BOOT.INI entschlüsseln - Windows XP für Senioren

DSCC – Berlin
Deutscher Senioren-Computer-Club Berlin e.V.
Interessengruppe Windows XP - Leitung Eberhard Thieme
HT336 Windows XP Hilfethemen - 3. Systemsteuerung und Computerverwaltung
3.3 Startprozess - Überarbeitet im August 2009 von Eberhard Thieme
3.36 BOOT.INI entschlüsseln
Welche Aufgabe hat nun die boot.ini. Die Erweiterung .ini deutet auf initialisieren hin und das ist zutreffend. Die Systemdatei boot.ini zeigt dem Bootlader den Platz, auf der (den) vorhandenen Festplatte(n), wo sich Betriebssysteme befinden und startet das gewünschte System. Die Systemdatei boot.ini
ein unentbehrliches Element für den Start des Computers mit Windows XP Versionen. (Diese Systemdatei gibt es im neuen Betriebssystem Windows Vista nicht mehr.) Die boot.ini ist auf der Festplatte im Hauptverzeichnis der aktiven, primären Partition versteckt und schreibgeschützt gespeichert.
Wer sie sucht, muss jedoch in den Ordneroptionen/Ansicht (Menüleiste Arbeitsplatz/extras) die Einstellung Versteckte Dateien/Alle Dateien und Ordner anzeigen aktivieren. Die boot.ini ist eine Textdatei und kann mit dem Windows Editor geöffnet werden. Sie hat beim Betriebssystem Windows Home
Edition folgende Eintragungen in englischer Sprache:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition"
/fastdetect /NoExecute=OptIn
Diese sechs Zeilen gliedern sich noch in die zwei Abschnitte [boot loader]und [operating
systems]. Diese Abschnitte starten Prozesse, die im Thema 3.32 beschrieben wurden. Es sind eindeutige Befehle, die der Computer für den Start benötigt.
Erläuterungen
[boot loader]
timeout=30
Dieser Starteintrag zeigt die Zeit in Sekunden an, um die der Start verzögert wird, wenn mehrere
Betriebssysteme auf der Festplatte installiert wurden. Somit kann der Benutzer das gewünschte Betriebssystem mit den Pfeiltasten auswählen.
Wenn nur ein Betriebssystem vorhanden ist, geht der Prozess weiter mit
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
Diese Zeile zeigt den Pfad, ARC (ein Standard von Advanced Risc Computing) genannt, zum Betriebssystem an, das automatisch ausgewählt und nach Ablauf der timeout-Zeit gestartet werden soll,
falls der Benutzer kein anderes Betriebssystem ausgewählt hat. Dieser Eintrag muss genau mit den
im Abschnitt [operating systems] aufgelisteten Einträgen übereinstimmen:
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition"
/fastdetect /NoExecute=OptIn
Mit der Zahl in der Klammer multi() wird der entsprechende Controller der Festplatten angesprochen,
der über INT 13 (Interrupt) IDE- oder SCSI-Platten steuert. Bei reinen SCSI-Systemen wird diese Bezeichnung mit scsi() ersetzt. Die Zahl in disk() entspricht der Nummerierung von SCSI-Systemen, normalerweise auf (0) gesetzt. In rdisk() gilt die Nummerierung in IDE-Systemen wie folgt: Primärer Controller Master/Slave=0/1. Damit wird die als Master (0) geschaltete Festplatte angesprochen.
Die Eintragung der Nummer nach dem ARC-Standard in partition() nennt die aktive Partition mit
dem zu startenden System. Die Zählung beginnt immer mit (1). Danach wird nach WINDOWS=“..“
die genaue Bezeichnung des Betriebssystems in „Anführungsstriche“ gesetzt, die auch beliebig verändert werden kann, vor allem dann, wenn mehrere Betriebssysteme zur Auswahl stehen. Zum Beispiel:
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition"
/fastdetect /NoExecute=OptIn
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional"
/fastdetect /NoExecute=OptIn
Hier ist Windows Professional auf einer zweiten Festplatte rdisk(1)partition(1) installiert.
Zu den in [operating systems] eingetragenen Betriebssystemen können weitere Parameter hinzugefügt werden:
/fastdetect
Automatisch gesetzt zur Verhinderung der Überprüfung von Schnittstellen des PC,
/noguiboot
Abschaltung des Startbildschirms mit dem Windows-Logo,
3.36 BOOT.INI entschlüsseln – Seite 2
/sos
/safeboot
/basevideo
/bootlog
/NoExecute
Anzeige der beim Start geladenen Treiber,
Start im Abgesicherten Modus, :minimal oder :network mit Netzwerktreibern,
Start im Standard-VGA-Bildschirm mit 640x800 Bildpunkten und 16 Farben
aktiviert die Startprotokollierung in der Datei %systemroot%\ntbtlog.txt.
=OptIn
Die Parameter können auch miteinander kombiniert mit Abstand von einem Leerzeichen hinter dem
Eintrag des Operating systems angefügt werden, um zur Fehlersuche bei fehlerhaftem Start entsprechende Anhaltspunkte zu finden. Es werden dann folgende, gewünschte Optionen zusammen wirksam. Zum Beispiel:
Abgesicherter Modus ohne Netzwerk mit Startprotokollierung unter Abschaltung des Windows-Logos im Monitor
beim Start:
/safeboot:minimal /sos /bootlog /noguiboot
Abgesicherter Modus mit Netzwerk und Startprotokollierung unter Abschaltung des Windows-Logos im Monitor
beim Start :
/safeboot:network /sos /bootlog /noguidboot
Weitere Parameter für Analysezwecke sind der Fachliteratur zu entnehmen.
Die Datenausführungsverhinderung bei Pufferüberläufen *)
Der Parameter NoExecute wurde bei Windows XP nach der Installation mit dem Servicepack 2 eingerichtet. Er gehört zur Windows Sicherheitskonzeption, um das System vor Schädlinge zu schützen,
die bei Pufferüberläufen eindringen können. Pufferüberläufe gehören zu den berüchtigsten Angriffsformen aus dem Internet. Einfach dargestellt passiert Folgendes: Bei Internetkontakten in der Kommunikation mit Servern und Domänen werden in Programmen mit Datensegmenten bei Stapeldateien
(Stacks) zu wenig Platz (Puffer) für Eintragungen (Variable) vom Anwender einprogrammiert. So kann
der Bereich für die Rücksprungadresse überschrieben werden. Geschieht das, dann entsteht ein Pufferüberlauf, wodurch der Stack leicht manipulierbar wird. Die Rücksprungadresse wird überschrieben
und dient dann den Zielen des Angreifers. Der Pufferüberlauf kann zwar nicht verhindert werden, jedoch wird von aktuellen Prozessoren die Ausführung (Execution) der hineinmanipulierten Codes nicht
vollzogen. Dazu wurde Prozessoren wie AMD Athlon 64, Sempron und Intel4 mit EMT 64 ein NX-Bit in
die Adressleitung eingebaut, das für NoExecution steht und damit eindeutig Stacks mit Pufferüberläufen als Datensegmente kennzeichnet, die nicht ausführbare Codes enthalten. Wenn jetzt ein Programm es schafft, durch einen Pufferüberlauf einen ausführbaren Code einzuschmuggeln, verweigert
der Prozessor dessen Ausführung.
Mit Servicepack 2 unterstützt Windows XP diese
Funktion. Da diese NX-Funktion nur bei den genannten Prozessoren vorhanden ist, hat Microsoft
eine zweite Schutzmöglichkeit mit einer Option versehen, die softwareseitig Schutz bietet und die
Microsoft Dateiausführungsverhinderung nennt.
Diese Option sollte aktiviert sein, wenn ihre Computer ältere Prozessorentypen besitzen.
Bild 1. Aktivierung der Datenausführungsverhinderung
Dazu sind die Systemeigenschaften (Thema 3.1) (Windowstaste+Pause) zu öffnen und in der Registerkarte Erweitert/ Systemleistungen/ Leistungsoptionen/Datenausführungsverhinderung sollte die Option Datenausführungsverhinderung nur für erforderliche Windows-Programme und Dienste aktiviert sein. Ein Schalter auf diesem
Fenster bietet Informationen über die Funktion der Datenausführungsverhinderung an.
Bearbeitung der boot.ini
Eine Bearbeitung der boot.ini ist indirekt über das Systemkonfigurationsprogramm (Thema 3.35)
möglich. Es ist vorher die boot.ini auf einem externen Datenträger zu sichern. Sollte nach einer Änderung das System nicht mehr starten, so kann mit der Reparaturoption der Installations-CD (Thema
3.28) und dem Kommandozeilen-Befehl bootcfg die entsprechende Konfiguration wiederhergestellt
und die ursprüngliche boot.ini wieder eingerichtet werden. Eine Bearbeitung kann bei Fehlstart, Fehlersuche oder Installation eines zweiten oder noch weiteren Betriebssystemen erforderlich sein. Sie ist
auch mit einem Editor (Wordpad) möglich, wenn der Schreibschutz aufgehoben und danach wieder
hergestellt wird. Die timeout-Zeit kann unter Systemeigenschaften / Erweitert / Starten und Wiederherstellen (Thema 3.1) geändert werden.
*) siehe: http://support/microsoft.com/kb/889741/DE/