Trinity Rescue Kit stellt verschiedene Werkzeuge bereit. Mit diesen können Sie versuchen, Ihren PC wieder herzustellen oder zumindest, die Daten zu retten. Die Distribution deckt eigentlich alles ab, was Sie dazu benötigen. Dazu gehören Virenscanner, Samba-Server, SSH-Verbindungen und ntfs-3g. Mit Letzterem können Sie auf NTFS-Partitionen lesend und schreibend zugreifen.
Der erste Start von Trinity Rescue Kit mag Unvorbereiteten etwas verwirrend erscheinen. Gleich 19 Bootoptionen stehen zur Auswahl. Für den Anfang sollte jedoch die Standardoption genügen. Hat Ihr Rechner mindestens 192 MByte RAM, käme Bootvariante „2“ noch in Frage. Hier lädt sich das komplette Betriebssystem in den Arbeitsspeicher und es lässt sich schneller damit arbeiten.
Grundsätzliches zur Distribution
Nach dem Start kommt man sich zunächst ein bisschen verlassen vor. Es blinkt ein Cursor auf der Kommandozeile und in großen Buchstaben ist noch Trinity Rescue Kit zu lesen. Die Linux-üblichen Manpages sind nicht vorhanden. Doch die Distribution bringt eine Hilfe-Datei mit sich. Wenn Sie Verbindung zum Internet haben, können Sie den Befehl trkhelp verwenden. Die Hilfe ist allerdings auch lokal vorhanden. Diese erreichen Sie mit trkhelp -l. Nun öffnet sich der Browser Links im grafischen Modus und gibt Ihnen die gewünschten Informationen. Beenden können Sie Links mit „q“. Der Entwickler gibt an, dass sich die Dokumentation an Menschen richtet, die etwas Erfahrung mit PC-Troubleshooting haben. Zumindest sollten Sie wissen, wie Sie das eigene Windows installieren.
Weiterhin stellt Ihnen TRK insgesamt sechs verschiedene Konsolen bereit. Somit können Sie parallele Arbeitsabläufe starten, beispielsweise den Kopierprozess gewisser Dateien anstoßen und gleichzeitig nach weiteren zu sichernden Verzeichnissen Ausschau halten. Die unterschiedlichen Konsolen erreichen Sie mit ALT+<F1>-<F6>.
Die Werkzeuge von TRK
Die Virenscanner
Es stehen insgesamt vier verschiedene Virenscanner zur Verfügung. Sie können zwischen Clamav, F-Prot, Grisoft AVG und BitDefender wählen. Jeder dieser Scanner hat laut dem Entwickler der Distribution Vor- und Nachteile. Der persönliche Favorit des Entwicklers ist Grisoft AVG. Dieser Virenscanner erkennt am meisten Schadcode und ist schnell. Als Nachteile gibt er einen umfangreichen Download und die Notwendigkeit von viel Arbeitsspeicher an. Der Rechner sollte mindestens 256 MByte RAM aufweisen.
Das Schöne an der Sache ist, dass Sie alle vier Virenscanner mit einem einzigen Aufruf und den entsprechenden Optionen erreichen können: virusscan -a <clam, avg, fprot, bde> -c -g -n -d <Zielort>
|
Option |
Wirkung |
|
-a |
Damit geben Sie an, welchen Virenscanner Sie verwenden möchten. clam – ClamAV, avg – Grisoft AVG, fprot – F-Prot, bde – BitDefender. Geben Sie diese Option nicht an, verwendet die Software als Standard ClamAV. |
|
-c |
„Use Common Extensions“: Nur gebräuchliche Dateiendungen scannen. Diese Option funktioniert nur mit ClamAV und beschleunigt den Scan-Prozess. |
|
-g |
„Get Only“: Hiermit laden Sie die neuesten Viren-Patterns nur herunter. Ein Virus-Scan wird hinterher nicht ausgeführt. |
|
-d |
„Destination“: Zu untersuchender Zielordner. Hier können Sie auch mehrere Ordner angeben. Diese müssen mit einem Komma getrennt sein. Verwenden Sie diese Option nicht, scannt TRK alle lokalen Dateisysteme, die es finden kann. |
|
-n |
„No Update“: Damit prüft die Software nicht nach den neuesten AntiVirus-Signaturen. |
|
-h |
Zeigt eine Hilfedatei an. |
Zum Beispiel scannt der Aufruf virusscan -g avg alle gefundenen lokalen Festplatten. Sollte eine Partition noch nicht gemountet sein, geschieht dies automatisch. Nach dem Herunterladen von Grisoft AVG müssen Sie noch die angegebene Lizenznummer eingeben. Danach legt der Scanner los.
winpass und regedit
Mit winpass können Sie die Passwörter der vorhandenen Benutzer auf dem System zurücksetzen oder ändern. Rufen Sie das Tool ohne Optionen auf, benutzt es automatisch das Konto „Administrator“. Auf Windows-2000- und -XP-Systemen ist normalerweise Syskey aktiviert. Damit sind die Windows-Passwörter stärker verschlüsselt. Sie könnten dies mit winpass deaktivieren. Allerdings sollten Sie davon die Finger lassen. Damit werden alle Passwörter auf dem System ungültig und auf Windows 2000 lässt sich Syskey nicht wieder aktivieren. Ebenso könnte die Produktaktivierung für XP-Systeme ungültig werden. winpass ermutigt Sie sogar, Syskey nicht zu deaktivieren.
Ansonsten ist die Benutzung von winpass denkbar einfach. Zum Beispiel würde winpass -u testuser das Passwort des Benutzers „testuser“ ändern. Zunächst gibt Ihnen das Tool noch eine Liste aller gefundenen Windows-Installationen und Sie können auswählen, welche Sie verwenden wollen. Danach steht einer Passwortänderung nichts mehr im Wege. winpass -l listet alle angelegten Anwender auf und winpass -h zeigt Ihnen eine Liste aller vorhandenen Optionen.
regedit basiert auf dem gleichen Script wie winpass. Doch es kopiert alle „Registry Hives“ und öffnet diese. Dazu gehören SAM, Security, System und Software. Das Tool weiß nur nicht, welche Anwender-Registry es öffnen soll. Wer es benutzen möchte, findet Genaueres in der Dokumentation.
NTFS-Partitionen mit CloneXP klonen
Dieses Werkzeug kann eine NTFS-Partition übers Netzwerk auf eine Festplatte eines anderen Rechners klonen. Dazu müssen allerdings beide Rechner mit TRK gebootet sein. Der Empfänger muss den SSH-Daemon aktiviert haben. Dies erreichen Sie mit der Bootoption 8: TRK 3.2 with a secure shell server enabled. Selbstverständlich muss die Empfängerpartition mindestens genauso groß sein wie die Senderpartition. Sollte dies nicht der Fall sein, hilft das implementierte Partitionswerkzeug qtparted weiter.
CloneXP hat zwei Modi: Ohne Optionen aufgerufen, fragt das Tool nach den entsprechenden Daten. Sie können diese aber auch direkt übergeben. Zum Beispiel klont clonexp /dev/hda1 192.168.1.100:/dev/sdb1 die erste Partition der IDE-Festplatte im Quell-Rechner auf die erste Partition der zweiten SCSI-Festplatte des Ziel-Rechners. Letzterer hat in diesem Fall die IP-Adresse 192.168.1.100. Weiterhin steht die Option --bkupbr zur Verfügung. Dies kreiert eine Kopie des Bootrecord, speichert sie in eine Datei und legt sie dann auf der Ziel-Festplatte ab.
mountallfs: Alle gefundenen Massenspeicher einbinden
mountallfs erweist sich als nützlich, wenn man nicht alle integrierten Massenspeicher händisch einbinden möchte. Das Tool sucht nach lokalen Festplatten, USB-Sticks und so weiter und bindet diese unter dem Namen der Gerätebezeichnung ein. Zum Beispiel findet sich /dev/hda1 unter /hda1 wieder oder /dev/sdb2 unter /sdb2. Sollten Sie sich nicht sicher sein, ob das eine oder andere Gerät eingebunden ist, hilft eine Eingabe des Befehls mount weiter. Dieser listet Ihnen die derzeitige Mount-Tabelle auf.
Das Werkzeug bringt noch einige Optionen mit sich, die erwähnenswert sind. Ohne Parameter aufgerufen, verwendet das Tool den Kernel-integrierten Treiber für NTFS-Systeme. Dies gibt Ihnen zwar vollen Lesezugriff, jedoch nur eingeschränkten Schreibzugriff. Hilfreicher ist die Verwendung der Option -g. Damit bindet mountallfs NTFS-Partitionen mittels des ntfs-3g-Treibers ein. Somit haben Sie vollen Lese- und Schreibzugriff auf Windows-Partitionen.
Die Option -c verwendet den Captive-Treiber und somit die Original-Windows-Treiber ntfs.sys und ntoskrnl.exe. Diese sind aus Lizenzgründen jedoch nicht auf der CD enthalten. Möchten Sie diese Option verwenden, müssen Sie updatetrk auf einem Rechner ausführen, der Windows XP SP2 installiert oder eine Internetverbindung hat. Erfahrungsgemäß neigt Captive-NTFS bei vielen Schreibzugriffen zum Abstürzen. Die empfehlenswerte Methode ist die Verwendung von ntfs-3g.
mountallfs -l aktiviert das „Logical Volume Management“-Modul, das zum Einbinden von Linux-Partitionen hilfreich ist. Fedora verwendet es zum Beispiel als Standardoption bei der Installation. Der Befehl umountallfs löst alle Bindungen eingebundener Massenspeicher. Dies brauchen Sie eventuell, wenn Sie updatetrk verwenden.
Mit updatetrk, trk2usb und trk2iso eine eigene TRK-Version erstellen
Mit updatetrk können Sie mehr oder weniger ein eigenes TRK basteln. Wenn Sie TRK auf einem System starten, auf dem Windows XP, 2000 oder NT installiert ist, können Sie updatetrk ohne weitere Optionen aufrufen. Dann verwendet es die Datei pagefile.sys, um temporäre Dateien abzulegen. Ist dies nicht der Fall, müssen Sie dem Script mit dem Argument -b sagen, wo es mindestens 250 MByte Platz findet. Diesen Platz benötigt das System, um sich neu aufzubauen.
Zunächst fragt Sie das Script, ob Sie Captive-NTFS verwenden wollen. Dies ist seit ntfs-3g eigentlich obsolet und Sie können es verneinen. Danach holt es die neuesten Virensignaturen für die Virenscanner, beziehungsweise installiert diese zuerst. Als Letztes kopiert es die Verzeichnisse /bin, /sbin, /etc und /lib in das neue Image. Alle Änderungen, die Sie hier vorgenommen haben, erscheinen in der eigenen Version. Danach legt es die neue ISO-Datei auf der Partition im Verzeichnis temp ab, wo es die Datei pagefile.sys gefunden hat. Mit der Option -i können Sie dem Script allerdings ein anderes Zielverzeichnis mitteilen. Das Script funktioniert nur, wenn sich die TRK-CD im Laufwerk befindet. Sollten Sie TRK ins RAM booten lassen, wirft es die CD aus. Sie müssten entweder im Standardmodus starten oder die CD manuell einbinden.
trk2iso kreiert eine ISO-Datei des momentan laufenden Trinity Rescue Kit. Es ist ähnlich zu updatetrk, holt sich jedoch keine Updates aus dem Internet. Die Datei finden Sie danach in dem Verzeichnis, in dem Sie das Script gestartet haben. trk2usb kopiert das Betriebssystem auf einen USB-Stick oder eine Festplatte. Danach könnten Sie das Rettungssystem auf einem USB-Gerät mitnehmen. Voraussetzung für den Einsatz ist dann, dass der zu rettende Rechner von USB starten kann.
Ntfsundeleteall und photorec
Dieses Helferlein ist ein „Wrapper“ für ntfsundelete. Es versucht, alle gelöschten Dateien auf einer NTFS-Partition zu finden und wieder herzustellen. Die zu durchsuchende Partition darf dabei nicht eingebunden sein. Weiterhin müssen Sie eine andere Partition für die wieder hergestellten Dateien definieren. Das Script schreibt keine Daten auf die zu durchsuchende Partition zurück. Es bestünde die Gefahr, andere gelöschte Dateien zu überschreiben. Beispielsweise würde ntfsundeleteall /dev/hda1 /<andere Partition>/temp alle wieder hergestellten Dateien nach <andere Partition>/temp sichern. Das Problem ist, dass genannter Aufruf alles wieder herstellt, was er finden kann. Wollen Sie nur Daten wiederhaben, die zu 100 Prozent vorhanden sind, hilft der Befehl ntfsundeleteall /dev/hda1 /<andere Partition>/temp 100.
Ein weiteres Werkzeug, um Daten wieder herzustellen, ist photorec. Dieses Tool ist dateisystemunabhängig. Es versucht weiterhin, bekannte Datenformate zu erkennen. Es ist allerdings nicht imstande, den originalen Dateinamen zu finden. Nach einer Rettungsaktion müssen Sie das händisch erledigen.
Datenserver mittels Samba
Der Aufruf fileserver startet Samba unter TRK. Damit könnten Sie von anderen Windows-Rechnern auf die eingebundenen Laufwerke zugreifen. Das Script beinhaltet zwei Optionen. Zum einen den sicheren Modus, den Sie mittels fileserver -s starten. Dieser Modus fragt den Anwender nach einem User und einem Passwort. Nur dieser User hat danach die Berechtigung, auf die eingebundenen Partitionen zuzugreifen. Der Gastmodus, fileserver -g, gibt jedem Benutzer im selben Netzwerk Zugriff auf die Daten. Sie sollten vor der Benutzung des Gastmodus überlegen, wie wichtig die Daten auf dem zu rettenden System sind.
Das Script ruft ebenfalls mountallfs -g auf. Danach verrät es die IP-Adresse, unter welcher der Samba-Server zu erreichen ist. Danach sollten Sie den TRK-Rechner im Netzwerk finden und auf die eingebundenen Partitionen zugreifen können.
Trinity Rescue Kit für Sniffing als „Bridge“ nutzen
TRK lässt sich mit dieser Funktion ebenfalls als so genannte Bridge einsetzen. Somit könnten Sie sich zwischen einen PC und zum Beispiel einen Switch schalten und den kompletten Netzwerkverkehr des Rechners untersuchen. Alles, was Sie dafür brauchen, ist ein PC mit zwei Netzwerkkarten. Wichtig dabei ist, dass nur eine Netzwerkkarte eine IP-Adresse besitzt. Sollten beide eine haben, fahren Sie zum Beispiel Nummer zwei mit ifconfig eth1 down herunter. Danach rufen Sie den Bridge-Modus mit bridge up auf.
Nun könnten Sie mit tcpdump -i eth0 das Sniffen beginnen. Somit sehen Sie jedweden Traffic, der von dem PC ausgeht. Um etwas spezieller zu filtern, hilft grep weiter. Wollen Sie zum Beispiel nur HTTP-Traffic sehen, würde der Befehl folgendermaßen aussehen: tcpdump -i eth0 | grep http. Sie können übrigens auch mehrere grep-Befehle hintereinander schreiben. Wollen Sie nur den HTTP-Traffic sehen, der zum Beispiel zur IP-Adresse 217.111.81.70 geht, verwenden Sie diesen Aufruf: tcpdump -i eth0 | grep 217.111.81.70 | grep http
setip und setproxy
setip ist relativ unspektakulär, kann allerdings nützlich sein. Damit weisen Sie einer bestimmten Netzwerkkarte eine fixe P-Adresse zu. Ein entsprechender Aufruf sähe zum Beispiel so aus: setip eth0. Das Script fragt nach der zu vergebenden IP-Adresse, Subnetzmaske, Default Gateway und DNS Server. Die beiden Letzteren sind optionale Angaben. Diese brauchen Sie allerdings, wenn Sie ins Internet wollen.
Mit setproxy können Sie TRK Proxy-Einstellungen mitteilen. Dies ist hilfreich, wenn Sie sich nicht direkt ins Internet verbinden können. Das Script fordert die IP-Adresse oder den Hostnamen des Proxy-Servers an, den Port und optional Benutzername und Passwort. Dieses Script könnte auch schon im Bootmenu aufgerufen werden. Folgende Applikationen verwenden danach die Proxy-Einstellungen: wget, links, ClamAV, F-Prot, Grisoft AVG und BitDefender.
Fazit
Trinity Rescue Kit sollte jeder Administrator im Gepäck haben, Gleiches gilt für den Heimanwender. Gewöhnungsbedürftig ist wohl für viele, dass sich im Prinzip alles auf der Kommandozeile abspielt.
Dennoch ist es kein Hexenwerk, mit der Distribution umzugehen. Die Dokumentation ist relativ verständlich und beinhaltet kleine Beispiele. Der Entwickler hat sich sehr viel Mühe gegeben. Die bereitgestellten Werkzeuge sind intelligent gewählt und zeigen, dass professionelle Selbsthilfe nichts kosten muss. Somit steht Ihnen ein freies Rettungssystem zur Verfügung, das sich nach einem Crash als sehr nützlich erweist.
Es lohnt sich auf jeden Fall ein Blick in die Dokumentation (trkhelp -l). Dort kann der Anwender den einen oder anderen „Aha“-Effekt ergattern. Vor allen Dingen der dritte Punkt „Procedures“ hilft weiter. Hier gibt der Entwickler wertvolle Tipps. Zum Beispiel finden Sie dort, wie sich eventuell Daten von sterbenden Festplatten retten lassen. Im Punkt 5 lesen Sie, wie Sie Trinity Rescue Kit via PXE aus dem Netzwerk heraus starten können.
Als Alternative zu TRK ist die SystemRescueCD zu erwähnen. Auch hier schadet es nicht, eine Kopie zu haben. Dennoch kann das Trinity Rescue Kit etwas mehr und ist einfacher zu bedienen. (mec)