Praktijk INood-Windows
...
\
w'
~
'"
~'Ii\'!
'...
'-.
Karsten Violka
Zelf een Windows voor noodgevallen bakken Bart's PE Builder zet Windows op een bootable live-cd Aan de vraag naar een echte Windows-versie die direct vanaf cd opstart en kan helpen bij het repareren van je systeem, heeft Microsoft tot nu toe niet voldaan. Met de PE Builder op de c't-cd kunje deze kloof overbruggen. PE Builder gebruikt de bestanden van een normale installatiecd om in een oogwenk de ideale EHBO-cdvoor Windows te branden. Aan onze c't-cd hebben we wat extra's als een virusscanner en een aantal andere tools toegevoegd, die goed van pas komen bij veel typische pc-problemen.
52
arenlang heeft de goeie ouwe DOS-bootdiskette dienst gedaan als een onmisbaar stuk gereedschap waarmee systeembeheerders beschadigde pc's nog konden benaderen. Met een gegarandeerd schoon besturingssysteem dat van een bootmedium opstart kun je in noodgevallen gegevens redden, foute instellingen veranderen en virussen verwijderen. Microsoft biedt voor de huidige Windows-versies tot nu toe echter geen goed rescuesysteem
J
aan - even afgezien van de slechts beperkt bruikbare herstelconsole die je van de Windowsinstallatie-cd kunt opstarten. Microsoft heeft met Windows PE (Preinstallation Environment) echter een waardige opvolger voor de DOS-diskette in handen. Windows PE is een minibesturingssysteem dat van cd of dvd opstart, geen virtueel geheugen aanmaakt en de harde schijf van de pc ongemoeid laat. Het systeem biedt netwerktoegang, kan zelfstandig moderne hardware
c't 2006, Nr. 01/02
Praktijk
zoals USB-geheugenmedia aansturen en beschrijft met de drivers van Microsoft moeiteloos NTFS-geformatteerde harde schijven. Zoals de productnaam al impliceert, brengt Microsoft deze mini-Windowsversie als pure installatieomgeving op de markt. De doelgroep bestaat uitsluitend uit grote bedrijfskianten en partners, die Windows volautomatisch op computers in het netwerk willen installeren. Met de Remote Installation Services (RIS) kunnen kale pc's zonder besturingssysteem Windows PE via het netwerk direct vanaf een server opstarten, zodat Windows vervolgens op de harde schijf geïnstalleerd kan worden. Voor eindgebruikers is er geen mogelijkheid om aan Windows PEte komen. De Nederlandse ontwikkelaar Bart Lagerweij nam daar geen genoegen mee. In 2002 stelde hij de eerste versie van zijn tooi PE Builder voor. Daarmee is het mogelijk om met de bestanden van een normale installatie-cd van Windows een bootable PEsysteem samen te stellen [1]. Om zijn eigen doe-het-zelfvariant te onderscheiden van het origineel van Microsoft noemde hij zijn systeem 'BartPE'. Technisch is er geen verschil: de mogelijkheid om vanaf een cd te starten zit namelijk in de kernel van Windows XP ingebouwd. De mini-Windowsversie is in zijn basisuitvoering erg summier. Zonder speciale uitbreidingen moet je het stellen zonder de desktopfuncties, Internet Explorer, de Verkenner voor het bestandsbeheer en de meeste standaard configuratietools van Windows. In tegenstelling tot de originele PE van Windows, die alleen maar de XP-kernel opstart en de gebruiker slechts een sneue DOS-prompt voorschotelt, beschikt de gebruiker van Barts systeem over een flexibel startmenu dat in de basisversie al veel nuttige tools bevat. De beperkingen van het origineel, dat maar zes processen tegelijk uitvoert en na 24 uur de pc opnieuw opstart, zijn in BartPE niet aanwezig.
Met virusscanner, datarecovery, brandprogramma, webbrowser en andere tools is dit de ideale EHBO-kit voor noodgevallen.
c't 2006, Nr. 01/02
Met speciale PE BuiIderpakketten kun je extra programma's en functies, die Bart Lagerweij 'plugins' noemt, na-installeren. PE Builder voegt zulke pakketten, die programmagegevens, menu-items en PE-specifieke configuraties bundelen, aan de cd toe. Inmiddels is er een grote fangemeenschap, die aan nog meer van dit soort plug-ins voor PE Bui/der werkt. De module 'XPE' van de Italiaanse ontwikkelaar Sherpya breidt het noodsysteem zelfs uit tot een bijna volledige Windows-omgeving inclusief desktop, Startmenu en Internet Explorer. Hoe je zulke modules zelf maakt voor PE Bui/der en eigen tools aan de cd toevoegt, kun je lezen vanaf pagina 64. Kruidige
extra's
op de +cd vind je onze uitgebreide c't-editie van de actuele versie 3.1.5 van PE Builder, die we in samenwerking met Bart Lagerweij en PE-specialist Markus Debus ontwikkeld hebben. De +cd zelf is niet bootable, je hebt dus zelf een cd-brander en een installatie-cd van Windows XP nodig om een voorgeconfigureerde Windows-cd voor noodgevallen te maken. De c't-editie is al voorzien van veel nuttige programma's, die
we met zorg getest en geïntegreerd hebben. Ons uitgangspunt was het samenstellen van een EHBO-systeem waarmee je virussen, spyware en andere besmettingen perfect van pc's kunt verwijderen. De laatste versie van virusscanner AVK 2005 is geïntegreerd. Om te zorgen dat de scanner ook de nieuwste virussen kan opsporen, kan AVK de virusdefinities via internet updaten. Het nood-Windows kan grotendeels zelf een internetverbinding opbouwen, bijvoorbeeld via een netwerkrouter of een ADSL-verbinding. Ook diverse ISDN-kaarten en interne analoge modems met SmartLinkchipset worden ondersteund. Voor uitstapjes naar het WWW kun je gebruik maken van de webbrowser Firefox. Zelfs wanneer de verongelukte pc helemaal niet meer van de harde schijf wil booten, kun je zo toch nog hulp op internet zoeken en informatie over de gevonden malware opvragen. Ookje e-mailaccount blijft voor noodgevallen bereikbaar. Spyware en dia Iers worden uit de weg geruimd door de PE-versie van Spybot Search & Destroy. De auteur van dat programma, Patrick Kolla, heeft speciaal voor ons project nog een extra tooi ontwikkeld. Met RegAlyzer kun je vanuit het noodsysteem confi-
INood-Windows
gureren welke programma's en services de Windows-installatie op de harde schijf wel of niet automatisch mag opstarten. Vanaf pagina 60 laten we zien, hoe je een besmette pc met deze Windows-variant weer virusvrij maakt. Aangezien BartPE bij het booten zelf niets naar de harde schijf schrijft, is het programma uitermate geschikt voor het redden van gegevens. Vanaf de boot-cd heb je toegang tot alle bestanden van de aangesloten drives. Weliswaar houdt BartPE ook rekening met de in het NTFS-bestandssysteem vastgelegde toegangsrechten, maar de Live-Windows benadert de bestanden steeds met de alomvattende rechten van het Systemaccount. Je kunt alle bestanden vervolgens bijvoorbeeld makkelijk naar een externe USB-harddisk of het netwerk kopiëren. Voor het branden op een cd of dvd kun je de brandsoftware DeepBurner gebruiken. Met de gratis datarecoverytooi FileRecovery van het recoverybedrijf Convar kun je bestanden die per ongeluk werden gewist weer terughalen of gegevens van een niet meer leesbare harde schijf redden. Het is onbeperkt te gebruiken. De nood-cd bevat bovendien de imagingsoftware Drive Snapshot, waar-
,'I 'I",i~a] e~1ion IlO backupp,..<>Ie afte,
22.8-2006 .ee www.dn,..napsholde ]"de~l.
1;0\
~.c ~~~lits
'I
.-.-
~. Start I~Spyboc.~ch...
;&pc~~...;\f,J-Drt;eSnapShXs...
~p;;.,s
53
Praktijk INood-Windows
Zodra de blauwe c't~desktop op het beeldscherm verschijnt, pro~ beert BartPEde netwerkdrivers te Extracti1g ":\WinXPp
entsandSe_\1mu'jU~ Wanneer in je netwerk een hard~ =~:====:==~~~~~~~~t::;.:::~=:~"~ ,r.'" '" '"""",,-' n ~2! warematige router de internet~ . ... "." Exb"acti1g":\'AinXPpr""""'eamed~386\driver,cab~O8PORTS,DlL' to "C:'j)oaJment:;and Se_"" PE&JiIdë,.'"BrorobOStandentI<ÎPExb"acti1g":""nXI'pament:;andSe_\1mu~'t:tPebu1der"'ddon 'u":_~\driver.cab'j.1MJI<Ml.SYS'to"C:'jJoa.ment:;and5otlinQs\in.' DoeImap-;:~'j)oo.Inent:;and "er een foutmelding. _.~ ~~= ~ IBa"""nmn -~ ~ De boot~cd herkent alle hard~ ~"-;"~ "~;r .$-9 ~ T~-" ~ J ~.",ware waarvan Microsoft de dri~ r r !Jeta.nnalo:n r~:~"""""'enJ vers op de Windows installatie~ IC:~tsàM~, cd meelevert. Je kunt handmatig gJ,oYObranden De benodigde systeem bestanden haalt de PE Builextra apparaatdrivers aan PE der van een Windows XP-cd. Enkele klikken met de Builder toevoegen, maar daar= muis en de ingebouwde brandsoftware schrijft het over later meer. Na het Iaden van ~I j -::I bootable BartPE-systeem meteen naar cd of dvd. de netwerkdrivers opent een venster met de vraag of de RAS~ services opgestart moeten wormee je de inhoud van een Win~ vice Pack 2 up~to~date brengt, De ingebouwde brandsoftware den. Deze zijn nodig voor het dows-partitie bij wijze van back~ wordt uitgelegd in het kader op functioneert met de meeste actu~ eventueel achteraf opbouwen up naar een imagebestand kunt pagina 55. ele cd~en dvd~branders. Indien je van een inbelverbinding via Om de BartPE~cdaan te ma~ eigen brander niet mee wil wer- ADSL,ISDNof een analoog mo~ kopiëren. ken, kun je het ISO-bestand met demo Bezitters van een router ken heb je beheerdersrechten kunnen dit aanbod afslaan. Zon~ nodig, want voor het opbouwen een willekeurig ander brandproIngrediënten van nieuwe registerbestanden gramma op een schijf zetten. In der bevestiging starten de servi~ op de +cd vind je de PE Builder gebruikt PE Builder Windows~ Nero Burning ROM7 (niet in het ces automatisch na een minuut. Voorde standaardversie van de in de vorm van een bijna 100 MB functies die voor normale gebrui~ Express menu) lukt dat bijvoorgroot ZIP-bestand. Pak dit eerst kers niet toegankelijk zijn. Start beeld met de menufunctie 'Re- boot~cd is 128 MBwerkgeheugen uit in een apart directory (op een PEBuildermet een dubbelklik op corder/Image branden'. Voor de vereist. Dat isook nog genoeg om harde schijf met veel vrije ruim~ pebuilder.exe en ga akkoord met eerste pogingen is een CD~RW de virusscanner te kunnen gebrui~ te). De uitgepakte software de Engelstalige licentieovereenideaal. Het systeem is zeer goed ken. De basisuitvoering ziet af van neemt ongeveer 190 MB in komst. In het hoofdscherm geef te testen in een pc-emulator als een volledige Windows-desktop, beslag. Met nog eens 2 GB vrije je onder 'Bron' de drive met de VMware of Virtual Pc. Wijs het zoals de optionele plug-in XPEdie schijfruimte ben je klaar voor de Windows installatie~cd op. Of je ISO~bestandgewoon aan een vir- biedt. Erverschijnt alleen een sim~ volgende stappen. selecteert een directory op de tuele cdrom-speler toe en boot pel startmenu ('Nu2Menu'), dat De benodigde Windows sys~ harde schijf waarin PEBuilder de de virtuele pc daar vandaan. we hebben aangevuld met een installatiebestanden kan vinden. teembestanden - die wij natuurNa een klikop 'Starten' vraagt taakbalk uit het opensourceprolijk niet meeleveren - ontleent Wanneer je als bron alleen maar PEBuilderofje akkoord gaat met ject Geoshell(www.geoshell.com). Microsofts licentievoorwaarden de PE Builder aan een originele de i386-map gaat gebruiken, Alsfilemanager gebruiken we de installatie~cd van Windows XP moet je de daarboven liggende ('EULA')om vervolgens aan de Norton~Commander-kloon Total Home of Professional met geïn- map aangeven. Het invoerveld slag te gaan. Een tweede harde Commander, die met een klikop tegreerd Service Pack 2. Bart 'Extra' is vooralsnog niet zo be~ schijf kan het proces wat versnel- het diskette~icoontje wordt geac~ Lagerweij noemt ook XP met langrijk, het verwijst naar een len. Je hoeft alleen de tijdelijke tiveerd. Service Pack 1 en Windows Ser~ map met willekeurige eigen be~ doel map op een aparte drive te Met het onderdeel 'Systeem/ ver 2003 als mogelijke bronsys~ standen, die PE Builder aan de zetten, zodat PE Builder bij het Netwerk/lP~configuratie tonen' temen, maar daarmee hebben boot~cd toevoegt. kopiëren steeds beide schijven in het startmenu kun je contole~ Onder 'Doelmap' geef je de parallel gebruikt. Daarvoor moet ren of de netwerkkaart al een IP~ wij de c't~editie niet getest. Bart's PE kan geen geïnstal~ locatie aan waar het programma je in het menu 'PE Builder/Op~ adres heeft gekregen via de leerde Windows-versie als bron de inhoud van de nieuwe boot~ ties' een vinkje zetten bij 'Abso- DHCP~server. In het program~ gebruiken, tenzij de installatie~ cd samen moet stellen. Zodra PE lute pad voor doel map'. ma voor de netwerkconfiguratie directory i386 op de harde schijf Builder deze tijdelijke map met (Systeem/Netwerk/Netwerkinstel~ staat. Zo niet, dan vind je die op de cd~structuur gevuld heeft, zet lingen) kun je ook een vast IP~ de Windows~installatie-cd. Deze het de gegevens over naar een Voorproeven adres instellen. map bevat alle bestanden die ISO~bestand, dat als basis voor Startje pc op met de gebrande cd In plaats van met een router nodig zijn voor onze Windows~ de uiteindelijke boot~cd dient. in de speler. Bij het booten ver- kan het PE~systeemook zelf een cd. Wanneer je pc~leverancier De plaats waar dit bestand moet schijnt eerst de mededeling dat je inbelverbinding met de internet~ geen volwaardige installatie~cd, worden opgeslagen kun je aan- een willekeurige toets moet in- provider opbouwen. Dat werkt passen onder 'ISO image'. Met drukken waarmee je het opstar- goed met een via het netwerk maar slechts recovery~cd's heeft meegeleverd, dan accepteert de de optie 'Burn to cd' brandt PE ten van cd bevestigt, anders start bereikbare extern ADSL~modem. Builder deze meestal ook. Som~ Builder het ISO~bestand in de de pc na vijf seconden van de Het oproepen van 'Programma's/ mige OEM~versiesdie door pc- volgende stap meteen naar een harde schijf. Wanneer de pc het Netwerk/lnternetverbinding' to~ blanco schijf.Zelfswanneer deze bootmedium niet ziet, moet je in vert het betreffende venster op bouwers werden gemodificeerd veroorzaken echter problemen. de BIOS~instellingende bootvolg~ het scherm. Een 'breedbandver~ optie geactiveerd is, genereert Hoe je een oudere versie van het toch eerst het ISO-bestand in orde veranderen en de cd-rom de binding' via PPPoE voor een de installatiebestanden met Ser- de opgegeven directory. ADSL~modemis al voorgeconfi~ hoogste prioriteit geven. ~~..,;..,
o;""""""'._~~..".
~..: "Copy;no/ies "
~
=!I",
-~- -~-=":;A"'-'-'-
=
---
=
=
"":;! .
n .
~
~
'
' ,I
".:::I
-
~
S4
--S"";;" -
c't 2006, Nr. 01/02
Praktijk
gureerd. Na een klik op 'Verbinden' typ je je toegangsgegevens in en bouw je de verbinding op. Aan de veiligheid is ook gedacht. Bij het booten start het pakketfilter wipfw, dat alle binnenkomende datapakketten blokkeert die het PE-systeem via het LAN of van internet bereiken. BartPE kan ook een internetverbinding via een ISDN-kaart of een analoog modem opzetten. Maar dat werkt slechts met een handjevol apparaten en de benodigde drivers zijn niet zo makkelijk te installeren. We hadden wel succes met een Fritz!Card PCI van AVM, die door het PE-systeem bij het opstarten automatisch wordt geconfigureerd. We slaagden erin uit te bellen via een modem met een intern PCI-modem met SmartLink-chipset, die je ook in veel notebooks aantreft. Wij leveren daarvoor een voorbereide plugin mee, waaraan je alleen nog maar de drivers van de fabrikant hoeft toe te voegen. Met externe apparaten die we op een seriële poort of USB aansloten hadden we helaas geen succes.
Wanneer het inbellen gelukt is, geeft de opdracht ipconfiglalt op de opdrachtprompt het lP-adres dat door de router of de internetprovider werd toegewezen.
Krenten in de pap DefilemanagerTotal Commander is wat ongewoon voor gebruikers die normaal met de Windows Verkenner werken. Het programma heeft echter een trouwe schare fans. Het hoofdvenster laat steeds twee mappen naast elkaar zien (zoals bij vrijwel ieder FTP-programma ook het geval is).Tussen die twee kun je makkelijk bestanden heen en weer verplaatsen en kopiëren. De invoerregel onderaan maakt bestandsoperaties mogelijk, kenners hebben de Commander-toetsen sowieso nog in de vingers zitten. Een compressieprogramma om ZIP-files te maken is al ingebouwd. RAR-en ACE-bestanden kunnen zonder hulp van extra programma's in elk geval uitgepakt worden. Total Commander behandelt ZIP-bestanden als directories die je gewoon door te dubbelklikken of
INood-Windows
Service Pack 2 in XP integreren Als bron voor de systeem bestanden, die de PEBuilder voor het aanmaken van de bootable nood-Windows nodig heeft, raden we een installatie-cd met Service Pack 2 aan. Dit Service Pack bevat onder andere een paar hardware-drivers die handig zijn voor BartPE.Bovendien worden veel veiligheidsgaten gedicht, die anders ook deze mini-Windows kwetsbaar zouden maken voor wormen uit de Blaster- en Sasser-families. Wanneer je originele XP-versie ouder is, moet je de installatiebestanden zelf met SP2 updaten. Daarvoor heb je het circa 270 MB grote pakket van SP2 nodig, dat je onder andere op de cd bij c't 11 van 2004 kunt vinden. Start de PE Builder en roep de menufunctie 'Bron bestanden/ Slipstream' op. Als bron kies je
de rootdirectory van het station met de installatie-cd. Als je een aparte i386-map op je harde schijf hebt staan, geef je het pad op naar de map die daarboven ligt. Verwijst het bron pad naar een cd, dan vink je de optie 'Bron kan niet worden beschreven' aan en geef je onder aan de directory op waar de PEBuilder de originele bestanden eerst naartoe moet kopiëren. In het middelste invoerveld selecteer je het installatiepakket van SP2 en start je de actie. PE Builder neemt de directory met de bijgewerkte installatiebestanden automatisch als bron voor BartPE.Onder Windows 2000 functioneert de slipstreamintegratie van SP2overigens niet.
Praktijk INood-Windows
liit~f'
i~'~ië'mmi?f.f.~n"n,"~--:: 1.,êelecteereen netw,!;>r~verbinding: 'I U.I~"",,~~
--
~
I1
.' Eigenschappen
Het PE-systeem bouwt zelf een verbinding naar het internet op. Zo kun je bijvoorbeeld de antivirusprogramma's updaten met actuele definities. Het geïntegreerde pakketfilter wipfw schermt het Windows-Live-systeem goed tegen aanvallen van buiten af.
Q.ebrUiker'naern:~@ti'cali.nl
~achtwoord:
...........
.Q1DèZ"J1ebruikersnaam
en d~ )'Yachtw,oordQ:!i)'iaan
vo.or:
met de Entertoets kunt openen. De ingebouwde FTP-clientis ook erg handig, bijvoorbeeld om veiligheidskopieën van bestanden op de lokaleschijfop een server te zetten. Gegevens kunnen ook opgeslagen worden op een in het lokale netwerk gedeelde Windows-schijf. Total Commander kan in het menu 'Netwerk' een netwerkschijf aan een
alle netwerkverkeer ongehinderd passeren. Een andere hindernis doet zich voor wanneer op de serverpc Windows XPmet Service Pack 2 draait. Microsoft heeft met SP2 een veiligheidsgat gedicht en niet geautoriseerde 5MB-verbindingen geblokkeerd, de zogenaamde 'null sessions'. Als BartPE dan probeert de shares van de XP-server te tonen, krijg je een foutmelding. Bijonze pogingen konden we een verbinding tot stand brengen door het volledige UNC-pad op te geven. Met de uitgebreide XPE-variant van de boot-cd lukte dat echter ook niet. Alsworkaround staat in de plug in-map onder \plugin\ system\xpe het registerbestand winpe-xpsp2-fix.reg. Dit kun je op de XP-server met een dubbelklik in het register importeren. Na een herstart zijn verbindin-
gen met null-sessions dan weer mogelijk. Je opent er wel een veiligheidsgat mee dat in het lokale netwerk misbruikt kan worden. BartPE kan ook zelf als server dienen. Het startmenu-item 'Programma's/Netwerk/ Alle drives vrijgeven' activeert de nodige services en richt shares in. Het script laat daarna een willekeurig gegenereerd wachtwoord voor de' Administrator'-account zien, waarmee je je bij de BartPE-server kunt aanmelden. Met het programma UltraVNCkun je de BartPE-desktop zelfs op afstand bedienen vanaf een andere pc waarop een VNC-client draait [2]. De server start je met de opdracht 'Programma's/Netwerk/UltraVNC/LoadVNCServer'. Het server-wachtwoord is 'bartpevnc'. Dat isonder een draaiend systeem helaas niet te veranderen. Alle server-diensten zijn alleen met een uitgeschakelde firewall beschikbaar.
Aangebrande schijven De data recoverytooi File Recovery komt van pas wanneer je per ongeluk bestanden hebt gewist, er hele partities zijn verdwenen of wanneer een harde schijf defecte sectoren heeft. De tooi repareert geen beschadigde gegevensstructuren, maar probeert zoveel mogelijk gegevens van de harde schijf te reconstrueren. Bij gegevensverlies is het zaak kalm te blijven en de pc meteen uit te schakelen. Iedere schrijfactie op de getroffen schijf brengt namelijk het risico met zich mee dat Windows de waardevolle gegevens in de sectoren op de schijf, die nu als vrij zijn gemarkeerd, overschrijft. Het is dus geen goed idee om pas recoverysoftware te gaan instal-
wm.;;
Het brandprogramma DeepBurner kan de gegevens van een verongelukt systeem eenvoudig naar een cd/dvd kopiëren.
56
WM5"P,9.".
L.~sa:<'...~l:'..
:_:_'.;.'~~~;;
~~~;
1035776 12 32866 277 393 20086' 18944 751 316641)
"""",m", """,dm" ,,","",m.p ',,""",m.p ",""',m,p Too,"";o,
CFG_~d Toop""" C'""""';"""""g~ C""'O.'"'-;"""'"" T.",.,.;o, T"""","',.Ib";ó., COO"".",.'o""'"", "-"",,,..M,d;.ProIi,
Ieren als de ramp zich al heeft voltrokken. Met het PE-systeem kun je de computer daarentegen zonder gevaar booten voor een reddingspoging. De herstelde gegevens kun je op een externe schijf opslaan of je brandt ze met DeepBurner direct op een blanco schijf. Let op bij een USB-aansluiting. Om te zorgen dat BartPEexterne opslagapparaten zoals USB-sticks en -harddisks als drive integreert, moeten die al bij het opstarten van het systeem aangesloten zijn. De brandsoftware DeepBurner functioneert het beste wanneer er twee optische drives in de computer zitten en de brander niet als bootdrive wordt gebruikt. Bij onze tests vond BartPE het af en toe niet leuk wanneer we de systeem-cd uit de drive verwijderden om er een lege cd in te doen. Data LifeGuardDiagnosticsvan Western Digital kan achterhalen of een harde schijf hardwarematig beschadigd is. Wanneer de testroutines van dat programma alarm slaan, moetje de gegevens zo spoedig mogelijk naar een nieuw medium kopiëren. De opensourcetool testdisk kan kapotte partitietabellen reconstrueren om zo een verdwenen partitie terug te halen. Met het programma smartctl.exe uit de tooiverzameling Smartmontools kun je de SMART-gegevens van een harde schijf uitlezen, bijvoorbeeld om te controleren hoeveel werkuren het apparaat al op de teller heeft staan [3]. De hex-editor TinyHexer bewerkt niet alleen bestanden, maar doet ook dienst als disk-editor, die je toegang kan verschaffen tot de ruwe data op een schijf. Het kopiëren van de systeempartitie naar een imagebestand blijkt de beste beveiliging tegen onverwachte nukkige besturingssystemen te zijn. De bootcd bevat het imagingprogramma Drive Snapshot. De maker hiervan, Tom Ehlert, heeft voor ons een versie beschikbaar gemaakt die je tot november 2006 zonder beperkingen voor privédoeleinden mag gebruiken. De back-upkopieën kun je ook na het verstrijken van deze termijn nog terugzetten. Het slechts 160 kB grote programmabestand draait zelfs onder een volledige Windows-versie zonder installatie. De op de cd aanwezige versie van Drive Snapshot kan images onder BartPE ook op lege,
c't 2006, Nr. 01/02
Praktijk INood-Windows
F'IUgjns: ~ Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
~
APP: AntiVhJsKit
2005
APP: Deep Blrner APP: Drive SnapShot APP: 002/3 support APP: File Recovery APP: Fi"efox Web Browser APP: IrfonView APP: Notetab lito APP: PuTTY (5SH(TeI1et) APP: Remote Desktop Cient APP: 5mar1Moo Tools APP:
- S.orch
Spybot
&Destroy
APP:TestIJ;sk
r'~'1==~;=;= .'"
111
laden
'T
I
In het venster voor de plug-ins bepaal je welke meegeleverde programma's op de boot-cd meegebrand moeten worden. Drive Snapshot kopieert complete partities naar imagebestanden en kan de originele situatie zonodig in enkele minuten weer terugzetten. ongepartitioneerde harde schijven terugzetten. De voor dit doel ingebouwde partitioneringstool maakt echter nog een wat rudimentaire indruk.
Op smaak brengen De plug-ins die we meeleveren in de c't-editie van de PE Builder, hebben we thematisch verdeeld over de drie submappen sys, app en drv voor respectievelijk systeem bestanden, toepassingen en drivers. Na het starten van de PE Builder kun je met een klik op 'plugins' bepa-
len welke modules er in de boot-cd geïntegreerd moeten worden. Met het uitschakelen van de module 'BootFix' hoef je niet meer voor het booten van de cd op een toets te drukken. Wij hebben de modules van PEBuilderzo geconfigureerd dat de boot-cd met een minimum werkgeheugen van 128 MBkan werken. De als station B:aangemaakte RAM-disk,die sommige programma's nodig hebben om op te kunnen starten, biedt daarom in de basisinstelling slechts ruimte voor 32 MB gegevens. Helaas kan deze niet dynamisch
meegroeien. De RAM-diskwordt ook niet automatisch leeggemaakt wanneer je een daarop geïnstalleerd programma beëindigt. Daarom verschijnt er een foutmelding zodra je probeert meerdere programma's die van de RAM-diskafhankelijk zijn na elkaar te starten. Als oplossing voor dit probleem kun je natuurlijk de bestanden op de RAMdisk met de hand wissen of het systeem opnieuw opstarten. Je kunt de RAM-disk meer geheugenruimte toebedelen bij het aanmaken van een nieuwe boot-cd. In de plugin-lijst selecteer je daarvoor de module 'SYS: RAMDisk'en klik je op '~ditor', om het bijbehorende configuratiebestand in Windows' Notepad te openen. In het onderdeel [Strings]voer je in de variabele RamDiskDiskSizede gewenste
OEM-problemen Het kan gebeuren dat PE Builder zich verslikt in bepaalde Windows-cd's die pc-bouwers met hun producten als gemodificeerde OEM-versiesmeeleveren. Indien de slipstream-update van de installatiebestanden met Service Pack 2 al fout gaat (zie kacjer op pagina 55), kun je deze horde in veel gevallen overwinnen door de cd naar de harde schijf te kopiëren en het bestand svcpack.inf uit de map i386 te verwijderen. Met een recovery-cd van Medion hadden we meer problemen. Een uit deze bron gemaakte BartPE-cd bleef bij het opstarten hangen met een zwart scherm en een foutmelding. Zo'n OEM-cd kun je ech-
c't 2006, Nr. 01/02
ter voor gebruik met PEBuilder geschikt maken door setupbestanden, die de fabrikant heeft aangepast, door de originele bestanden te vervangen. Deze levert Microsoft netjes in Service Pack 2 mee. Deze moet je eerst uitpakken met de opdracht xpsp2.exe Ix en daarna geef je in het dialoogvenster de gewenste doelmap aan, bijvoorbeeld D:\sp2\uitgepakt. Daar vind je dan een submapje \i386\ic (svp niet verwisselen met i386\ip). Om de installatiebestanden van de OEM-cdvoor de PE Builder te repareren, kopieer je de inhoud van de icmap direct naar de directory i386 die je van je OEM-cd gehaald hebt en overschrijf je de aanwezige bestanden.
groot-
te als hexadecimale waarde in, zoals in het commentaar staat uitgelegd. De plug-in XPEvan de Italiaanse programmeur Sherpya installeert een vrijwel volledige Windows-omgeving op de nood-cd, inclusief Verkenner en Internet Explorer en nog veel meer standaard Windows-programma's, die in de minimale BartPE-omgeving ontbreken. Om XPEte starten, heb je minstens 196 MBaan RAM nodig. Met deze plug-in duurt het opstarten van het systeem natuurlijk wel langer. Voor het aanmaken van een boot-cd met XPE moet je eerst de plug-in 'Nu2Menu' deactiveren. XPEbiedt in plaats hiervan het originele Windows-startmenu. Vink alle plug-ins aan die met 'Shell: XPE'aangeduid zijn. Om werkgeheugen en opstarttijd te sparen, moet je het vinkje verwijderen bij de module WMI
voor de beheerinterface Windows Management Jnstrumentation, tenzij je eigen plug-ins voor PE Builder gebruikt die WMI nodig hebben. Je kunt de webbrowser Firefox onder XPEweglaten, je hebt dan voor het surfen immers de Internet Explorer.
I,
il
! l
I1
Garneren
11
Indien de mini-Windowsje harde schijven niet laat zien, als die bijvoorbeeld zijn aangesloten op een SATA-,SCSI-of RAID-adapter, ontbreken op de boot-cd naar alle waarschijnlijkheid de juiste drivers. Wanneer je bij het opstarten de F6-toets ingedrukt houdt, accepteert Windows PE een diskette met de driver voor de harde schijf. Zo'n 'F6-diskette', die ook bij een nieuwe installatie van Windows nodig is, hoort normaal meegeleverd te worden bij een nieuw moederbord of host-adapter. Op internet zou je die moeten kunnen vinden op de supportpagina's van de fabrikant. Bijde nieuwere PEBuilder-versies heeft Bart Lagerweij het achteraf installeren van drivers voor opslagapparaten en netwerkkaarten makkelijkergemaakt. Voordrivers van harde schijven hoef je alleen de inhoud van een F6-diskette ergens in een map onder Drivers in de PE Builder directory te kopiëren. De map drivers moet daarbij het bestand txtsetup.oem bevatten, waarvan je de inhoud moet controleren: het onderdeel [SCSI]mag geen
drivers voor oude-
re Windows-versies bevatten, zoals NTen 2000. Om BartPE een netwerkkaart te laten herkennen heb je de map met driverbestanden nodig, die met de kaart worden meegeleverd.Zoek naar een map voor 57
I'
I
I'
I I I
1
Praktijk
INood-Windows
Windows XP waarin onder andere een bestand met de extensie .INF en het .sYS-bestand van de driver te vinden zijn. Kopieer de complete inhoud van de directory naar een aparte map onder \drivers\net\. Sommige fabrikanten stoppen de drivers voor hun netwerkkaart in zelfuitpakkende installatiepakketten. In veel gevallen kun je deze met Total Commander uitpakken zonder dat het pakket wordt gestart. Daarvoor selecteer je het .EXE-bestand en open je het met de toetsencombinatie CtrlPage Down. Andere soorten apparaten zijn alleen via speciaal ontwikkelde plug-ins te installeren. In ons pakket staan onder \plugins\drivers kant-en-klare modules, die modems en ISDN-kaarten activeren - de benodigde drivers ontleent de PE Builder aan de Windows-cd. Analoge PCI-modems van de firma SmartLink kun je integreren door de driverbestanden van de fabrikant [4] naar de directory ...\Modem_smartlink\ files te kopiëren en de bijbehorende plug-in aan te vinken. De XPE-omgeving ondersteunt drivers iets beter dan de minimale BartPE-variant. Met de juiste plug-ins kun je bijvoorbeeld drivers voor grafische kaarten Iaden, die een hogere verversingssnelheid dan de 60 Hertz van de standaard VGA-driver halen. Sommige drivers, waarvan de fabrikanten zich niet aan de door Microsoft gedefinieerde standaarden houden, krijg je in het PE-systeem soms helemaal niet aan de praat Zo werkten bij ons bijvoorbeeld de chipset- en LANdrivers van nVidia niet
î'1i!i,J!t
-
Ant]VirusKit2005PEE1Ifiion Spybot- Search&Destrüy1.4
-Ymisife
n
---
n
-
-BêSCfIJijvin1f.
WWw.gdata.de/gdc/nUtart. www.safer-networking.org/en/spybotsd/
RunAlyzer
,~
-
-
0Viiussèanner,giàfuo~updates
tot decembe~ 2006 w
Spywareverwijderen Autostartsbewerken
DriveSnapshot1.36
www.drivesnapshot.de/en/
Harddiskimager,gratisiicentiegeldigtot november2006
DeepBurner 1.6.0.198
www.deepburner.com
Brandprogramma
FileRecovery 4.0
Datarecovery www.pcinspector.de/file_recovery/UK/welcome.htm Partitietabelherstellen www.cgsecurity.org/index.html?testdisk.html
TestDisk 5.8 WDLifeGuard Diagnostics 1.0 Srnartmontoois 5.33 IFS:ext2/3-drivers 1.0.la Firefox 1.0.7 UltraVNC 1.00 PuTTY 0.58
http://support.wdc.com
Hardeschijfdiagnose
http://smartmontools.sourceforge.net
Harddiskdiagnose,SMART-gegevens uitlezen
www.mozilla.org/products/firefox
MountenvanLinux-partities, diemetext2/3geformatteerdzijn Webbrowser
http://ultravnc.sourceforge.net www.putty.nl
PCremotecontrol,elient-enserversoftware PCremotecontrol
Pakketfilter wipfw 7-lip3.13 IrfanView 3.97
http://wipfw.sourceforge.net
Firewall,wordtautomatischactiefbij opstarten
www.7-zip.org www.irfanview.com
Compressiesoftware voorliP, RAR,GliP,BlIP2,7ze.a. Viewer
NoteTabLight4.95
www.notetab.com
Teksteditor
TinyHexer1.6.0.4 TotalCommander6.53
www.mirkes.de/en/freeware/tinyhex.php
Hex-endiskeditor
www.ghisler.com
Bestandsbeheer, geïntegreerde zipperenHP-elient
Tree5izeV1.7x
www.jam-software.com/freeware
Geeftgroottevandirectoriesweer
BartPEeen stuk vlotter. Zo kun je bijvoorbeeld met regeditexe veranderingen in het register van het afgesloten systeem aanbrengen of configuratiebestanden als bootini bewerken. 'The CD Forum' [5] heeft een aparte sectie voor Bart's PE Builder waar je ervaringen met andere gebruikers van PEBuilder kunt uitwisselen.
Literatuur [1] Henk de Jong, Karsten Violka, Windows XP live op cd, De ultieme reddings-cd met Windows PE, c't 02/2004, p. 104. [2] Remote control voor BartPE: http://ultravnc.sourceforge.net [3] Boi Feddern, Johannes Endres, Goed voorbereid, Harddiskdiagnose met SMART, c't 03/2005 p.90
"!
--'!"
[4] Drivers voor modems
met
SmartLink-chipset: www.smlink.com/content.aspx? id=147 [5] 'The CD Forum' voor gebruikers van Bart's PE Builder: www.911cd.net/forums [6] Website van PE Builder van Bart Lagerweij: www.nu2.nu/ pebuilder
,'1:
Smullen maar! Bart Lagerweij noemt zijn PEBuilder met een knipoog terecht "Admin's best friend!". Deze EHBO-kit kan je in veel situaties een hoop tijd en zenuwen besparen. Onderhoudswerkzaamheden die normaliter behoorlijk wat werk zouden kosten, gaan met
s.stondsm.p B6t0nd<m.p
e 64 'kB
EVr -be
64 kB
EVr -be
2 kB
Con1]gyrotie1nstoL
De optionele plug-in XPE breidt de mini-Windows uit met een bijna volledige XPdesktop, waarin zelfs Internet Explorer functioneert.
58
p
64kB EVr-be
c't 2006, Nr. 01/02
