

Nur die Bedeutung der folgenden häufig vorkommenden Klassen sei kurz erläutert:

fdc=Floppy Disk Controller

hdc=Hard Disk Controller

Legacy Driver=Gerätetreiber. Diese befinden sich im Windows-Systemordner, Unterordner \Drivers

 

Die Tabelle unten enthält die Mitglieder der jeweiligen Klasse, ergänzt um weitere Detailinformationen:

Hersteller  

Port: Anschluss-Schnittstelle (falls verfügbar)

Bezeichnung: Der eindeutige Gerätename unter Windows, über den der Port angesprochen wird.

Hardware-ID: Windows verwaltet alle angeschlossenen Geräte in der Registry. Hier wird der Registry-Pfad zu der Schnittstelle angegeben. Der Pfad wird verkürzt dargestellt. Beispiel: ACPI\PNP051; der volle Pfad lautet z.B. bei Windows XP: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI\PNP0501.

Treiberinfo: enthält einen Registry-Pfad, der treiberbeschreibende Informationen enthält.

Sicherheit

 

Allgemeines

 

Die von Schadsoftware ausgehenden möglichen Gefahren werden noch immer von den meisten Anwendern unterschätzt.

 

Zwar zeigt schon ein einfaches Experiment, welche Risiken mit einem schlecht geschützten System verbunden sind. Etabliert man eine Internet-Verbindung ohne Firewall und weitere Sicherungen, ist der Rechner innerhalb von Minuten Zielscheibe von systematischen Portscans, von Viren- und Trojanerattacken. Sensible Daten werden gestohlen, Keylogger werden heimlich installiert oder Screenshots Ihres Systems angefertigt, ohne daß Sie etwas davon merken würden.

 

Die trotzdem zu beobachtende Sorglosigkeit vieler Computer-Nutzer hängt vor allem mit drei fatalen Irrtümern zusammen.

Der erste Irrtum besteht darin anzunehmen, daß man schon deshalb sicher vor Attacken ist, weil man als unbescholtener Privatmensch erst gar nicht Zielscheibe von Angreifern werden kann.

Das ist falsch, denn die meisten Angriffe erfolgen ziellos, indem die Attacke an tausenden hypothetischer IP-Adressen nacheinander einfach ausprobiert wird, oder aber in Form von existentem Schadcode auf denjenigen wartet, der sie zufällig ausführt, wie etwa eine virenverseuchte Datei auf einer Webseite.

Der zweite Irrtum ist anzunehmen, daß ein Virenbefall dann nicht weiter dramatisch ist, wenn man auf seinem Rechner keine Passwörter oder wichtige persönliche Daten gespeichert hat, kein Online-Banking macht, daß also kurz gesagt, auf dem Rechner nichts zu holen ist. Jedoch könnte ein Angreifer illegale Dateien auf Ihr System einschleusen oder über Ihren Account unbemerkt massenweise Spam-Mails verschicken. Dadurch könnte der Betroffene in peinliche Schwierigkeiten verwickelt werden.

Eine dritte Fehleinschätzung basiert auf der Annahme, daß man dann vollkommen geschützt ist, wenn man irgendeinen Virenscanner installiert hat, die Firewall eingeschaltet ist und man weder illegale Webseiten besucht noch dubiose Software installiert.

Unabhängige Tests aber zeigen, daß kein Virenscanner wirklich alle Viren erkennt, und seit es fast keine kommerzielle Webseite ohne Fremdcontent mehr gibt, kann man sich auch auf seriösen Webseiten z.B. durch Anklicken einer Werbung oder eines eingebetteten Inhalts mit etwas Pech eine Schadsoftware einfangen.

Nicht ernst genug genommen wird häufig auch die Bedeutung der Aktualität von Virenscannern oder Anwendungen mit Online-Funktion. Man neigt dazu anzunehmen, daß es da auf ein paar Stunden und Tage nicht ankommt.

Gerade diesen zeitlichen Rückschritt versuchen Hacker aber sehr wohl auszunutzen.

 

Heute ist die Situation so, daß selbst Spezialisten nicht mehr hundertprozentig sicher sein können, daß ihr System schadcodefrei ist, da moderne Malware extrem leistungsfähig ist und sich perfekt verstecken kann!

 

Zur Malware gehören hauptsächlich Viren, Würmer, Trojaner und Rootkits, wobei die Übergänge zwischen den Gattungen fließend sind. Alle Typen können ein mehr oder weniger ähnlich großes Schadenspotential besitzen, und nur die Art der Verbreitung (Viren und Würmer verbreiten sich selbst, Trojaner nicht) und einige typologische Merkmale (Viren benötigen ein Wirtsprogramm, Trojaner und Rootkits sind autarke Anwendungen) bedingen den Unterschied.

Des weiteren erfolgt eine Unterteilung in Unterarten, die sich auf den Ort des Auftretens oder bestimmte technische Merkmale beziehen. So gibt es Bootsektorviren (die geschützte Bereiche der Festplatten befallen), Makroviren (die als Skripte Office-Anwendungen angreifen), polymorphe und Stealthviren (die über ausgefeilte Methoden zur Vermeidung der Entdeckung verfügen). Würmer sind eine aggressive Spezies der Viren, die sich aktiv über Mailanhänge verbreitet).

Trojaner und Rootkits (letztere erlangen - wie der Root in Unix - Administratorrechte) zeichnen sich v.a. dadurch aus, daß sie Hintertüren im System öffnen, durch die der Rechner von einem Server aus ferngesteuert werden kann (Backdoor-Trojaner). Die Fernsteuerung umfasst das Aufzeichnen von Tastenanschlägen, Anfertigen von Screenshots, Kopieren und Löschen von Dateien, das Einschleusen und Ausführen weiterer Schadprogramme, die Kontrolle über die Webcam u.a.m. Dies kann vom Anwender lange Zeit unerkannt bleiben und es gibt Fälle, in denen selbst Spezialisten Opfer solcher Trojaner wurden.

 

Die initialen Angriffsszenarien und -methoden werden wiederum unterteilt und umfassen Techniken wie das Phishing (Bankbetrug - Anwender wird auf täuschend echt nachgeahmte Seite gelockt, um dort geheime Daten, v.a. Passwörter, preiszugeben), Drive-by Downloads (über Manipulationen an seriösen Webseiten wird beim Aufrufen der Seite Schadcode automatisch auf das eigene System geladen), Exploits (Ausnutzen von Sicherheitslücken), Zero Day Exploits (Ausnutzung von Sicherheitslücken, bevor ein Patch bereitgestellt wird), (Distributed) Denial of Service (Überlastung von Servern durch massives Auftreten von zeitgleichen, automatisierten Anfragen an den Host, was auf kriminellem Wege dadurch möglich wird, daß per Wurmbefall eine große Anzahl von Rechnern zu einem sogenannten Botnetz zusammengeschlossen wird), Browser-Hijacking (Umleitung von Seitenaufrufen auf die von der Schadsoftware definierten Seiten), Man-in-the-Middle-Attacken (Angreifer steht zwischen zwei Kommunikationspartnern und gibt sich beiden gegenüber als der jeweils rechtmäßige aus), Wardriving (Aufspüren von Funknetzwerken durch systematisches Absuchen vor Ort, in Straßen, an Plätzen etc.), Buffer Overrun Attacken (Ausnutzen von speicherbezogenen Softwarefehlern - Pufferüberläufen - beispielsweise von Client-Server-Anwendungen, wodurch sich Fremdcode auf dem angegriffenen System ausführen lässt).

 

Die von Dr. Hardware gebotene Analyse beschränkt sich auf Abfrage sicherheitsrelevanter Systemparameter sowie das Protokollieren wichtiger Systemereignisse und Änderungen der Softwarekonfiguration.

Es werden dagegen keine Routinen bereitgestellt, mit denen Schadsoftware selbst identifiziert werden kann.

 

 

Informationsbereiche

 

Sicherheitsaspekte

Es wird versucht zu ermitteln, ob grundlegende Voraussetzungen für die Sicherheit des Systems erfüllt sind. Dazu gehören:

- Ist das Betriebssystem aktuell (Auflistung aller installierten Service Packs und Sicherheitsupdates!)?

- Ist die automatische-Update-Funktion von Windows aktiviert?

- Ist die Windows-Firewall aktiviert?

- Kann ein aktiver (d.h. tatsächlich gestarteter) Virenscanner gefunden werden?

- Sind als bekannt sicherheitsproblematisch einzustufende Windows-Dienste abgeschaltet (relevant v.a. für Windows XP)?

- Ist der Windows Explorer (nicht Internet Explorer!) so konfiguriert, daß bekannte Dateiendungen eingeblendet werden? Per Voreinstellung werden sie ausgeblendet, was insofern riskant ist, da Schadsoftware genau das zu Täuschungszwecken mißbrauchen kann, indem etwa eine Date namens <dateiname.jpg.exe> eingeschleust wird, die der Explorer als <dateiname.jpg> anzeigen würde. Der Anwender klickt auf diese Datei in der Erwartung, ein Bild zu öffnen - in Wirklichkeit wird eine Anwendung gestartet!

- Konfiguration der Windows Autorun-Funktion: auf neueren Windows-Versionen werden etwaige, per autorun.inf automatisch zu startende Anweisungen und Dateien auf Wechseldatenträgern, erst auf Nachfrage gestartet. Sicherer ist das rigorose Abschalten sämtlicher Autorun-Funktionen.

- Welche Internet-Browser laufen?

- Über welchen Kontotyp verfügt der Benutzer

 

Da bei jeder Art von Sicherheitssoftware die Aktualität eine entscheidende Rolle spielt,  finden Sie in Zusatzfeldern u.a. die Angabe des Dateidatums und die Version - ferner den Programmpfad (soweit ermittelbar). 

Des weiteren werden einige - nicht alle - aufgelisteten Punkte bewertet, etwa ob ein potentielles Sicherheitsrisiko besteht und wie hoch es ist.

Im Detailfeld stehen ausführliche Zusatzinformationen wie Versionsinformationen, die direkt aus der Programmdatei ausgelesen wurden.

 

Dr. Hardware kann nur eine Teilmenge der Sicherheitsaspekte analysieren. Ebenso wichtig ist, daß der Anwender selbst eine Reihe weiterer Punkte beachtet.

Hier eine Checkliste, die nicht den Anspruch auf Vollständigkeit erhebt:

- Betriebssystem, Browser, Plugins, Mail-Clients, Antivirenscanner, PDF-Reader und Flash-Programme stets auf dem neuesten Stand halten

- neueste Firmware von DSL-Routern installieren

- Sichere Internet-/Browsereinstellungen (besonders effizient sind Plugins, die sämtliche Skripte blockieren und sie erst durch aktive Nutzerbestätigung erlaubt)

- Passwörter (z.B. Online-Banking) nicht auf dem eigenen System speichern

- Sichere Passwörter verwenden (d.h. solche, die ausreichend lang sind, aus Buchstaben, Sonderzeichen und Ziffern bestehen, in zufälliger, sinn-loser Anordnung) und regelmässig erneuern

- Benutzerprofil mit eingschränkten Rechten für die Internetnutzung anlegen

- Internetverbindungen als "Öffentliche Netzwerke" unter Windows deklarieren, Drucker- und Dateifreigabe deaktivieren

- mit Mails vorsichtig umgehen - Anhänge nicht unbedacht öffnen, Links nicht sorglos anklicken (alleine das Öffnen von E-Mails mit entsprechenden Skripten kann Schadcode freisetzen)

- Die Nutzung von Windows XP ist inzwischen hochriskant, da im April 2014 der Support durch Microsoft eingestellt wurde. XP-Rechner können nicht mehr ausreichend abgesichert werden wegen systemimmanenter Schwachstellen!

 

Der besondere Tip!

Einiges Kopfzerbrechen kann dem Anwender die Aufgabe bereiten, ein frischinstalliertes System abzusichern. Die von DVD installierte Windows-Version ist sicherheitstechnisch naturgemäß bereits veraltet. Um sie upzudaten und einen aktuellen Virenscanner aufzuspielen, muß eine Verbindung zum Internet hergestellt werden. Diese vielleicht nur kurzzeitige und einmalige Internetverbindung erfolgt nun aber eben mit einem noch völlig inadäquat geschützen System.

Wer auf einen von Heft-DVD oder über sein vorheriges System beschafften Virenscanner und aktuellen Lieblingsbrowser zurückgreifen kann, hat gut vorgesogt.

Andernfalls muß man via vorinstalliertem Browser gezielt auf einer vertrauenswürdigen Seite einen solchen Virenscanner besorgen und im übrigen tunlichst abwarten, bis Windows alle Updates heruntergeladen und installiert hat.

Leider erfolgt dieser Updateprozess u.U. in mehreren Schritten, und es ist stets anzuraten, unter Systemsteuerung/Windows Update auch selbst aktiv nach neuen Updates zu suchen.

Vorher hatte man sein System über die Windows-Systemeinstellungen bereits so sicher wie möglich konfiguriert, um sie wie eine Festung abzuschotten.

Erst nachdem diese Vorbereitungsphase durchlaufen wurde, wage man, andere Webseiten aufzurufen, Anwendungen zu installieren oder E-Mails zu empfangen.

 

All die vorstehend genannten Schritte sollte man im übrigen keinesfalls über das Administratoren-Konto ausführen. Legen Sie am besten gleich nach erfolgter Windows-Installation über Systemsteuerung/Benutzerkonten ein neues Konto mit eingeschränkten Rechten an. Im Regelfall sollten Sie sich künftig ausnahmslos über dieses Konto anmelden, das nicht nur Ihre, sondern auch die Rechte eines potentiellen Angreifers einschränkt.

Einziger Nachteil eines solchen beschränkten Nutzerkontos ist, daß man häufiger passwortgeschützte Sicherheitsabfragen beantworten muss.

 

Windows-Updates

Listet alle durchgeführten internen Windows-Updates auf. Dazu gehören Service-Packs, Sicherheitsupdates sowie die regelmässigen Updates für den Windows Defender. 

Die jeweils erforderlichen Updates werden über die Automatische-Update-Funktion von Windows selbsttätig ermittelt, vorausgesetzt man hat diese Funktion nicht abgeschaltet. Eine aktive Online-Verbindung ist dafür natürlich ebenfalls erforderlich. 

Mancher konfiguriert den Update-Service auf manuelle Arbeitsweise um, so daß er nur Benachrichtigungen über neue Updates erhält, ihren Installationszeitpunkt jedoch selbst bestimmen kann. Nur Experten kann diese Vorgehensweise empfohlen werden.

 

Beachtung schenken sollte man der Spalte <Status>. Nur unzulänglich wird man von Windows informiert, wenn die Installation eines Update fehlgeschlagen ist. Das passiert oft genug, und solche Updates werden folglich erst später, vielleicht erst Tage danach erfolgreich nachinstalliert werden können.

 

Autostart

Dr. Hardware versucht, alle beim Windows-Start automatisch ausgeführten Dateien aufzulisten. Die entsprechenden Anweisungen befinden sich in einer Vielzahl von Registry-Einträgen, deren gebräuchlichste die \Run und \RunOnce Registryschlüssel sind. Schadsoftware verwendet jedoch häufig auch weitere, kaum bekannte Schlüssel. Eine Gewähr auf Vollständigkeit erhebt die Auflistung nicht.

 

Dienste und Systemtreiber

Dienste (Services) und Treiber im Rahmen der Sicherheitsanalyse zu ermitteln, hat seinen Grund darin, daß einige dieser Dienste potentielle Sicherheitsrisiken für das System darstellen können. Es wird angegeben, ob der Dienst aktiviert oder deaktiviert ist und ob er manuell oder automatisch gestartet wird. Angegeben werden auch die Abhängigkeiten der Dienste, d.h., welche Dienste gestartet sein müssen, damit dieser Dienst überhaupt funktionieren kann. Das zu wissen ist notwendig, wenn man in der Systemsteuerung (Verwaltung/Dienste) auf eigene Faust daran geht, Dienste abzuschalten, die man für überflüssig hält. Man sollte dies mit grosser Vorsicht tun, da das System sonst nicht mehr korrekt arbeiten könnte.

 

Ereignis-Protokoll

Dr. Hardware speichert fortlaufend eine Reihe von wichtigen Ereignissen und Änderungen an System- und Softwarekonfiguration des Rechners. Es werden zum Beispiel fehlgeschlagene Windows-Updates oder gelöschte bzw. hinzugefügte Anwendungen, Dienste und Autorun-Einträge protokolliert, ebenso Einstellungen des Explorers und der Autorun-Funktion sowie Änderungen des Starttyps von Diensten (letztere kommen im Rahmen des Startens und Beendens von Anwendungen regelmäßig vor, und sind daher nicht per se suspekt). Im Falle eines festgestellten Befalls mit Schadsoftware kann so ggf rekonstruiert werden, mit welchen Systemänderungen der Befall zeitlich korrelierte bzw. ursächlich zusammenhängen könnte.

In manchen Fällen lässt sich sogar nur auf Grund von Änderungen dieser und anderer Art überhaupt feststellen, daß das System befallen ist, wenn sich z.B. ein bisher unbekanntes, hochentwickeltes Rootkit eingenistet hat!

Zu beachten ist, daß sich die Zeitstempel der Ereignisse häufig auf den Zeitpunkt der Erfassung (im Rahmen der durchgeführten Sicherheits-Analyse) beziehen und nicht immer aussagen, wann das Ereignis tatsächlich genau erfolgte.

 

 

Wesentlich weitergehende Informationen - mit teilweise jedoch anderen Schwerpunkten - bietet die Windows Ereignis-Anzeige, die über Systemsteuerung/Verwaltung aufgerufen werden kann.

 

 

Installierte Anwendungen

 

Allgemeines

Auflistung aller vom Betriebssystem registrierten installierten Anwendungen. Hierbei handelt es sich um Applikationen, die über ein Setup-Programm mit  Deinstallations-Support eingerichtet wurden. Manuell installierte (z.B. kopierte) Programme werden nicht erfasst. Hinzuweisen ist darauf, daß in vielen Fällen nicht alle Informationsfelder unterstützt werden.

Informationsfelder

Die linksseitige Tabelle enthält die Software-Hersteller, von denen Softwareprodukte installiert wurden.
Die rechtsseitige Tabelle enthält die Produkte des in der Hersteller-Liste ausgewählten Eintrages sowie das Datum der Installation (letztere Angabe fehlt häufig).
In den Feldern darunter werden, soweit verfügbar, Weblinks und nähere Details angezeigt.

Wichtiger Hinweis zu den wiedergegebenen Weblinks: Peter A. Gebhard Softwareentwicklung ist nicht verantwortlich für die Inhalte der angeführten Webseiten. Die angegebenen Links stammen aus der Windows-Registrierungsdatenbank und wurden bei der Installation des Produktes dort abgelegt. Sie werden zu Informationszwecken hier lediglich unverändert wiedergegeben. Sie können zwischenzeitlich u.U. veraltet sein oder nicht mehr existieren.

Dr. Hardware bietet als Service die Möglichkeit, den Weblink mit dem Standardbrowser zu laden. Hierzu klicken Sie einfach auf den Link, der durch hellblaue Schriftfarbe und Unterstreichung kenntlich gemacht ist.

Info URL: Weblink auf eine Seite, die nähere Produktinformationen enthält.
Update URL: Weblink auf eine Seite, die nähere Informationen über Software-Updates enthält.
Hilfe URL: Weblink auf eine Seite, die Hilfe-Informationen enthält.
Details: enthält ggf. zusätzliche Informationen, u.a: Platzbedarf auf der Festplatte (ein geschätzter Wert, nicht immer verfügbar); Versionsbezeichnung; Installationsziel (d.h. Verzeichnis, in das die Anwendung installiert wurde); allgemeine Kontakt- sowie Telefonsupport-Informationen des Software-Anbieters; Angabe des Setupprogrammes, mit dem die Anwendung installiert wurde; etwaige Kommentare sowie Hinweise zum Release-Typ.

Sofern verfügbar, wird das Programmsymbol (Icon) bildlich dargestellt.

 

 

Internet Explorer/Mozilla Firefox

 

Allgemeines

 

Zeigt Informationen zu Version und Konfiguration des Internet Explorer und des Mozilla Firefox auf der Haupt- sowie die Liste aktuell gespeicherter Cookies, den Inhalt des Browser-Cache und die zuletzt geöffneten/bearbeiteten Dokumente (bei Firefox Liste der Downloads) auf den Nebenseiten an.

 

Background

Der Internet-Explorer ist Microsofts Internet-Browser, mit dem Webinhalte betrachtet werden können. Durch Integration in das Windows-Betriebssystem erreichte der IE im Laufe der Zeit seine marktführende Stellung, nachdem noch in den 90-er Jahren der Netscape Navigator bzw. Communicator marktbeherrschend gewesen war. Denn Microsoft implementierte den Support für das Internet vergleichsweise spät.

Mozilla Firefox als Open-Source-Browser hält (Stand 2013) nach Angaben gängiger Marktforschungsanalysen weiterhin einen der vordersten Plätze zwei in der Verbreitung. 

 

Cookies sind kleine Dateien, die von Internetseiten auf Ihrer Festplatte abgelegt werden und bei nachfolgenden Besuchen ausgewertet werden. Es werden z.B. Passwörter oder Einkaufskorbinformationen gespeichert. Cookies von seriösen Anbietern können daher erwünscht sein, andere nicht. 

 

Der Browser-Cache umfaßt Inhalte von besuchten Internetseiten: HTML-Seiten, Bilder, Style Sheets etc. Diese auf der Festplatte gespeicherten Dateien können im Laufe der Zeit sehr viel Kapazität verbrauchen. Außerdem erlauben sie es Dritten Kenntnis davon zu erlangen, welche Seiten Sie besuchten. 

 

Mit Dr. Hardware können die Dateien untersucht werden, die während des Surfens auf Ihrer Festplatte gespeichert wurden - Cookies, gecachte Bilder und HTML-Dokumente etc.

Leider trifft dies auf neuere Browser-Versionen nicht mehr zu. Die genannten Daten werden etwa von Firefox in SQLite-Dateien gespeichert, die nur mit Hilfe entsprechender Datenbank-Browser angesehen werden können (die browser-interne Verwaltung von Cookies und anderen privaten Daten ist jedoch so komfortabel, daß Sie auf externen Zugriff auf die Daten verzichten können)

 

Informationsbereiche

 

Bereich Konfiguration

Die Konfiguration des Internet Explorer erfolgt über die Hauptmenü-Option "Extras", Menüeintrag "Internetoptionen". Über Registerkarten kann der IE konfiguriert werden. Beim Firefox finden sich die Einstellungen unter dem Menüpunkt Extras/Einstellungen...

Eine der wichtigsten allgemeinen Einstellungen ist die Startseite, die jedesmal geladen wird, nachdem der Browser gestartet wurde. Man wird hier seine Lieblingswebseite eintragen oder auch keinen Eintrag vornehmen (Schaltfläche "Leere Seite"), so daß keine Webseite automatisch geladen wird.

 

Auf der Registerkarte "Verbindungen" (beim IE) bzw. Erweitert/Netzwerk kann eine Internetverbindung installiert oder aus mehreren bereits installierten eine als Standard ausgewählt werden. Beim Aufrufen einer Webseite wird dann bei nicht bestehender Verbindung diese Standardverbindung aktiviert (bzw. der Dialog zum Verbindungsaufbau angezeigt).

 

Besonders wichtige Registerkarten sind "Sicherheit" und "Datenschutz". Feinjustierungen sind hier möglich, aber für den Nicht-Fachmann gibt es (beim Internet EXplorer) eine vereinfachte Basisauswahl in Stufen, so daß zwischen niedriger, mittlerer, hoher und sehr hoher Sicherheit/Datenschutzintegrität optiert werden kann.

Zu empfehlen sind mindestens mittlere, besser hohe Sicherheits- und Datenschutzstufen. Zwar kann dies bei einigen Webseiten zu Darstellungs- oder sogar Funktionalitätseinbußen führen, doch kann dieses Problem bei persönlich wichtigen Seiten (Bank, Auktion etc.) gelöst werden, indem die Webseite als "Vertrauenswürdige Site" (siehe Bildlaufleiste im Dialogfenster) behandelt wird.

 

Über die Registerkarte "Programme" können u.a. der HTML-Editor und der Mail-Client festgelegt werden, die automatisch gestartet werden, wenn eine HTML-Datei bearbeitet werden soll oder ein Mailto-Link angeklickt wird.

 

In der Registerkarte "Erweitert" kann man das Browserverhalten anpassen. Umfang und Darstellungsweise von Inhalten und Fehlermeldungen können festgelegt werden.

 

Dr. Hardware wertet einen Teil dieser enormen Fülle von Einstellungen aus und zeigt die aktuelle Konfiguration an. Darüberhinaus werden Version und Produkt-ID ausgegeben.

 

Bereich Cookies

Beim Öffnen der Cookies-Seite werden alle momentan auf Ihrer Festplatte gespeicherten Cookies eingescannt und in der Tabelle angezeigt. 

Der Inhalt des in der Tabelle selektierten Cookies wird im Betrachter angezeigt. Anhand dessen können Sie in der Regel die URL des Anbieters feststellen. Des weiteren werden Erstellungsdatum (bei Firefox das Gültigkeitsdatum) der Datei sowie der Pfad der Cookie-Dateien (bei Firefox der Pfad zu der Datei, die die Cookies enthält) angezeigt.

Im Feld "Benutzerkommentar" können Sie einen eigenen Kommentar zu einem bestimmten Cookie eintragen, der dauerhaft gespeichert wird.

(Die Analyse wird nur auf älteren Browser-Versionen unterstützt)

 

Cache/Downloads

Beim Öffnen der Cache-Seite (IE) bzw. Download-Seite (Firefox) werden alle momentan auf Ihrer Festplatte gespeicherten gecachten Dateien bzw. Verweise auf heruntergeladene Dateien eingescannt und in der Tabelle angezeigt.

 

Wenn Sie auf eine HTML-, Javascript- oder Stylesheet-Datei klicken, wird deren Inhalt (als Sourcecode) angezeigt. Klicken Sie auf eine Bilddatei, wird das Bild im Betrachter angezeigt.

Doppelklicken Sie auf einen Listeneintrag, so wird die Datei mit dem für diesen Dateityp assoziierten Programm geladen. 

(Die Analyse wird nur auf älteren Browser-Versionen unterstützt)

 

 

Liste der zuletzt geöffneten Dokumente

Die von Ihnen zuletzt geöffneten Dateien werden in Listenform dargestellt. 

Doppelklicken Sie auf einen Listeneintrag, so wird die Datei mit dem für diesen Dateityp assoziierten Programm geladen. 

(Die Analyse wird nur auf älteren Browser-Versionen unterstützt)

 

 

Netzwerk

 

Allgemeines

 

Zeigt Informationen zu installierten Netzwerkadaptern, Ressourcen (beispielsweise freigegebene Verzeichnisse) sowie Details zum Windows-Netzwerk an. Die ausgegebenen Informationen reichen zur Beschreibung von kleineren und Heimnetzwerken aus. Professionellen Netzwerksystemen wird die Analyse nur bedingt gerecht.

Darüberhinaus werden alle auf dem System eingerichteten DFÜ-Verbindungen aufgelistet. Diese Liste enthält auch einen Eintrag, der das aktive DFÜ-Netzwerk beschreibt und enthält Identitäts- und Verbindungsstatistik-Informationen. 

 

Bitte beachten Sie, daß die Analyse der Ressourcen einige Minuten in Anspruch nehmen kann, wenn Ihr Rechner mit einem oder mehreren anderen verbunden ist.

 

Informationsbereiche

 

Bereich Netzwerkadapter

Um zwei Rechner miteinander zu verbinden, benötigt man folgendes: ein netzwerkfähiges Betriebssystem (Windows), zwei Netzwerkkarten und ein Verbindungskabel.

Netzwerkadapter (auch Network Interface Card - NIC - genannt) basieren auf verschiedenen Technologien, im PC-Bereich spielt aber nur Ethernet eine Rolle.

Die Hauptunterscheidungskriterien sind die unterstützte Übertragungsrate und der Anschlusstyp.

Es gibt drei gängige Übertragungsraten: 10MBit/s, 100MBit/s (Fast Ethernet) und 1 GBit/s.

Die 10MBit-Adapter (ISA oder PCI-Bus) haben ein oder zwei Anschlussbuchsen: BNC und RJ45. Verwendet man den BNC-Anschluss, benötigt man ein 10Base2-Kabel (Koaxialkabel), und kann die zu vernetzenden Rechner direkt miteinander verbinden (über T-Stücke, mit Abschlusswiderständen an den offenen T-Enden).

 

Die leistungsfähigeren Adapter haben RJ-45-Buchsen, und man benötigt sogenannte (abgeschirmte oder nicht-abgeschirmte) Twisted-Pair-Kabel (10BaseT, 100BaseT) mit Westernstecker. Für 10MBit wird dabei der Kabeltyp CAT3, Für 100 MBit der Kabeltyp CAT5 und für 1 GBit CAT5E benötigt. Werden zu niedrige Klassen gewählt, reicht die Störabschirmung nicht aus.

Zur direkten Vernetzung von zwei PC´s mit Twisted-Pair-Kabeln benötigt man Cross-Over-Kabel (gekreuzt), bei Verwendung eines Switches (oder Hub) für die Vernetzung von mehr als zwei Rechnern nicht-gekreuzte, wobei je ein Kabelende in die Buchse der Netzkarte, das andere in die des Switches gesteckt wird. 

 

Im Netzwerk der Zukunft - dem Wireless Lan (WLan) - wird (bei gleichbleibender Netzwerktopologie=Ethernet) das Kabel durch Funkübertragung ersetzt. Auch hier gibt es verschiedene Standards mit unterschiedlichen Übertragungsraten (IEEE802.11: 1-2 MBit/s), IEEE.802.11b: 5,5-11 MBit/s, IEEE.802.11g (54 MBit/s), IEEE.802.11g+ (108 MBit/s). Neben der direkten Verbindung von funkgebundenen Stellen (auch Peer-to-Peer genannt), können in Funknetzwerke auch kabelgebundene Teilnehmer über Basisstationen (Access Points) integriert werden. Manche dieser Router erlauben zusätzlich auch den Anschluss für ein DSL-Modem.

Der Frequenzbereich des WLan-Standards liegt auf dem 2,4-GHz-Band, das von vielen anderen Geräten von Herden bis Industriefunknetzen ebenfalls genutzt wird  (vergleiche UKW: ca. 100 MHz, Handys: ca. 2 GHz).

Mögliche Schwachpunkte der WLan-Technologie sind die Anfälligkeit gegen Störungen (durch physische Hindernisse im Übertragungsweg und Störsignale), die nicht völlig zu garantierende Sicherheit gegen Abhörung oder unerlaubte Mitbenutzung (mindestens WEP128 Verschlüsselung, MAC-Address-Athentifizierung, Ausschalten der Geräte bei Nichtbenutzung sind zu empfehlen) und die derzeit noch ungeklärten gesundheitlichen Auswirkungen von elektromagnetischen Strahlen.

 

Eine dem WLAN ähnliche Technologie insbesondere für kürzere Verbindungsentfernungen (drahtlose Anbindung von Peripheriegeräten) ist Bluetooth. Aber auch über das Stromnetz kann ein Netzwerk eingerichtet werden (dLan= direct Local Area Network). Hierbei wird ein Konverter in die Steckdose gesteckt, und in seine Buchse das gewöhnliche Netzkabel eingesteckt. Die Abhörsicherheit dieses Netzwerktyps ist relativ hoch.

 

Bereich Ressourcen

In einem Netzwerk versteht man unter Ressourcen Laufwerke, Verzeichnisse und Geräte wie Drucker, die per Freigabeerteilung anderen Teilnehmern eines Netzwerkverbundes zur Mitbenutzung zur Verfügung gestellt werden. Die Ressourcen im Netzwerk sind dabei hierarchisch aufgebaut. Man unterscheidet zwischen Containern und Verbindungen. Eine Container-Ressource enthält eine oder mehrere Verbindungen, konkret gesprochen ein freigegebenes Verzeichnis auf einem der verbundenen Rechner.

Unter Windows XP kann z.B. ein Laufwerk oder Verzeichnis für andere Rechner freigegeben werden, indem man im Explorer mit der rechten Maustaste auf den Ordner klickt und den Menüpunkt Freigabe und Sicherheit auswählt. Im nachfolgenden Dialog kann man die Freigabe aktivieren.

Um eine freigegebene entfernte Ressource auf dem eigenen Rechner zu nutzen, wählt man im Explorer aus dem Hauptmenüpunkt "Extras" die Option "Netzlaufwerk verbinden" aus. Dann teilt man der neuen Ressource einen Laufwerksbuchstaben zu und wählt die entfernte Ressource aus.

 

Bereich Windows-Netzwerk

Host Name: Name des Server-PC´s im Netzwerk

Domain Name: Ein kleines Netzwerk besteht oft nur aus einzelnen Arbeitsgruppen, während größere Netzwerke in größere Teilbereiche, die sogenannten Domains, aufgegliedert werden können.

DNS: Anzahl der DNS (Domain Name Server) - s.u.

Routing enabled: Routing ist eine Methode, um Subnetze an ein Netzwerk anzubinden. Man kann damit auch eine Internetanbindung realisieren, so daß von einem Rechner im Netz ohne eigenen Internetanschluss über einen angeschlossenen Rechner auf das Internet zugegriffen werden kann.

Proxy enabled: Ein Proxy ist ein Datenzwischenspeicher in Netzwerken, insbesondere im Internet.

DNS enabled: DNS (Domain Name Server oder System) ist eine Methode zur Namensauflösung von Netzwerkadressen. Die IP-Adresse wird dabei in einen Namen umgewandelt. In Windows-Netzwerken kann dies auch über die NetBios-Schnittstelle erfolgen.

 

Bereich Netzwerkverbindungen

Die DFÜ-(Datenfernübertragungs-/RAS=Remote Access Control)-Verbindung ist ein eingebürgerter Name für Netzwerk- und Internetverbindungen. Unter Windows 2000/XP/Vista werden die DFÜ-Verbindungen unter Netzwerkverbindungen genau wie andere Verbindungen behandelt.

Im Privateinsatz überwiegt die Nutzung eines DFÜ-Netzwerkes zur Verbindung mit dem Internet.

 

Eine DFÜ-Verbindung für das Internet wird erst eingerichtet, nachdem die Hardware (Modem etc.) und die Treiber installiert wurden, und sie muß überhaupt nicht eingerichtet werden, wenn man die Zugangssoftware eines großen Providers wie T-Online oder AOL verwendet.

Unter Windows XP klickt man auf dem Desktop auf das Symbol "Netzwerkumgebung", im nächsten Fenster auf "Netzwerkverbindungen" und im darauffolgenden auf "Neue Verbindung", danach "Neue Internetverbindung". 

Die Einrichtung erfolgt mit Hilfe eines Assistenten. Verwendet man ISDN, für das eine Reihe virtueller Modems eingerichtet wurden, muß man als DFÜ-Modem aus der Liste die PPP-Internetverbindung auswählen. Man benötigt dann noch die Einwahlnummer des Providers (entfällt bei DSL) und seine persönlichen Zugangsdaten, wobei das Passwort aus Sicherheitsgründen nicht gespeichert, sondern bei jeder Einwahl ad hoc eingegegeben werden sollte.

 

Es werden alle eingerichteten DFÜ-Verbindungen aufgelistet und eine Reihe von Details ausgegeben. 

 

Für die aktive Verbindung werden zusätzliche Informationen über die Verbindungsgeschwindigkeit, das übertragene Datenvolumen und die Auslastung bereitgestellt. Besonders interessant ist der Wert Auslastung, der anzeigt, in welchem Maße die Internetverbindung ausgelastet bzw. umgekehrt im Leerlauf betrieben wird. Der Wert liegt meistens unter 10%, es sei denn, die Verbindung wird konsequent zum Downloaden von Daten verwendet. Beim Surfen dagegen bleibt die Verbindung die meiste Zeit über ungenutzt, wenn man die geladenen Webseiteninhalte oder E-Mails online liest.

 

Darüberhinaus werden alle DFÜ-fähigen Geräte aufgeführt.

 

Bereich Sonstiges

Listet die sogenannten MAC (Media Access Control) Adressen der Netzwerkkarte auf. Es handelt sich hierbei um physikalische Netzwerkadressen, die auf der Netzwerkkarte fest installiert sind. Für die Wake-On-Lan-Funktion eines PC´s wird diese Adresse manchmal benötigt.

 

Tipp:

Ausführliche Verbindungsstatistiken zu den Protokollen ICMP, TCP, IP und UDF können auf der Analyseseite  System Intern (System Monitor) abgerufen werden.

 

Tipp: Ein Netzwerk für den Sparfuchs

Wer keine hohen Ansprüche an die Durchsatzrate stellt, kann sich heute ein kabelgebundenes, später aufrüstbares 10MBit-Netzwerk auf Basis von 10/100MBit/s-Adaptern extrem preiswert einrichten. 10/100MBit/s-PCI-Netzadapter, die 10 MBit über Koaxialkabel und 100 MBit über Twisted Pair Kabel unterstützen, werden (etwa auf Computermärkten) inzwischen oft zu symbolischen Preisen gehandelt, da die Technologie inzwischen als veraltet gilt. Die dazu passenden Kabel (Koaxialkabel für 10MBit) sind gleichfalls billig zu bekommen.

Da die Busarchitektur der Karten (PCI) und die Netzwerktechnologie nach wie vor auch von modernen Rechnern unterstützt werden, kann so ein kleines Netzwerk für wenige Euro realisiert werde. Das 10MBit-Netzwerk (mit ca. 600 KB/s effizienter Transferrate recht langsam, Wackelkontakte an Buchsen und T-Stücken kommen vor) kann bei Bedarf leicht in ein 100MBit-Netzwerk umgewandelt werden, indem man das Koaxialkabel durch ein Twisted-Pair-/Cross-Over-Kabel ersetzt, oder (für mehr als 2 PC´s) ein nicht-gekreuztes Kabel und zusätzlich einen Hub oder Switch hinzukauft. Der Switch ist leistungsfähiger, aber v.a. Hubs sind inzwischen ebenfalls zu kleinsten Preisen im Sonderangebot erhältlich.