c't-Notfall-Windows 2018

Inhaltsverzeichnis

Mehr Infos

Wichtiger Hinweis: In c't 22/2018 haben wir einen neuen Bausatz veröffentlicht. Bitte benutzen Sie diesen.

Details, wie Sie den Bausatz benutzen und wie Sie später mit den enthaltenen Werkzeugen arbeiten können, erklären die folgenden Artikel (die Links verweisen auf Leseproben):

Selbstmedikation, c't-Notfall-Windows 2018: Bausatz anwenden, c't 21/17, S. 76

Helfer unter der Lupe, Vom c't-Notfall-Windows getriggerte Viren-Alarme, c't 21/17, S. 80

Beipackzettel, Tipps und Tricks zum c't-Notfall-Windows 2018, c't 21/17, S. 82

Pille danach, Virensuche mit dem c't-Notfall-Windows, c't 21/17, S. 88

Downloads

Den Bausatz für das c't-Notfall-Windows 2018 erhalten Sie auf der Heft-DVD von c't 21/17.

Zum Bauen ist wie gehabt der Download von Windows 10 LTSB (1607) nötig:

Update: Links haben sich im Juli 2018 geändert. Die md5-Summen sind unverändert:

x64-Ausgabe (64 Bit)

x86-Ausgabe (32 Bit)

Die alten Links, Download zur Zeit (11.7.2018) nicht mehr möglich:

x64-Ausgabe (64 Bit), md5: 6c81bceae01424259bc548c21bca38c0

x86-Ausgabe (32 Bit), md5: 07517491a3589a3af8dcec01ab7c5455

Unter Windows 7 hilft die folgende Software, die ISO-Datei mit der LTSB-Version als Laufwerk einzubinden. Neuere Windows-Versionen können das ohne zusätzliche Software.

WinCDEmu via Heise Softwareverzeichnis

Hilfestellungen

Beachten Sie bitte die Hinweise aus c't 21/17 ab Seite 76 zum Bauen und für den Einsatz des Notfallsystems. Das folgende Material ergänzt und vertieft die dortigen Hilfestellungen. Für Freunde des Bewegtbildes finden Sie auf der Projektseite des Vorgängers auch Videos zur Bedienung. Die lassen sich auf die aktuelle Fassung übertragen.

Bilderstrecke zu den wesentlichen Bedienschritten zum Anwenden des Bausatzes.

Die Bedienung des Winbuilder zum Bauen des Notfallsystems benötigt nur wenige Handgriffe. Da mit dem Werkzeug allerlei Extrawürste zu realisieren sind, fallen die Handgriffe nicht gerade intuitiv aus. Die Bilderstrecke zeigt die entscheidenden Kniffe.

Bild 1 von 11

c't-Notfall-Windows 2018 (11 Bilder)

Startbildschirm

Vermeintliche Schädlingsfunde im c't-Notfall-Windows 2018

Wir haben untersucht, welche vermeintlichen Schädlinge gänge Antivirus-Software im Notfallsystem und seinem Bausatz finden könnte, indem wir die Dateien bei Virustotal abgeladen haben. Die gegenüber dem gedruckten Heft mit Links angereicherte Tabelle fasst die Ergebnisse zusammen. Der begleitende Artikel in c't 21/17 erläutert die Beobachtungen. Die Links auf den Programmnamen führen auf die jeweiligen Reports bei Virustotal.

Programmname	Pfad	Archiv	Rate	Einschätzung	Funktion
Im Baupaket
AU3361.exe	Projects/Tools/Win10PESE/x86	ctnotwi1	1/64	Gängige AutoIt-Skript-Engine	Greift Winbuilder unter die Arme
AU3381.exe	Projects/Tools/Win10PESE/x86	ctnotwi1	2/64	Gängige AutoIt-Skript-Engine	Greift Winbuilder unter die Arme
BuilderSE.exe		ctnotwi1	2/64	Unersetzbar Winbuilder-Spezialtool	Führt Bauanleitung aus
ExpEnvVar_x86.exe	Projects/Tools/Win10PESE/x86	ctnotwi1	2/57	Unersetzbar Winbuilder-Spezialtool	Fügt Variablen in Registry ein
hiderun_x64.exe	Projects/Tools/Win10PESE/x64	ctnotwi1	14/64	Unbedenklich, gängiges Werkzeug	Verbirgt Kommandozeile
hiderun_x86.exe	Projects/Tools/Win10PESE/x86	ctnotwi1	2/65	Unbedenklich, gängiges Werkzeug	Verbirgt Kommandozeile
HiveUnload.exe	Projects/Tools/Win10PESE	ctnotwi1	3/57	Unersetzbar Winbuilder-Spezialtool	Entladen von Registry-Hives/aufräumen
innounp.exe	Projects/Tools/Win10PESE	ctnotwi1	1/64	Sourceforge-Projekt; Quellen erhältlich	Unpacker für Inno-Installationspakete
InstallWimSYS.exe	Projects/Tools/Win10PESE	ctnotwi1	1/57	Unersetzbar Winbuilder-Spezialtool	Handling von u.a. wimmount-Treibern
PEChecksum.exe	Projects/Tools/Win10PESE	ctnotwi1	1/64	Unbedenklich, gängiges Werkzeug	Ändert EXE normalerweise unbenutzt
sCalculate.exe	Projects/Tools/Win10PESE	ctnotwi1	1/56	Unersetzbar Winbuilder-Spezialtool	Hilft beim Rechnen in Skripten
upx.exe	Projects/Tools/Win10PESE	ctnotwi1	1/65	Unbedenklich, gängiges Werkzeug	Entpacken gepackter EXE-Dateien
WimUtil.exe	Projects/Tools/Win10PESE/x86	ctnotwi1	6/64	Unersetzbar Winbuilder-Spezialtool	Wrapper für dism, imagex & Co
WimUtil.exe	Projects/Tools/Win10PESE/x64	ctnotwi1	3/58	Unersetzbar Winbuilder-Spezialtool	Wrapper für dism, imagex & Co
zPeIMG.exe	Projects/Tools/Win10PESE	ctnotwi1	1/60	Unersetzbar Winbuilder-Spezialtool	Hilft bei Treiberintegration
Nach Baulauf im temp-Verzeichnis
echofile.exe	Win10PESE (u.a.)	cn18tmp1	6/64	Unersetzbar Winbuilder-Spezialtool	Ausgaben in Variablen wandeln
SumatraPDF.exe (nur x86)	Win10PESE/TempEx...SumatraPDF	cn18tmp2_x86	1/64	Vertrauenswürdig, vom Autor signiert	PDF-Viewer
wiminfo.exe	Win10PESE\WimInfo	cn18tmp2	8/62	Unersetzbar Winbuilder-Spezialtool	Infos aus WIM-Dateien lesen
Wind_x86.7z (nur x86)	Win10PESE/TempExtractFolder/Wind	cn18tmp2_x86	1/55	Unersetzbar Winbuilder-Spezialtool	enthält wind.exe (s.u.)
Im 32-Bit-Notfallsystem
7zFM.exe	Programs/7-Zip	cn18_32_1	1/51	Gängiger Betandteil, wohl OK	7Zip-Dateimanager
BlueScreenView.exe	Programs/bluescreenview	cn18_32_2	2/65	Vertrauenswürdig, vom Autor signiert	Analysiert Bluescreens
BOOTICEx86.exe	Programs/BootIce_Pauly	cn18_32_2	2/64	Vetrauenswürdig, nicht signiert	Bearbeitet u.a. Boot-Records
CntrtextMig.dll	sources/wimfiles/Windows/System32/migration	cn18_32_7	1/62	Signierte Datei aus Windows	Unbekannt
mmc.exe	sources/wimfiles/Windows/System32	cn18_32_7	1/65	Unsignierte Datei aus Windows	Management Console
MountPEmedia.exe	sources/wimfiles/Windows/System32	cn18_32_7	6/64	Unersetzbar Winbuilder-Spezialtool	Mount-Helfer im Notfallsystem
wbengine.exe	sources/wimfiles/Windows/System32	cn18_32_8	1/65	Unsignierte Datei aus Windows	Unbekannt, vermutlich Backup
wdsr040c.dll	Programs/WinDirStat/App/WinDirStat	cn18_32_5	3/48	Vertrauenswürdig, nicht signiert	Teil von Windirstat
Wind.exe	sources/wimfiles/Windows/System32	cn18_32_8	5/62	Unersetzbar Winbuilder-Spezialtool	Desktop-Handling in Windows PE
wininit.exe	sources/wimfiles/Windows/System32	cn18_32_8	1/63	Signierte Datei aus Windows	Unbekannt
Im 64-Bit-Notfallsystem
CustomMarshalers.dll	Programs/assembly/GAC_32/CustomMarshalers/...	cn18__10	1/65	Unsignierte Datei aus Windows	Unbekannt
detpex.dlz	Programs/HDSentinel	cn18__06	1/61	Unklar	Archiv innerhalb von HDSentinel
HDSAction.exe	Programs/HDSentinel	cn18__06	1/61	Vertrauenswürdig, vom Autor signiert	Teil von HDSentinel
HxD.exe	Programs/HxD	cn18__06	1/63	Vertrauenswürdig, nicht signiert	Hex-Editor
PENetwork.exe	sources/wimfiles/Program Files	cn18__06	1/61	Vertrauenswürdig, nicht signiert	Netzwerk-Tools für Windows PE
RansomNoteCleaner.exe	Programs/RansomNoteCleaner	cn18__06	1/63	Vertrauenswürdig, vom Autor signiert	Crypto-Trojaner-Aufräumhilfe
rawcopy.exe	Programs/Rawcopy	cn18__06	1/65	Vertrauenswürdig, nicht signiert	Datenträger sektorweise kopieren
twinui.dll	sources/wimfiles/Windows/System32	cn18__03	1/65	Unsignierte Datei aus Windows	Unbekannt
wordpad.exe	sources/wimfiles/Program Files/.../Accessories	cn18__06	1/64	Unsignierte Datei aus Windows	Editor

Protokolle erfolgreicher Bauläufe

Zum Vergleich stellen wir die Logs von Bauläufen zur Einsicht bereit, die den erfolgreichen Bau eines Notfallsystems dokumentieren.

Erfolgreicher Baulauf, LTSB 1607, x86, mit fiktiver Update-Warnung

Erfolgreicher Baulauf, LTSB 1607, x64, mit fiktiver Update-Warnung

Updates

Soweit keine verfügbar.

Fragen und Antworten

Wenn ich Dateien aus dem Bausatz bei virustotal hochlade, kommt der Dienst zu anderen Einschätzungen. Woran liegt das?

Ein solcher Scan ist immer ein Schnappschuss. Wenn man Virustotal dazu veranlasst, eine Datei erneut zu prüfen, kann das Ergebnis abweichen. (ps)