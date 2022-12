Der Bausatz für das Notfall-Windows erfordert einen Windows-PC nebst Internetzugang. Er erstellt ein vom USB-Stick bootfähiges, transportables Windows mit allerhand nützlichen Werkzeugen, um Windows-PCs auf Schädlinge zu überprüfen, Daten zu retten und Passwörter zurückzusetzen.

Für c't 2/2023 haben wir das Notfall-Windows erneut überarbeitet. Es greift nunmehr als Basis auf ein unter Open-Source-Lizenz auf GitHub entwickeltes Projekt zurück: PhoenixPE. Die von uns vereinfachte und etwas abgewandelte Bauanleitung führt nach wie vor PEBakery aus; eine ebenfalls als Open-Source entwickelte Alternative zum altgedienten WinBuilder.

Die nötigen Downloads nebst MD5-Summen zum Überprüfen finden Sie auf dieser Seite weiter unten. Wie Sie den Bausatz und das erzeugte Notfallsystem anwenden, erklären Artikel aus c't 2/2023:

c't-Abonnenten mit Zugriff auf digitale Inhalte können die Artikel hier lesen:

Ältere, vertiefende Artikel zeigen weitere Anwendungsfälle auf:

Sollten Sie weder in den Artikeln noch hier die nötige Hilfestellung finden, schauen Sie doch im Forum vorbei. Gern können Sie uns auch per E-Mail Fragen stellen. Richten Sie diese bitte an ctnotwin23@ct.de und fügen Sie bei Bauproblemen gleich ein komprimiertes Log bei, das Sie im Unterverzeichnis Logs in Ihrem Bauverzeichnis als 7z-komprimierte Datei finden.

Nötige Downloads

Sie benötigen den Bausatz selbst:

und zusätzlich eine der drei Windows-10/11-Eval-Versionen in 64-Bit-Ausgabe:

Vom Einsatz anderer Versionen von Windows 10 oder 11 raten wir grundsätzlich ab. Nicht alle enthalten die für das Verarbeiten des Bausatzes notwendige .wim-Datei, sondern ein nicht geeignetes .esd-Format – ein Konvertieren ist zwar möglich, aber arbeitsintensiv.

Um die md5-Summen der Zip-Datei und ISOs zu überprüfen, genügt der in Windows verfügbare Befehl certutil in einer Eingabeaufforderung (der Name der ISO-Datei muss dabei angepasst werden):

certutil -hashfile windows.iso MD5

Vermeintliche Viren-Funde

Dauerthema bei Bausätzen für ein Windows-PE-basiertes Notfallsystem sind Fehlalarme von Antivirus-Software beim Entpacken der Zip-Archive, beim Bauen oder auch im Betrieb, wenn ein Scanner das laufende System untersucht. Wir prüfen die Bausätze des Notfall-Windows deshalb vor Veröffentlichung und haben die Ergebnisse und Methoden erstmals 2017 in einem eigenen Artikel zusammengefasst.

Der aktuellen Ausgabe des c't-Notfall-Windows sind wir ebenfalls wieder zu Leibe gerückt und dabei auf die in der folgenden Tabelle genannten Programme gestoßen, die den einen oder anderen Virenscanner auf den Plan rufen. Die Tabelle dokumentiert nur Dateien, die mehr als zwei Scanner haben Alarm schlagen lassen. Nach bestem Wissen und Gewissen handelt es sich dabei um Fehlalarme, die meist durch heuristische Verfahren ausgelöst werden – wirkliche Malware verwendet ähnliche Verfahren oder Techniken.

Programmname Funktionsbeschreibung BcastEnvChg.exe sorgt beim Start dafür, dass sich Netzwerkkonfigurationsänderungen herumsprechen binmay.exe sucht und ersetzt auch in Binärdateien; in Standardeinstellungen nicht aufgerufen browsinghistoryview.exe erlaubt die Browser-History einzusehen drvinstpatch.exe modifiziert Verhalten von Windows PE bei Treiberinstallation fixscreen.exe korrigiert Bildschirmauflösung beim Starten des Notfallsystems GetBinaryResource.exe extrahiert aus Ressourcen einer EXE- enthaltene Binärdaten (nur benutzt, wenn ProcMon oder DebugView aktiviert werden) GetStringResource.exe extrahiert aus Ressourcen einer EXE enthaltene Texte (in einigen Skripten genutzt, um Sprachanpassungen vorzunehmen) gwt.exe lädt selektiv Dateien aus dem ADK/WAIK herunter hiderun.exe verbirgt Programmausgaben, macht den Startschirm schöner hiveunload.exe blendet beim Bauen zeitweise geladene Registry-Strukturen wieder aus imageconvert.exe hilft in PhoenixPE beim Konvertieren des Formats von Bilddateien innounp.exe entpackt Installationspakete, die mit Inno Setup gebaut worden sind jj.exe komprimiert JSON; bisher nur in den Makros von PhoenixPE erwähnt keyfinder.exe liest Installationsschlüssel aus letterswap.exe ändert Laufwerksbuchstabenzuordnung im Notfallsystem mailpv.exe bringt Mail-Passwörter zum Vorschein ntpwedit.exe ändert Kennwörter einer Windows-Installation pecmd.exe steuert beim Starten des Notfallsystem startende Programme, skriptartige Funktionsweise pinutil.exe legt in Startmenü & Co. Verweise auf Programme an RegFind.exe sucht und ersetzt Inhalte in der Registry während des Bauens xml.exe bearbeitet XML; bisher nur in den Makros von PhoenixPE erwähnt

Build-Logs als Beispiel

Die folgenden Logs im HTML-Format sind beim Bauen auf einem PC mit Windows 11 Version 21H2 als Betriebssystem entstanden. Als Referenz ist auch ein Log enthalten, das beim Beschreiben eines USB-Sticks entsteht.

Haben Sie bitte etwas Geduld beim Rendern im Browser die Dateien sind einige MByte groß:



Log eines Baulaufes unter Windows 11 Version 21H2 mit Windows 10, 2004 als Basis

Log des Bespielens desUSB-Sticks mit dem erzeugten Notfallsystem auf Basis von Windows 10, 2004

(ps)