c't-Notfall-Windows 2018

c't-Notfall-Windows 2018

Praxis & Tipps | Projekt

Unser Bausatz für ein Notfallsystem auf Windows-Basis ist 2017 etwas früher dran als bisher. Die aktualisierte Fassung minimiert Downloads und integriert neue Werkzeuge, die bei Trojanerbefall eines PCs helfen.

Details, wie Sie den Bausatz benutzen und wie Sie später mit den enthaltenen Werkzeugen arbeiten können, erklären die folgenden Artikel (die Links verweisen auf Leseproben):

Selbstmedikation, c't-Notfall-Windows 2018: Bausatz anwenden, c't 21/17, S. 76

Helfer unter der Lupe, Vom c't-Notfall-Windows getriggerte Viren-Alarme, c't 21/17, S. 80

Beipackzettel, Tipps und Tricks zum c't-Notfall-Windows 2018, c't 21/17, S. 82

Pille danach, Virensuche mit dem c't-Notfall-Windows, c't 21/17, S. 88

Den Bausatz für das c't-Notfall-Windows 2018 erhalten Sie auf der Heft-DVD von c't 21/17.

Zum Bauen ist wie gehabt der Download von Windows 10 LTSB (1607) nötig:

Update: Links haben sich im Juli 2018 geändert. Die md5-Summen sind unverändert:

x64-Ausgabe (64 Bit)

x86-Ausgabe (32 Bit)

Die alten Links, Download zur Zeit (11.7.2018) nicht mehr möglich:

x64-Ausgabe (64 Bit), md5: 6c81bceae01424259bc548c21bca38c0

x86-Ausgabe (32 Bit), md5: 07517491a3589a3af8dcec01ab7c5455

Unter Windows 7 hilft die folgende Software, die ISO-Datei mit der LTSB-Version als Laufwerk einzubinden. Neuere Windows-Versionen können das ohne zusätzliche Software.

WinCDEmu via Heise Softwareverzeichnis

Beachten Sie bitte die Hinweise aus c't 21/17 ab Seite 76 zum Bauen und für den Einsatz des Notfallsystems. Das folgende Material ergänzt und vertieft die dortigen Hilfestellungen. Für Freunde des Bewegtbildes finden Sie auf der Projektseite des Vorgängers auch Videos zur Bedienung. Die lassen sich auf die aktuelle Fassung übertragen.

Die Bedienung des Winbuilder zum Bauen des Notfallsystems benötigt nur wenige Handgriffe. Da mit dem Werkzeug allerlei Extrawürste zu realisieren sind, fallen die Handgriffe nicht gerade intuitiv aus. Die Bilderstrecke zeigt die entscheidenden Kniffe.

Wir haben untersucht, welche vermeintlichen Schädlinge gänge Antivirus-Software im Notfallsystem und seinem Bausatz finden könnte, indem wir die Dateien bei Virustotal abgeladen haben. Die gegenüber dem gedruckten Heft mit Links angereicherte Tabelle fasst die Ergebnisse zusammen. Der begleitende Artikel in c't 21/17 erläutert die Beobachtungen. Die Links auf den Programmnamen führen auf die jeweiligen Reports bei Virustotal.

Programmname Pfad Archiv Rate Einschätzung Funktion
Im Baupaket
AU3361.exe Projects/Tools/Win10PESE/x86 ctnotwi1 1/64 Gängige AutoIt-Skript-Engine Greift Winbuilder unter die Arme
AU3381.exe Projects/Tools/Win10PESE/x86 ctnotwi1 2/64 Gängige AutoIt-Skript-Engine Greift Winbuilder unter die Arme
BuilderSE.exe ctnotwi1 2/64 Unersetzbar Winbuilder-Spezialtool Führt Bauanleitung aus
ExpEnvVar_x86.exe Projects/Tools/Win10PESE/x86 ctnotwi1 2/57 Unersetzbar Winbuilder-Spezialtool Fügt Variablen in Registry ein
hiderun_x64.exe Projects/Tools/Win10PESE/x64 ctnotwi1 14/64 Unbedenklich, gängiges Werkzeug Verbirgt Kommandozeile
hiderun_x86.exe Projects/Tools/Win10PESE/x86 ctnotwi1 2/65 Unbedenklich, gängiges Werkzeug Verbirgt Kommandozeile
HiveUnload.exe Projects/Tools/Win10PESE ctnotwi1 3/57 Unersetzbar Winbuilder-Spezialtool Entladen von Registry-Hives/aufräumen
innounp.exe Projects/Tools/Win10PESE ctnotwi1 1/64 Sourceforge-Projekt; Quellen erhältlich Unpacker für Inno-Installationspakete
InstallWimSYS.exe Projects/Tools/Win10PESE ctnotwi1 1/57 Unersetzbar Winbuilder-Spezialtool Handling von u.a. wimmount-Treibern
PEChecksum.exe Projects/Tools/Win10PESE ctnotwi1 1/64 Unbedenklich, gängiges Werkzeug Ändert EXE normalerweise unbenutzt
sCalculate.exe Projects/Tools/Win10PESE ctnotwi1 1/56 Unersetzbar Winbuilder-Spezialtool Hilft beim Rechnen in Skripten
upx.exe Projects/Tools/Win10PESE ctnotwi1 1/65 Unbedenklich, gängiges Werkzeug Entpacken gepackter EXE-Dateien
WimUtil.exe Projects/Tools/Win10PESE/x86 ctnotwi1 6/64 Unersetzbar Winbuilder-Spezialtool Wrapper für dism, imagex & Co
WimUtil.exe Projects/Tools/Win10PESE/x64 ctnotwi1 3/58 Unersetzbar Winbuilder-Spezialtool Wrapper für dism, imagex & Co
zPeIMG.exe Projects/Tools/Win10PESE ctnotwi1 1/60 Unersetzbar Winbuilder-Spezialtool Hilft bei Treiberintegration
Nach Baulauf im temp-Verzeichnis
echofile.exe Win10PESE (u.a.) cn18tmp1
6/64 Unersetzbar Winbuilder-Spezialtool
Ausgaben in Variablen wandeln

SumatraPDF.exe
(nur x86)
Win10PESE/TempEx...SumatraPDF cn18tmp2_x86 1/64 Vertrauenswürdig, vom Autor signiert PDF-Viewer
wiminfo.exe Win10PESE\WimInfo cn18tmp2
8/62 Unersetzbar Winbuilder-Spezialtool Infos aus WIM-Dateien lesen
Wind_x86.7z
(nur x86)
Win10PESE/TempExtractFolder/Wind cn18tmp2_x86 1/55 Unersetzbar Winbuilder-Spezialtool
enthält wind.exe (s.u.)
Im 32-Bit-Notfallsystem
7zFM.exe Programs/7-Zip cn18_32_1 1/51 Gängiger Betandteil, wohl OK 7Zip-Dateimanager
BlueScreenView.exe Programs/bluescreenview cn18_32_2 2/65 Vertrauenswürdig, vom Autor signiert Analysiert Bluescreens
BOOTICEx86.exe Programs/BootIce_Pauly cn18_32_2 2/64 Vetrauenswürdig, nicht signiert Bearbeitet u.a. Boot-Records
CntrtextMig.dll sources/wimfiles/Windows/System32/migration cn18_32_7 1/62 Signierte Datei aus Windows Unbekannt
mmc.exe sources/wimfiles/Windows/System32 cn18_32_7 1/65 Unsignierte Datei aus Windows Management Console
MountPEmedia.exe sources/wimfiles/Windows/System32 cn18_32_7 6/64 Unersetzbar Winbuilder-Spezialtool Mount-Helfer im Notfallsystem
wbengine.exe sources/wimfiles/Windows/System32 cn18_32_8 1/65 Unsignierte Datei aus Windows Unbekannt, vermutlich Backup
wdsr040c.dll Programs/WinDirStat/App/WinDirStat cn18_32_5 3/48 Vertrauenswürdig, nicht signiert Teil von Windirstat
Wind.exe sources/wimfiles/Windows/System32 cn18_32_8 5/62 Unersetzbar Winbuilder-Spezialtool Desktop-Handling in Windows PE
wininit.exe sources/wimfiles/Windows/System32 cn18_32_8 1/63 Signierte Datei aus Windows Unbekannt
Im 64-Bit-Notfallsystem
CustomMarshalers.dll Programs/assembly/GAC_32/CustomMarshalers/... cn18__10 1/65 Unsignierte Datei aus Windows Unbekannt
detpex.dlz Programs/HDSentinel cn18__06 1/61 Unklar Archiv innerhalb von HDSentinel
HDSAction.exe Programs/HDSentinel cn18__06 1/61 Vertrauenswürdig, vom Autor signiert Teil von HDSentinel
HxD.exe Programs/HxD cn18__06 1/63 Vertrauenswürdig, nicht signiert Hex-Editor
PENetwork.exe sources/wimfiles/Program Files cn18__06 1/61 Vertrauenswürdig, nicht signiert Netzwerk-Tools für Windows PE
RansomNoteCleaner.exe Programs/RansomNoteCleaner cn18__06 1/63 Vertrauenswürdig, vom Autor signiert Crypto-Trojaner-Aufräumhilfe
rawcopy.exe Programs/Rawcopy cn18__06 1/65 Vertrauenswürdig, nicht signiert Datenträger sektorweise kopieren
twinui.dll sources/wimfiles/Windows/System32 cn18__03 1/65 Unsignierte Datei aus Windows Unbekannt
wordpad.exe sources/wimfiles/Program Files/.../Accessories cn18__06 1/64 Unsignierte Datei aus Windows Editor

Zum Vergleich stellen wir die Logs von Bauläufen zur Einsicht bereit, die den erfolgreichen Bau eines Notfallsystems dokumentieren.

Erfolgreicher Baulauf, LTSB 1607, x86, mit fiktiver Update-Warnung

Erfolgreicher Baulauf, LTSB 1607, x64, mit fiktiver Update-Warnung

Soweit keine verfügbar.

Wenn ich Dateien aus dem Bausatz bei virustotal hochlade, kommt der Dienst zu anderen Einschätzungen. Woran liegt das?

Ein solcher Scan ist immer ein Schnappschuss. Wenn man Virustotal dazu veranlasst, eine Datei erneut zu prüfen, kann das Ergebnis abweichen.

Kommentare

Kommentare lesen (390 Beiträge)

Anzeige