Hallo Leute, Meine Frage: Ich habe einen USB-Stick, dieser ist entsprechend formatiert, und ich kann über den Windows Explorer Dateien lesen und schreiben. Ist es irgendwie möglich, über die regulären Funktionen die der USB-Standard für Massenspeicher vorsieht, Daten im Speicher zu platzieren, die nicht in der Partitionstabelle erscheinen, und dadurch am PC an dem der Stick angesteckt wird, nicht direkt sichtbar sind? Die Daten können daher nur durch direkten Lesezugriff auf die bekannte Adresse gelesen werden. Wenn jetzt jemand eine riesige Datei reinschreibt, und meine versteckten Daten dadurch überschrieben werden wäre das egal. Wäre sowas technisch realisierbar? Viele Grüße Max
Hi Ja, ist machbar. Um wie viele Bytes geht's denn? Bei paar wenigen kannst du die in den Sektor mit der Partitionstabelle bzw. In den Bootsektor schreiben. Ob man da aber ohne Adminrechte unter Windows was rauslesen kann kann ich dir nicht sagen. Matthias
Windows findet eine Partition immer (auch wenn das kein NTFS/FAT etc ist), Du kannst höchstens einen Bereich nicht partitionieren, der erscheint dann als nicht belegt, und in diesen Bereich direkt schreiben, das ist mit Windows aber nicht so einfach, das können z.B. manche Hex-Editoren. Linux kann das easy, man schreibt z.B. nach /dev/sdb
Klar, kannst machen. dd bringt dafür skip und seek mit, damit kannst du deine Daten außerhalb der Partitionen und damit außerhalb der Dateisysteme und damit für Betriebssysteme unsichtbar direkt auf den Stick malen. Allerdings: wenn dein System nicht weiß, dass außerhalb der Partitionen Nutzdaten sind, kann's auch keine Rücksicht drauf nehmen. Gerade Windows braucht dann nur noch einen falschen Klick beim Einstecken des Sticks, und die Daten sind kaputt.
Man kann aber "BadBlocks" markieren. Die Bereiche werden dann vom Dateisystem ignoriert. Dort kann man dann Daten reinschreiben
Truecrypt-Container in benötigter Größe erstellen, Daten reinkopieren und dann die Erweiterung des Containers nach .zip ändern. Für jeden "normalen" Benutzer ist dies einfach nur eine defekte zip-Datei. Du kannst die zip-Datei auch direkt mit Truecrypt öffnen über "Öffnen mit.." Verwende Truecrypt in der letzten sicheren Version 7.1
> platzieren, die nicht in der Partitionstabelle erscheinen, und dadurch > am PC an dem der Stick angesteckt wird, nicht direkt sichtbar sind? Kein Problem. Kauf dir einen 64GB Stick und einen 32GB Stick. Bau den 64er in die Huelle des 32er ein. Unter Linux legst du dir eine Partition von 32GB an und eine weitere 32GB. Die erste fuellst du mit den Daten die du sichtbar haben willst, die zweite mit den Daten die unsichtbar sein sollen. Wieder unter Linux liesst du die Partitionstabelle aus und speicherst sie irgendwo ab. Danach loescht du die zweite Partition. Jetzt sind nur die Daten der ersten Partition sichtbar. Lediglich wenn du den Stick neu formatierst wird dir ein windows sagen das es 64GB auf dem Stick machen koennte, aber wer macht das schon? Willst du wieder an die Daten so stellst du unter linux die vorher gesicherte Partitionstabelle wieder her. Damit solltest du nach Nordkorea, China, USA oder irgendeinen anderen Schurkenstaat einreisen koennen ohne das sofort auffaellt das du deine Parnosammlung dabei hast. :-D Aber klar, einer ernsthaften Untersuchung haelt das nicht stand. Frueher konntest du auch einfach nur die Partitions-ID aendern. Linux bietet dir da ja eine reichliche Auswahl. Aber ich glaube Win10 ist mittlerweile schlauer geworden und versucht dann trotzdem was anzuzeigen. Lustig war das immer bei Win98. Wenn man da einen Stick mit einer FAT32 und einer ext2 Partition reingesteckt hat dann kam in einer Sekunde ein blauer Bildschirm. Olaf
Oben wurde ja schon TrueCrypt erwähnt, das inzwischen in VeraCrypt aufgegangen ist. Du könntest auf dem USB-Stick zwei Volumes anlegen. Das erste ist eine normale Partition, die von Windows gesehen wird. Das zweite Volume kannst du mit VeraCrypt verschlüsseln. Unter Windows sind die Daten auf dem zweiten Volume erst sichbar, wenn du das Volume mit mit VeraCrypt mountest. Das hätte auch noch den Vorteil, dass deine versteckten Daten nicht überschreibbar sind und unter keinen Umständen sichtbar sind, selbst wenn jemand mit einem Diskeditor auf dem Stick sucht.
Sicher, das auf einem Flashspeicher eine Partition in ihrer logischen Grenze auf dem Medium bleibt? Will sagen: Macht dir Wear Leveling nicht einen Strick draus, weil unbenutzter Speicher Freiwild ist und zur Beschleunigung benutzt wird? Früher™ hat man gesagt, das man am Ende der SSD 20% unbenutzt/unpartitioniert lassen muss, damit die SSD nicht irgendwann abschmiert, weil es keine benutzbaren Blöcke mehr gibt. Ähnliches gälte für defekte Blocks: das entscheidet der Flashcontroller, das kann man selber nicht. Truecrypt oder besser Veracrypt können sowas ähnliches mit dem Hidden Container. Nur hat der Hidden auch einen Visible, d.h. jeder weiß, das dein Medium gecryptet ist, das ist Teil der "plausible Deniability"-Strategie. In so wie es der OP will nur andersrum können das nur die Chinesen: die verkaufen 4GB als 4TB. Für 4€. Da wird an der Firmware des Flashcontrollers rumgepfuscht, damit er mehr meldet. Müsste ähnlich auch für "weniger" gehen, ist halt nur schwer einen Stick zu finden, bei dem man die Firmware verändern kann, und dann muss man auch noch wissen wie es geht.
Erwin E. schrieb: > Unter Windows sind die Daten auf > dem zweiten Volume erst sichbar, wenn du das Volume mit mit VeraCrypt > mountest. Das 2. Volume ist aber eine 2. Partition oder eine Datei, beides ist zumindest sichtbar, im Falle der Datei auch löschbar. Oder nicht?
Wenns dir um die Sicherheit geht (was bei USB-Sticks ja ein wichtiges Thema ist), dann würde ich ebenfalls einen Truecrypt-Container vorschlagen. Das Problem mit versteckten Daten ist halt, dass man sie zum Einen relativ leicht findet, und außerdem versehentlich überschreiben kann. Beispielsweise, wenn jemand sieht "Oh, der ist ja 64GB groß, es ist aber nur eine 32GB-Partition drauf". Dann sind die Daten schnell überschrieben. Es gibt von Truecrypt eine "portable" Version, die mit auf den USB-Stick geben kann. Dann muss man das nicht installieren, wenn man auf einem fremden PC an seine Daten will. Natürlich ist Truecrypt "veraltet". Um irgendwelche normalen Leute und Kleinkriminelle vom Lesen der Daten abzuhalten, reicht das aber immer noch locker. Einfach zu umgehen ist der Schutz nämlich nicht.
Μαtthias W. schrieb: > Bei paar wenigen kannst > du die in den Sektor mit der Partitionstabelle bzw. In den Bootsektor > schreiben. Ob man da aber ohne Adminrechte unter Windows was rauslesen > kann kann ich dir nicht sagen. Partitionstabelle kann nur Admin lesen. Interessanter sind die bei FAT vorgesehenen "reservierten Sektoren" vor der eigentlichen Allocation Table. Auf die kann IMHO auch Luser zugreifen. Allerdings muss man die beim Anlegen des Dateisystems explizit vorsehen, darf also nicht das doofe Windows Formatier Tool benutzen, sondern z.B. mkdosfs unter Linux. Bonus Punkte gäbe es wenn man dardurch die FATs auf MB-Grenzen ausrichtet. Das macht z.B. der SDCard Formatter von sdcard.org so.
Oder vielleicht ein Passwortgeschütztes LVM erzeugen? Ich denke es ist wie vom TO bisher gewünscht technisch nicht möglich.. es ist alles immer Löschbar. Man könnte es auch Hardwaretechnisch erledigen. Es gibt ja schon 0-128GB Sticks die nur 4mm länger als der USB-Stecker selbst sind.. davon baut man 2 in ein größeres Gehäuse. (Zur Sicherheit den einen komplett verschlüsselt.) Die beiden trennt man nur auf VCC auf mit Mosfet oder sogar MCU gesteuert. Die Aktivierung des Wechsels könnte man über RFID, Reed-Kontakt, NFC, Bluetooth oder einem kleinen button zum "Morsen" oder was auch immer machen.
:
Bearbeitet durch User
Jens M. schrieb: > Das 2. Volume ist aber eine 2. Partition oder eine Datei, beides ist > zumindest sichtbar, im Falle der Datei auch löschbar. > Oder nicht? Die VeraCrypt-Partition erscheint als nicht zugeordneter Speicherplatz, es ist nicht erkennbar, dass da eine verschlüsselte Partition liegt. Wenn jemand kurzerhand eine Partition in diesem Bereich anlegt, ist es natürlich vorbei mit der Herrlichkeit, die verschlüsselten Daten sind dann weg. Das ist aber für den OP scheinbar kein Problem, wie er ja geschrieben hat. Ein Datei, die eine VeraCrypt-Contaier enthält, ist allerdings sichtbar. Nur ist von außen nicht erkennbar, dass es ein Container ist...
Hallo Leute, Danke für die zahlreichen Infos. Ich denke, dass ich da was passendes zusammenkriegen werde. Im Wesentlichen handelt es sich nur um ein paar Bytes die nicht sofort auffindbar sein sollen, Danke und Viele Grüße Max
Max schrieb: > Im Wesentlichen handelt es sich nur um ein paar Bytes die nicht sofort > auffindbar sein sollen, Wenn's sich um einen Schlüssel oder ähnlich wichtigen Kram geht, denk an das Backup. USB-Sticks sind so schon nicht als besonders zuverlässige Medien bekannt; wenn man dann noch z.B. die Sicherungsschicht vom Dateisystem aushebelt, wird es nochmal eine Größenordnung weniger sicher.
wenn es nur um wenige bytes geht, verstecke die doch in den meta Daten einer Bild Datei oder - etwas weniger 'stealthy' - der Kommentarsppalte einer Audio Datei oder so. 'sid
Erwin E. schrieb: > Die VeraCrypt-Partition erscheint als nicht zugeordneter Speicherplatz, > es ist nicht erkennbar, dass da eine verschlüsselte Partition liegt. Ah ok, wusste ich nicht, danke. Eine Stück unbenutzter Speicher ist schon irgendwie auffällig unauffällig, aber wenn es so geht ist es ja exakt das was er will. Aber (nochmal): bleiben die da abgelegten Daten erhalten, wenn vorne eine benutzte Partition dran ist? Auf einer Magnetplatte beegt sich der Kopf nur in dem der PArtition zugewandten Teil. Bei Flash nutzt der Controller wild alles was ihm in die Finger kommt, zum Wear Leveling. Hält der sich an Partitionsgrenzen? Weiß er überhaupt davon? Sonst: - Großen Stick kaufen - Partitionieren (und des Witzes wegen in ein Gehäuse mit kleinerer Beschriftung umbauen...) - Veracrypt-Partition unsichtbar auf dem Rest einrichten - yaaaay
Erinnert mich an 1 Terrabyte USB-Stick für 10 - 20 Euro by Ebay. Da wurde auch ein kleiner Stick umgetrickst. Mit der selben Technik nur halt umgekehrt sollte dein Problem lösbar sein. Gruß Pucki
Jens M. schrieb: > Bei Flash nutzt der Controller wild alles was ihm in > die Finger kommt, zum Wear Leveling. Hält der sich an Partitionsgrenzen? > Weiß er überhaupt davon? Imho muss der Flash Controller das gar nicht wissen. Wear leveling findet eine Ebene darunter statt. Der Algorithmus löscht ja keine Daten (sollte er jedenfalls nicht), sondern weist den Platz einer logischen Speicherzelle einer physikalischen zu. Wenn er der Meinung ist, ein physikalischer Speicherblock müsse geschont werden und ihn deshalb durch einen anderen ersetzt, wird er wohl oder übel erst die Daten der Originalblocks an die neue Stelle kopieren müssen. Woher soll der Controller denn überhaupt wissen, welches Betriebssystem wie auf ihn zugreift und ob ein Speicherblock Nutzdaten enthält oder (momentan) leer ist? Einer Null sieht man nicht an, ob sie absichtlich eine Null ist oder ob die Speicherzelle bloß noch nicht beschrieben wurde.
Also hat der Controller quasi eine Liste welcher Block auf USB-Seite welcher Adresse auf Flashseite entspricht, und somit wird die "blinde" Partition vom Controller nicht benutzt, weil eben auf USB-Seite mangels Partition nicht angesprochen? Ok, wusste ich nicht. Dann geht das natürlich.
Max schrieb: > nicht direkt sichtbar sind? A)Auch WENN etwas sichtbar ist, könnte es verschlüsselt sein? https://de.wikipedia.org/wiki/Spreu-und-Weizen-Algorithmus B)Ein vermeintlich leerer Speicher könnte auch gelöschte DOS-Daten enthalten (wo nur ein Bit) verändert wurde. Üblicherweise sollten diese erst vom System überschrieben werden, wenn der Platz knapp wird?
Max schrieb: > Meine Frage: Ich habe einen USB-Stick, dieser ist entsprechend > formatiert Also kontrollierst du ihn nicht, richtig? Dann geht's nicht, was dir vorschwebt. Alles, was dann geht, da haben die Hacker schon drüber herzhaft gelacht, als du nur das gierige Glitzern in Augen deines Vaters warst... Aber selbst dann, wenn du das MSD vollständig kontrollierst, sieht die Sachlage nicht signifikant anders aus. Im Prinzip läuft es immer auf einen Wettkampf zwischen den Fähigkeiten von "Angreifern" und "Verteidigern" hinaus. Wer in einem öffentliche Forum Tips dazu sucht, hat definitiv nicht den Hauch einer Chance, zu den Siegern dieser Schlacht zu gehören. Das gilt übrigens vollkommen unabhängig davon, ob "Angreifer" oder "Verteidiger"...
Name: schrieb: > Natürlich ist Truecrypt "veraltet". Um irgendwelche normalen Leute und > Kleinkriminelle vom Lesen der Daten abzuhalten, reicht das aber immer > noch locker. Bei Truecrypt gab es wohl einen Fehler, mit dem man ein verstecktes Laufwerk nachweisen (aber wohl nicht knacken) kann. Also Veracrypt verwenden. Wurde hier schon geschrieben, worum es geht? Daten vor Eltern oder Freundin zu verstecken ist etwas anderes, als vor einem großen Geheimdienst.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.