Softlink 2204034

Noud van Kruysbergen
Links bij het artikel uit c't magazine 4/2022 op pagina 34

Bouwplan voor een usb-stick met een rescuesysteem voor Windows 10 en 11

Bouwpakket ct-rescue-Windows - md5: 64f7a93e445d26b71abddcc045bfb09d

ct-rescue-Windows

https://www.ct.nl/app/uploads/2022/02/ctrescue2022.zip

 

PEBakery op GitHub

https://github.com/pebakery/pebakery

 

PEBakery-documentatie

https://github.com/pebakery/pebakery-docs

 

Rufus

https://rufus.ie/nl/#

 

Windows 10, 2004, x64 (64-bit) - md5: e85637e135e9b6dbc5fa02b463a95764

https://software-download.microsoft.com/download/pr/19041.264.200511-0456.vb_release_svc_refresh_CLIENTENTERPRISEEVAL_OEMRET_x64FRE_en-us.iso

 

Windows 10, 2004, x64 (32-bit) - md5: 895283eea7a5d53a2bd6f071babbb4f1

https://software-download.microsoft.com/download/pr/19041.264.200511-0456.vb_release_svc_refresh_CLIENTENTERPRISEEVAL_OEMRET_x86FRE_en-us.iso

 

Windows 11, x64 (64-bit) - md5: 86034e9da681217e0c7d8a23a27bcf13

https://software-download.microsoft.com/download/db/22000.194.210913-1444.co_release_svc_refresh_CLIENTENTERPRISEEVAL_OEMRET_x64FRE_en-us.iso

 

We raden af om een andere versie van Windows 10 of 11 te gebruiken. Die bevatten niet allemaal het voor het verwerken van het bouwpakket benodigde .wim-bestand, maar een niet geschikt .esd-formaat – conversie is wel mogelijk, maar arbeidsintensief.

Om de md5-checsksums van het zipbestand en de ISO’ste controleren, kun je bij Windows 10 en Windows 11 het commando certutil gebruiken bij een Opdrachtprompt (de naam van het ISO-bestand moet daarbij aangepast worden):

certutil -hashfile windows.iso MD5

Vermeende malware-bestanden

Een terugkerend onderwerp bij bouwpakketten voor een op Windows PE gebaseerd rescuesysteem zijn valse alarmen van antivirussoftware bij het uitpakken van het zipbestand, bij het bouwen en ook tijdens gebruik, wanneer een scanner het draaiende systeem onderzoekt. We testen de bouwpakketten voor het rescuesysteem daarom voor het publiceren.

De huidige versie van het c't-rescue-Windows zijn we ook te lijf gegaan en daarbij de volgende in de onderstaande tabel genoemde programma’s tegengekomen, die de een of andere virusscanner kunnen activeren. In de tabel staan alleen bestanden waar meer dan twee scanners alarm op gaven. Voor zover wij weten gaat het daarbij om valse alarmen, die meestal door heuristische procedés veroorzaakt worden – echte malware gebruikt vergelijkbare manieren of technieken.

Programmanaam - Functiebeschrijving

binmay.exe - zoekt en vervangt in binaire bestanden

drvinstpatch.exe - wijzigt gedrag van Windows PE bij stuurprogramma-installatie

extractsection.exe - helpt bij het bewerken van WIM-bestanden

fixscreen.exe - corrigeert beeldschermresolutie

fusion.dll - onderdeel van ImgBurn, dat als Adware geldt

gwt.exe - download bepaalde bestanden uit ADK/WAIK

hiveunload.exe - verwijdert tijdelijke registerstructuren na het bouwen weer

hostnetdrv.exe - wordt gebruikt bij het toevoegen van netwerkstuurprogramma’s van de host

keyfinder.exe - leest installatiesleutels uit

letterwap.exe - verandert stationsletters in het rescuesysteem

nircmd.exe - kan allerlei dingen: Register bewerken, volume regelen, koppelingen maken; van NirSoft, de makers van BlueScreenView

ntpwedit.exe - verandert kenwoorden van een Windows-installatie

pecmd.exe - beheert bij het starten van het rescuesysteem startende programma’s, scriptachtige werkwijze

pintutil.exe - maakt in Startmenu en dergelijke koppeling naar programma’s aan

regcpe.exe - converteert Register-bestanden; tool voor experts, die zelf aanpassingen willen doen; wordt bij het bouwen niet gebruikt, alleen interaktief

setupimgburn.exe - installer van ImgBurn, die als Adware geldt– wordt bij het bouwen toegevoegd, maar niet uitgevoerd

setwg.exe - stelt de Workgroup-naam in

usb7ice.exe - assisteert bij het beschrijven van de usb-stick (wordt bij voorconfiguratie niet gebruikt)

Meer informatie en tips op www.ct.nl