Welche Spuren bleiben nach dem Booten von USB?

12
  1. Stimmt es, dass ein bootfähiges Ubuntu-USB-Laufwerk keine Daten auf die Festplatte des Computers schreibt?
  2. Wenn ja, würde auf einem Computer mit einem SSD-Laufwerk wie meinem auch keine bootfähige USB-Sitzung zurückbleiben?
boot usb hard-drive security drive Sucher
quelle

Antworten:

20

Auf vielen Festplatten ist ein Zähler für Einschaltzyklen gespeichert, der über SMART gelesen werden kann. (In Windows könnte beispielsweise CrystalDiskInfo verwendet werden. In all diesen Screenshots können Sie die "Einschaltanzahl" auf der rechten Seite des Fensters lesen. Https://www.google.com/search?q=crystaldiskinfo&source=lnms&tbm = isch )

Dieser Leistungsindikator reagiert empfindlich auf das Booten von einer anderen Festplatte, ist jedoch nicht spezifisch (der Leistungsindikator erhöht sich auch beim Aufrufen des BIOS-Setup-Bildschirms oder in einem Fall, in dem die Stromversorgung vor dem Laden des Betriebssystems wieder ausgeschaltet wurde).

Da dieser Zähler von der Elektronik des Laufwerks gesteuert wird, kann die Ubuntu-Software auf dem USB-Stick keine Aktualisierung verhindern. In einigen Fällen könnte es möglich sein, den Zähler zu löschen oder neu zu schreiben, dies ist jedoch spezifisch für das Festplattenmodell / die Firmware-Version, und das Löschen des Zählers ist weiterhin erkennbar.

Einige System-BIOS führen auch ein Protokoll der Systemereignisse. Ich habe noch keinen gesehen, der das Booten von Wechseldatenträgern aufzeichnet, aber es ist durchaus machbar.

Natürlich können Sie auch am USB-Anschluss selbst physikalische Spuren hinterlassen, z. B. eine Oxidationsschicht stören.

Ben Voigt
quelle
Dieser Zähler wird von der Elektronik des Laufwerks genau über die Festplattenfirmware gesteuert .
Heemayl
Natürlich muss es getaktet werden, ein Neustart zählt nicht?
McKenzm
2
@mckenzm: Abhängig vom Design des Stromversorgungssystems muss bei einem Neustart möglicherweise die Stromversorgung für kurze Zeit von Peripheriegeräten wie z. B. Festplatten entfernt werden. Abhängig vom Design des Festplattencontrollers ist möglicherweise ausreichend Kapazität vorhanden, um eine kurze Unterbrechung der Stromversorgung zu überstehen.
Ben Voigt
18

Stimmt es, dass ein bootfähiges Ubuntu-USB-Laufwerk keine Daten auf die Festplatte des Computers schreibt?

Sie können die Datenträger einbinden und überall darauf schreiben. Immerhin ist der USB-Stick die Hauptmethode, mit der Ubuntu-Benutzer Ubuntu zum ersten Mal installieren.

Standardmäßig wird Ubuntu jedoch nichts bereitstellen, wofür Sie nichts sagen.

Wenn Sie also nicht die Partition "C:" mounten, die in Wirklichkeit vorhanden ist, bleibt keine Spur von Ubuntu-Booten zurück.

Oli
quelle
6
Bleibt dies wahr, wenn auf dem SATA-Laufwerk eine verwendbare Swap-Partition vorhanden ist?
Kasperd
1
@kasperd: systemd-gpt-auto-generatorÜberprüft ein GPT und erkennt Swap-Partitionen automatisch, überprüft jedoch nur die "Root-Festplatte". Es wäre ziemlich schlimm, wenn ein System versehentlich den Swap-Speicherplatz eines Wechseldatenträgers nutzen würde. Sie können sich jedoch darauf verlassen, dass das Root-Volume nicht entfernbar ist.
MSalters
6
Ich habe auf einer VM mit Ubuntu 16.04 (64-Bit, UEFI-Modus) getestet, auf der eine separate 4-GB-Swap-Partition installiert ist. Das Booten dieser VM von einem 16.04-ISO-Image (Installation / Live-DVD) führt zu einem Live-System, bei dem die Swap-Partition der Festplatte automatisch aktiviert und aktiviert wird. Ich weiß nicht, wie das Live-System entscheidet, welche Swap-Partitionen gemountet werden sollen, aber es tut es definitiv manchmal.
Byte Commander
1
Wenn die Swap-Partition verwendet wird, ist es zu schade, wenn darin Ruhezustandsdaten gespeichert wurden.
McKenzm
1
Die Informationen (Warnungen) zum Tausch sollten in die Antwort eingearbeitet werden.
Jonas Schäfer
3

Antwort zu 1 .:

Ubuntu USB Boot aktiviert normalerweise nicht einmal die Festplatte / SSD Ihres Systems. Wenn es aktiviert ist, ist es schreibgeschützt, es sei denn, Sie weisen Ubuntu an, es als Lese- und Schreibzugriff zu behandeln.

Antwort zu 2 .:

Es wird keine Spur einer USB-Sitzung angezeigt, es sei denn, Sie schreiben auf Ihre Festplatte / SSD (siehe Antwort 1).

Videonauth
quelle
Ich verstehe aus diesen guten Antworten, dass SSD-Laufwerke genauso immun gegen unerwünschte Spuren sind wie HDD-Laufwerke, wenn sie über USB gebootet werden. Gut zu wissen.
Sucher
Nun, wenn Sie auf Ihre SSD schreiben, gibt es möglicherweise auch Spuren, die ich für unnötig hielt, aber meine Antwort entsprechend aktualisiere.
Videonauth
4
Ich würde sagen, dass es keinen Unterschied in der Immunität gegen unerwünschte Spuren zwischen SSD und HDD gibt.
Soren A
2

Seien Sie sehr vorsichtig mit einigen Antworten auf dieser Seite. Es ist sehr einfach, Daten auf Ihre internen Laufwerke zu schreiben und / oder diese zu zerstören, wenn Sie von einem Live- oder dauerhaften Flash-Laufwerk ausgehen.

Ich benutze eine pendrive-Installation, um dies zu schreiben. Wenn ich Unity betrete, werden alle meine internen Partitionen gemountet.

Wenn ich gparted öffne und eine Partition ändern, formatieren oder löschen möchte, muss sie in der Regel zuerst deaktiviert werden.

In gparted muss nichts deinstalliert werden, um eine neue Partitionstabelle zu erstellen und das interne Laufwerk zu löschen.

Es kann auch sehr gefährlich sein, dd von einem Flash-Laufwerk zu verwenden, ein sehr kleiner Fehler und alles auf jedem Laufwerk kann gelöscht werden.

Die Antwort auf Ihre zweite Frage ist richtig. Möglicherweise ist von Ihrer bootfähigen USB-Sitzung keine Spur mehr vorhanden.

Für die Root-Berechtigung ist auf den meisten Live- und Persistent-USB-Laufwerken kein Kennwort erforderlich

Live- und dauerhafte Installationen sind sicher genug, kennen jedoch die Risiken.

CSCameron
quelle
1

Eine Ubuntu-USB-Live-Sitzung hinterlässt keinerlei Spuren auf der Festplatte des Computers, auf dem sie gestartet wurde, es sei denn, Ubuntu wird von der USB-Live-Sitzung auf der Festplatte installiert und Ubuntu wird von einem Ubuntu-USB-Live-Computer installiert oder es werden Änderungen an der Festplatte des Computers vorgenommen ist nicht erforderlich, nur optional.

karel
quelle
6
Sie können auf lokalen Datenträgern mounten und schreiben, ohne Ubuntu zu installieren, sodass Ihre Antwort falsch ist.
Soren A
Wenn ich ein Live- oder dauerhaftes Flash-Laufwerk starte, sind die meisten Partitionen auf dem Computer bereits gemountet. In gparted ist es erforderlich, die meisten Partitionen zu entfernen, bevor sie gelöscht, formatiert oder verkleinert werden. Es ist nicht erforderlich, die Bereitstellung aufzuheben, um eine neue Partitionstabelle zu erstellen und das interne Laufwerk zu löschen.
CSCameron
1
Einer der häufigsten Gründe für das Mounten einer Live-Distribution ist das erneute Image der internen Festplatte von einem Klon oder Master. Wenn es sich um eine Windows-Festplatte handelt, müssen bestimmte Dateien gelöscht oder umbenannt werden. Es ist jedoch möglich, keine Spuren zu hinterlassen. Öffnen Sie im Zweifelsfall die Schachtel und ziehen Sie den Stecker aus der Steckdose.
McKenzm
0

Ich fand die unterschiedlichen Antworten auf dieser Seite verwirrend und entschied mich für einen schnellen Vergleich zwischen bootfähigen USB-Installationstypen mit Ubuntu 16.04.1 64-Bit-Desktop:

  • Vollständige Installation mit Ubiquity.

  • Live-Syslinux-Installation mit Startup Disk Creator.

  • Dauerhafte Installation von grub2 mit mkusb / dus

Live- und dauerhafte Installationen hatten die gleichen Eigenschaften, sofern nicht anders angegeben.

Vollständige Installation (FS) vs Live / Permanente Installation (L / P)

USB OS stellt automatisch alle Partitionen bereit * - Vollständig - Ja, L / P - Ja

Interne Partition ohne SU beschreibbar - Voll - Ja, L / P - Nein

Interne Partition beschreibbar mit SU - Full - yes, L / P - yes

Super User benötigt Passwort - Voll - Ja, L / P - Nein

Für Gparted ist ein Passwort erforderlich - Vollständig - Ja, L / P - Nein

Für die Installation auf einem internen Laufwerk ist ein Kennwort erforderlich - Vollständig - N / A, L / P - Nr

Verwendet den Auslagerungsspeicher des internen Laufwerks (falls verfügbar) - Voll - Ja, L / P - Ja

Verwendet die casper-rw-Partition des internen Laufwerks (falls verfügbar) - Vollständig - Nicht zutreffend, Live - Nein, Persistent - Ja.

Solange der Computer nicht über eine Swap-Partition, eine Casper-RW-Partition, verfügt, achten Sie darauf, wo Sie Dinge speichern, verwenden Sie nicht gparted, Boot-Repair, klicken Sie auf das Installationssymbol, geben Sie "sudo" oder "dd" oder Versuchen Sie, etwas zu sichern. Sie sollten in Ordnung sein. Wenn es sich um ein Live-USB-Gerät (ohne Persistenz) handelt und das interne Laufwerk Windows ist, geben Sie "sudo" nicht ein und verwenden Sie keine Dienstprogramme.

Alle Ergebnisse in dieser Bewertung können leicht dupliziert werden.

  • ISO9660-Partitionen sind gemountet, jedoch schreibgeschützt. Dies gilt auch für den CD-ROM-Ordner.
CSCameron
quelle
Wären Sie so nett, das in die Sprache eines Laien zu übersetzen? Die Frage, die ich als Antwort auf diese Flut von Antworten beantworten wollte, lautete einfach: Wenn ich Ubuntu auf einem USB-Stick laufen lasse und überhaupt nichts unternehme, um auf die Festplatte oder SSD des Computers zuzugreifen, kann jede Spur meiner Aktivität überspielt werden Sie?
Sucher
2
Solange der Computer nicht über eine Swap-Partition, eine Casper-RW-Partition, verfügt, achten Sie darauf, wo Sie Dinge speichern, verwenden Sie nicht gparted, Boot-Repair, klicken Sie auf das Installationssymbol, geben Sie "sudo" oder "dd" oder Versuchen Sie, etwas zu sichern. Sie sollten in Ordnung sein. Wenn es sich um ein Live-USB-Gerät (ohne Persistenz) handelt und das interne Laufwerk Windows ist, geben Sie "sudo" nicht ein und verwenden Sie keine Dienstprogramme.
CSCameron
1
@CSCameron Ihr Kommentar oben ist die eigentliche Antwort: Solange es keinen Swap oder Casper-RW gibt und nichts anderes explizit oder versehentlich aktiviert wird, berührt eine Live-Sitzung die internen Laufwerke nicht. Andernfalls kann es zu , kann hier das Zauberwort zu sein. Trotzdem bleibt der Austausch nicht erhalten und Gebrauchsspuren während einer Live-Sitzung sind nur für Forensiker "sichtbar".
Die Antwort auf die Frage Nr. 1 des OP ist, nein, es ist nicht wahr, Ubuntu erlaubt es, Dinge auf die Festplatte eines Computers zu schreiben. Nein 2 ist auch nicht wahr, der Computer kann viele Spuren der USB-Sitzung hinterlassen, einschließlich eines neuen Betriebssystems. Das OP hat seine Frage qualifiziert und die neue Antwort ist, dass das interne Laufwerk sicher ist, solange der Benutzer vorsichtig ist und weiß, was er tut. Ich habe die Arbeit an einem Computer erst vor einem Monat gelöscht, bin es aber nicht vorsichtig und ich experimentiere gerne.
CSCameron
Danke CelticWarrior Ich habe diesen Kommentar zu meiner Antwort hinzugefügt.
CSCameron