[XP] System volume information (11GB?!)

Als je rechts klikt op deze computer en dan eigenschappen en dan het tablad system restore, als je het vinkje aanvinkt en op toepassen klikt is die uit. En leegt ie hem ook meteen.

11 gig is trouwens heel normaal hoor als system restore een tijdje draaid, en dat je er niet in kan komen / niet kan deleten is ook heel normaal. Dat is ondermeer omdat het in gebruik is, en beveiliging tegen wormen, torjans en ander virus gespuis.

[ Voor 42% gewijzigd door SithWarrior op 11-10-2004 00:16 ]

Control panel -> System -> System Restore -> drive selecteren -> settings -> slider naar links schuiven tot de hoeveelheid HD ruimte die je ervoor over hebt. Windows gooit er vervolgens net zoveel restore points in als past

Jeetje FragFog! Jij bent GOED!

Persoonlijk schakel ik die XP backup rommel uit, want DVD-backup is ook leuk. En ik wil wel graag weten waar mn bitjes blijven!

FragFog mag bij mij komen werken! Alleen jammer dat ik ff geen baas heb om jou te kunne betalen!

Verwijderd schreef op 11 oktober 2004 @ 00:09:
Hoe precies dit ging weet ik nie, maar ik heb indexing uitgezet bij services (wat dit precies doet dan weet ik niet maarja .)

Hmm, wat heeft Indexing Service te maken met System Restore? Vrij weinig, kijk hier maar: http://www.microsoft.com/...t/en-us/prkc_fil_gglv.asp

Nu heb ik twee vragen.
- Wat zit er precies in die System volume information map?
- Hoe kom ik erin en kan ik hem delete?

Ook dat kan Microsoft je heel goed uitleggen: http://support.microsoft.com/default.aspx?kbid=309531

SithWarrior schreef op 11 oktober 2004 @ 00:14:
.. en dat je er niet in kan komen / niet kan deleten is ook heel normaal. Dat is ondermeer omdat het in gebruik is, en beveiliging tegen wormen, torjans en ander virus gespuis.

Da's echt onzin, want bij het maken van een restore point wordt malware gewoon gekopieerd helaas. Nog nooit opgevallen hoe AV vendors aangeven System Restore uit te zetten?
Zie: http://service1.symantec....nDocument&src=sec_doc_nam
En zie ook: http://support.microsoft.com/default.aspx?kbid=831829

blackd schreef op 11 oktober 2004 @ 07:33:
Da's echt onzin, want bij het maken van een restore point wordt malware gewoon gekopieerd helaas. Nog nooit opgevallen hoe AV vendors aangeven System Restore uit te zetten?

Theoretisch gezien heb je natuurlijk gelijk met zeggen dat malware gewoon meegekopieerd wordt. Echter, ga je uit van een situatie waarbij een (systeem)bestand geinfecteerd wordt en de user besluit een restorepoint van voor de infectie te gebruiken zal dit makkelijk het virus verwijderen. Als een virus echter toegang heeft tot de restorebestanden zou het, in theorie, ook die kunnen wijzigen zodat een restorepoint juist virussen toevoegt, of in het beste geval, corrupt / onrestorebaar maakt (aangezien ook de oude versie eerst langs de virusscanner gaat).

Door die bestanden tegen wijzigen te beschermen is het in theorie daarom altijd mogelijk de installatie van malware ongedaan te maken - een virusbouwer kan nu niet voorkomen dat er simpelweg een restorepoint wordt gebruikt om zijn hele programma met een druk op de knop te verwijderen. Enig nadeel is wel de 'incubatietijd'; een virus zal pas op z'n vroegst na enkele dagen worden opgemerkt, een dagelijkse restoreoperatie schedulen op een schijf met beperkte ruimte kan daardoor als gevolg hebben dat alle beschikbare restorepoints geinfecteerd en dus onbruikbaar worden. Helaas altijd de afweging die je moet maken, HD ruimte VS weinig restorepoints met grote interval VS weinig restorepoints met kleine interval. Hoe kleiner je interval des te minder werk gaat er verloren, maar des te groter de kans dat malware onherstelbare schade aanricht...

@The_BoKKoMasteR: DVD backup is leuk, maar hoeveel nut heeft het een windows install van anderhalf jaar geleden te bewaren? Nuttiger is het dan om voor je windows install een tijdelijke backup te maken die je na een maand bijvoorbeeld weer overschrijft, een nog steeds gebruikte backupmethode voor tapesystemen (met een tape voor elke dag van de week / maand bijvoorbeeld). Opslaan op je HD (of beter nog: netwerkschijf) kan automagisch, vaker en goedkoper dan opslaan op DVD

FragFrog schreef op 11 oktober 2004 @ 08:07:
Als een virus echter toegang heeft tot de restorebestanden zou het, in theorie, ook die kunnen wijzigen zodat een restorepoint juist virussen toevoegt, of in het beste geval, corrupt / onrestorebaar maakt (aangezien ook de oude versie eerst langs de virusscanner gaat).

Dat kan al. Welliswaar niet onder User of zelfs Administrator context, maar wel met een echt virus.

Punt is namelijk dat System Restore onder de context van 'SYSTEM' draait (kijk bij de Logon tab onder Services.msc -> System Restore Service) wat betekent dat door middel van een exploit (bijvoorbeeld recentelijk de JPEG flaw) een virus SYSTEM privileges kan krijgen, en zo toegang kan krijgen tot de SVI folder, en je restore points kan verwijderen. Of een virus een restore point corrupt kan maken of een virus kan injecteren weet ik niet, ik heb geen idee of en zo ja wat voor controle er is bij het terugzetten van een restore point om de integriteit van de files te waarborgen.

Natuurlijk zijn er nog veel meer services die onder SYSTEM draaien, en zijn er nog veel meer dingen wat een virus kan uithalen zodra er SYSTEM privileges zijn. Je voorbeeld om een virus te verwijderen door een restore toe te passen kan dus wel 'voorkomen' worden, het is wel mogelijk om een restore point te infecteren, zodra je SYSTEM privileges hebt (en daar gaat 't toch meestal om ).

Ook interessant: http://secunia.com/advisories/7233/ en http://www.securityfocus.com/archive/1/294097 , is overigens sinds SP1 gefixt. Dat betekent dat de paden van een restore point gewoon uit te lezen zijn in 't register, en doordat alleen de map System Restore beschermd is met een ACL die SYSTEM toegang geeft, maar de mappen daaronder voor iedereen toegankelijk zijn (Everyone:full control) de restore points onbeschermd waren.

Schijnbaar wordt er ook weinig gecontroleerd aan de integriteit van de files, want in bovenstaande advisory suggereren ze dat iemand zomaar een registry hive kan wijzigen en zo een 'evil run' entry kan toevoegen, ofwel een startup entry in 't register onder HKLM\..\Windows\Run

blackd schreef op 11 oktober 2004 @ 07:33:
[...]
Da's echt onzin, want bij het maken van een restore point wordt malware gewoon gekopieerd helaas. Nog nooit opgevallen hoe AV vendors aangeven System Restore uit te zetten?
Zie: http://service1.symantec....nDocument&src=sec_doc_nam
En zie ook: http://support.microsoft.com/default.aspx?kbid=831829

Ja dat wel, maar je moet bij de meeste antivirus handel zelf je systemrestore uitzetten omdat hun dit zelf niet kunnen. Ik beweer hier ook niet dat er geen virusen / andere rommel mee komt in je system restore, ik zeg alleen dat het uit veiligheids overwegingen gelocked word zat je de data die daar in de map zit niet zo maar zelf kunt aanpassen.

Wat ik dus bedoelde dat MS expres het moeilijk heeft gemaakt om zomaar als user zelf met die bestanden te gaan zitten knoeien, en dat is geen onzin.

[ Voor 30% gewijzigd door SithWarrior op 11-10-2004 09:09 ]

SithWarrior schreef op 11 oktober 2004 @ 09:04:
... maar je moet bij de meeste antivirus handel zelf je systemrestore uitzetten omdat hun dit zelf niet kunnen.

Ik denk het wel, als ze het zouden willen:
http://www.mvps.org/sramesh2k/resetsr.htm

Wat ik dus bedoelde dat MS expres het moeilijk heeft gemaakt om zomaar als user zelf met die bestanden te gaan zitten knoeien, en dat is geen onzin.

Dat is inderdaad geen onzin, maar de door jou genoemde 'virusbeveiliging' werkt niet zo goed als 't zou moeten (waar ik immers ook op reageerde).

[ Voor 14% gewijzigd door blackd op 11-10-2004 09:16 ]

Ik zei ook niet dat het een geweldige oplossing was, ik gaf een reden waarom hij het niet zomaar kon bewerken, dat het verder voor de rest weining om het lijf heeft ben ik zeker met je eens. Maar goed ik had het idd wel iets duidelijker kunnen vermelden, ik had er bij kunnen zeggen dat het een poging deed iets tegen te houden

Verwijderd schreef op 11 oktober 2004 @ 00:09:
Ik zag toen tot mijn verbazing de map "System Volume Information" tot 11GB!

Ik probeer erin te komen en krijg ACCES DENIED als msg.
Dat is raar ik heb owner rights en nog krijg ik zo'n melding?!

Dat je owner bent, zegt niks over je rechten. Als je kijkt, zie je dat "SYSTEM" de enige is met rechten in deze folder. En jij logt niet in met de system-account. Dus kun jij er niet in. Je kunt eigen account je wel toevoegen, dan kun je wel zien wat erin zit.

SithWarrior schreef op 11 oktober 2004 @ 09:21:
Ik zei ook niet dat het een geweldige oplossing was ..

Ik zou ook niet kunnen bedenken hoe het virus-proof zou moeten
Voor de user heeft MS het slim bekeken: System Volume Information is hidden en system, dus verborgen als je 'show hidden files and folders' aan zet. Pas wanneer je 'show operating system protected files' aan zet, zie je de map, en kan je ook zien dat alleen SYSTEM rechten heeft op die map. Dus 't is goed verborgen, en je hebt er geen (read/write) rechten op.

Wat wel cruciaal is volgens mij, is betere controle op integriteit, dus bijv. een certificaat zoals dat bij een XP SP2 download te vinden is, of een md5sum of tripwire zoals dat vaak bij Linux gebruikt wordt. Nu staat er wel op http://msdn.microsoft.com.../restoring_the_system.asp iets over de integriteit, maar wat daarmee bedoeld wordt is me niet duidelijk.

Wat hier staat:

quote: http://www.vet.com.au/html/zoo/system_restore.html

Due to the importance of protecting the integrity of this data, Windows prevents external applications, (including antivirus) from modifying data stored by System Restore. There may be times when this feature must be temporarily disabled, or turned off, in order to completely remove an infection from your computer.

Hoe wordt die integriteit gewaarborgd, is dat alleen door een NTFS ACL?

In deze post wordt gesproken over antivirus en system restore. Zodra SR een file niet kan terugzetten omdat ie geinfecteerd is, failed heel je restore.

Is het dan eigenlijk net zoals met Windows File Protection, verander de files in de dllcache en je hebt 'm omzeild?

Gaat wel een beetje offtopic zo