c't-Notfall-Windows 2019

c't-Notfall-Windows 2019

Praxis & Tipps | Projekt

Wir haben den Bausatz für das Notfall-Windows überarbeitet und ein zentrales Werkzeug ausgetauscht: Auf einem aktuellen Top-PC dauert das Zusammenstellen des Systems jetzt nur noch wenige Minuten.

Wir haben den Bausatz für das von USB-Stick ausführbare c't-Notfallsystem überarbeitet. Der selbst angefertigte Stick hält Virenscanner, Datenretter, Analysewerkzeuge, Passwortrücksetzer und Viewer bereit. Mit ihm können Sie Ihren Windows-PC zum Starten überreden oder auf Schädlingsbefall überprüfen. Woher Sie den Bausatz bekommen, wie Sie ihn benutzen und wie Sie später mit den enthaltenen Werkzeugen arbeiten können, erklären die folgenden Artikel (die Links verweisen auf Leseproben):

Das Folgende ergänzt die Artikel und nimmt häufige Supportanfragen auf. Sollten Sie weder in den Artikeln noch hier die nötige Hilfestellung finden, schauen Sie doch im Forum vorbei. Gern können Sie uns auch per E-Mail Fragen stellen. Richten Sie diese bitte an notwin19@ct.de und fügen Sie bei Bauproblemen gleich ein Log im HTML-Format an.

Der Artikel versprach die Empfehlung einer Windows-Version zum Verfüttern an den Bausatz. Wir hätten nach weiteren Tests eigentlich die zwischenzeitlich frisch erschienene Langzeitsupport-Version von Windows 10 (1809) dafür empfohlen. Doch leider hat Microsoft Version 1809 zunächst aus dem Verkehr gezogen.

Inzwischen hat Microsoft 1809 wieder in Umlauf gebracht. Der Bausatz funktioniert ohne Änderungen mit diesem Re-Release. Letztlich ist Windows 10, LTSC, 1809 die für den Bau empfehlenswerte Version. Einen Grund, ältere Fassungen zu verwenden sehen wir derzeit nicht.

Überholt (zurückgezogene Fassung):

Unter Windows 7 hilft die folgende Software, die ISO-Datei als Laufwerk einzubinden. Neuere Windows-Versionen können das ohne zusätzliche Software.

Dauerthema bei Bausätzen für ein Windows-PE-basiertes Notfallsystem sind Fehlalarme von Antivirus-Software beim Entpacken der Zip-Archive, beim Bauen oder auch im Betrieb, wenn ein Scanner das laufende System untersucht. Wir haben den letzten Bausatz des Notfall-Windows akribisch untersucht und die Ergebnisse in einem eigenen Artikel zusammengefasst.

Der aktuellen Ausgabe des c't-Notfall-Windows sind wir mit analogen Methoden zu Leibe gerückt und sind dabei auf die in der folgenden Tabelle genannten Programme gestoßen, die den einen oder anderen VIrenscanner auf den Plan rufen. Nach bestem Wissen und Gewissen handelt es sich dabei um Fehlalarme, die meist durch heuristische Verfahren ausgelöst werden – wirkliche Malware verwendet ähnliche Verfahren oder Techniken.

Programmname Version Funktionsbeschreibung
c_helper_x64.exe x64 Hilfsprogramm für alternative Shell (WinXShell), die im Projekt nicht aktiv ist
c_helper_x86.exe
x86 dito
hiderun.exe x64 versteckt Ausgaben von Programmen, im laufenden PE eingebaut
hiderun.exe x86 dito
nircmd.exe x86 kann lautlos allerhand Dinge: Registry bearbeiten, Lautstärke regeln, Verknüpfungen erstellen; von NirSoft, den BlueScreenView-Machern
pecmd.exe x86 steuert beim Start des Notfallsystems startende Programm, skriptartige Funktionsweise
regcpe.exe x86 konvertiert Registry-Dateien; Werkzeug für Experten, die selbst Anpassungen vornehmen wollen; wird beim Bauen nicht verwendet, nur interaktiv
Der Bausatz prüft sicherheitshalber, ob Antivirus-Software eingegriffen hat. Falls ja, bricht er den Vorgang mit einer Warnung ab.

Wie Antivirus-Software auf den aktuellen Bausatz reagiert, scheint von der Tagesform des jeweiligen Programms abzuhängen. Microsofts eigener Defender hat bei unseren umfanrgreichen Tests einige wenige von vielen dutzend Versuchen torpediert. Das Programm stolpert dann über pecmd.exe. Unsere Plausibilitätsprüfung erkennt das üblicherweise und bricht den Bauvorgang ab. Neben pecmd.exe achtet sie dabei zur Zeit auf hiderun.exe.

Mit einer Ausnahmeregel für das von ihnen verwendete Bauverzeichnis (im Beispiel c:\ctnot) können Sie dieses Eingreifen unterbinden.

Eine Ausnahme für das zum Bauen verwendete Verzeichnis lässt den Defender stillhalten.

Wenn unsere Plausiblitätsprüfung zugeschlagen hat oder eine Antivirus-Software andere Dateien aus dem Verkehr gezogen hat, ist die Bausubstanz in der Regel beschädigt. Löschen Sie dann unbedingt das Bauverzeichnis und entpacken Sie das Zip-Archiv erneut. (ps)

Einige Leser haben von Bauproblemen berichtet. Wir sind denen nachgegangen und haben in vielen Fällen Lösungen gefunden, die sich zum Teil auf Konfigurationsprobleme abbilden ließen. Wir möchten deshalb einige Detail-Änderungen am Bausatz ausprobieren.

1) Ein Pre-Flight-Skript prüft auf einige typische Fehler:

  • im Bauverzeichnis aktive Antivirus-Software
  • fehlerhafte Autorun-Konfiguration für die Eingabeaufforderung
  • abgeschaltete NTFS-Kompression, stört Umgang mit WIM-Dateien

Je nach Schwere bricht das Skript den Bauvorgang ab. Es gibt eine Check-Box, die Prüfung und Abbruch verhindert.

2) Außerdem werten die Skripte, die weitere Software herunterladen, den Status sauberer aus – unter unklaren Umständen scheiterten Downloads, doch der Bauvorgang lief weiter.

Zum Einspielen der aktualisierten Skripte muss der Explorer 18 Dateien ersetzen.

Zur Zeit ist das Update von Hand einzuspielen. Entpacken Sie das Zip-Archiv Update 1 vom 21.11.2018 und kopieren Sie die Datein in das Bauverzeichnis. Wenn Sie das mit dem Explorer tun, wird der warnen, dass 18 Dateien bereits vorhanden sind. Erlauben Sie das Ersetzen.

Das Einspielen der Dateien aus dem Zip-Archiv sollte auch in einem bereits verwendeten Bauverzeichnis funktionieren. Wenn allerdings der Bauvorgang zuvor gescheitert ist, sollten Sie unbedingt das Verzeichnis leeren und das Original-Zip-Archiv ctnotwin19.zip entpacken und dann das Update darüber kopieren.

Bewegte Bilder sagen mehr als tausend Worte: Wir haben die typischen Handgriffe eines Bauvorgangs mit einem Screencast-Programm aufgezeichnet und mit Untertiteln versorgt:

Bauvorgang – Vorbereiten und starten
Bauvorgang – Abschließen und Protokoll sichern
Bauvorgang – USB-Stick bespielen

Kommentare

Kommentare lesen (383 Beiträge)

Anzeige