BOOT.INI entschlüsseln - Windows XP für Senioren
Transcription
BOOT.INI entschlüsseln - Windows XP für Senioren
DSCC – Berlin Deutscher Senioren-Computer-Club Berlin e.V. Interessengruppe Windows XP - Leitung Eberhard Thieme HT336 Windows XP Hilfethemen - 3. Systemsteuerung und Computerverwaltung 3.3 Startprozess - Überarbeitet im August 2009 von Eberhard Thieme 3.36 BOOT.INI entschlüsseln Welche Aufgabe hat nun die boot.ini. Die Erweiterung .ini deutet auf initialisieren hin und das ist zutreffend. Die Systemdatei boot.ini zeigt dem Bootlader den Platz, auf der (den) vorhandenen Festplatte(n), wo sich Betriebssysteme befinden und startet das gewünschte System. Die Systemdatei boot.ini ein unentbehrliches Element für den Start des Computers mit Windows XP Versionen. (Diese Systemdatei gibt es im neuen Betriebssystem Windows Vista nicht mehr.) Die boot.ini ist auf der Festplatte im Hauptverzeichnis der aktiven, primären Partition versteckt und schreibgeschützt gespeichert. Wer sie sucht, muss jedoch in den Ordneroptionen/Ansicht (Menüleiste Arbeitsplatz/extras) die Einstellung Versteckte Dateien/Alle Dateien und Ordner anzeigen aktivieren. Die boot.ini ist eine Textdatei und kann mit dem Windows Editor geöffnet werden. Sie hat beim Betriebssystem Windows Home Edition folgende Eintragungen in englischer Sprache: [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn Diese sechs Zeilen gliedern sich noch in die zwei Abschnitte [boot loader]und [operating systems]. Diese Abschnitte starten Prozesse, die im Thema 3.32 beschrieben wurden. Es sind eindeutige Befehle, die der Computer für den Start benötigt. Erläuterungen [boot loader] timeout=30 Dieser Starteintrag zeigt die Zeit in Sekunden an, um die der Start verzögert wird, wenn mehrere Betriebssysteme auf der Festplatte installiert wurden. Somit kann der Benutzer das gewünschte Betriebssystem mit den Pfeiltasten auswählen. Wenn nur ein Betriebssystem vorhanden ist, geht der Prozess weiter mit default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS Diese Zeile zeigt den Pfad, ARC (ein Standard von Advanced Risc Computing) genannt, zum Betriebssystem an, das automatisch ausgewählt und nach Ablauf der timeout-Zeit gestartet werden soll, falls der Benutzer kein anderes Betriebssystem ausgewählt hat. Dieser Eintrag muss genau mit den im Abschnitt [operating systems] aufgelisteten Einträgen übereinstimmen: [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn Mit der Zahl in der Klammer multi() wird der entsprechende Controller der Festplatten angesprochen, der über INT 13 (Interrupt) IDE- oder SCSI-Platten steuert. Bei reinen SCSI-Systemen wird diese Bezeichnung mit scsi() ersetzt. Die Zahl in disk() entspricht der Nummerierung von SCSI-Systemen, normalerweise auf (0) gesetzt. In rdisk() gilt die Nummerierung in IDE-Systemen wie folgt: Primärer Controller Master/Slave=0/1. Damit wird die als Master (0) geschaltete Festplatte angesprochen. Die Eintragung der Nummer nach dem ARC-Standard in partition() nennt die aktive Partition mit dem zu startenden System. Die Zählung beginnt immer mit (1). Danach wird nach WINDOWS=“..“ die genaue Bezeichnung des Betriebssystems in „Anführungsstriche“ gesetzt, die auch beliebig verändert werden kann, vor allem dann, wenn mehrere Betriebssysteme zur Auswahl stehen. Zum Beispiel: [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn Hier ist Windows Professional auf einer zweiten Festplatte rdisk(1)partition(1) installiert. Zu den in [operating systems] eingetragenen Betriebssystemen können weitere Parameter hinzugefügt werden: /fastdetect Automatisch gesetzt zur Verhinderung der Überprüfung von Schnittstellen des PC, /noguiboot Abschaltung des Startbildschirms mit dem Windows-Logo, 3.36 BOOT.INI entschlüsseln – Seite 2 /sos /safeboot /basevideo /bootlog /NoExecute Anzeige der beim Start geladenen Treiber, Start im Abgesicherten Modus, :minimal oder :network mit Netzwerktreibern, Start im Standard-VGA-Bildschirm mit 640x800 Bildpunkten und 16 Farben aktiviert die Startprotokollierung in der Datei %systemroot%\ntbtlog.txt. =OptIn Die Parameter können auch miteinander kombiniert mit Abstand von einem Leerzeichen hinter dem Eintrag des Operating systems angefügt werden, um zur Fehlersuche bei fehlerhaftem Start entsprechende Anhaltspunkte zu finden. Es werden dann folgende, gewünschte Optionen zusammen wirksam. Zum Beispiel: Abgesicherter Modus ohne Netzwerk mit Startprotokollierung unter Abschaltung des Windows-Logos im Monitor beim Start: /safeboot:minimal /sos /bootlog /noguiboot Abgesicherter Modus mit Netzwerk und Startprotokollierung unter Abschaltung des Windows-Logos im Monitor beim Start : /safeboot:network /sos /bootlog /noguidboot Weitere Parameter für Analysezwecke sind der Fachliteratur zu entnehmen. Die Datenausführungsverhinderung bei Pufferüberläufen *) Der Parameter NoExecute wurde bei Windows XP nach der Installation mit dem Servicepack 2 eingerichtet. Er gehört zur Windows Sicherheitskonzeption, um das System vor Schädlinge zu schützen, die bei Pufferüberläufen eindringen können. Pufferüberläufe gehören zu den berüchtigsten Angriffsformen aus dem Internet. Einfach dargestellt passiert Folgendes: Bei Internetkontakten in der Kommunikation mit Servern und Domänen werden in Programmen mit Datensegmenten bei Stapeldateien (Stacks) zu wenig Platz (Puffer) für Eintragungen (Variable) vom Anwender einprogrammiert. So kann der Bereich für die Rücksprungadresse überschrieben werden. Geschieht das, dann entsteht ein Pufferüberlauf, wodurch der Stack leicht manipulierbar wird. Die Rücksprungadresse wird überschrieben und dient dann den Zielen des Angreifers. Der Pufferüberlauf kann zwar nicht verhindert werden, jedoch wird von aktuellen Prozessoren die Ausführung (Execution) der hineinmanipulierten Codes nicht vollzogen. Dazu wurde Prozessoren wie AMD Athlon 64, Sempron und Intel4 mit EMT 64 ein NX-Bit in die Adressleitung eingebaut, das für NoExecution steht und damit eindeutig Stacks mit Pufferüberläufen als Datensegmente kennzeichnet, die nicht ausführbare Codes enthalten. Wenn jetzt ein Programm es schafft, durch einen Pufferüberlauf einen ausführbaren Code einzuschmuggeln, verweigert der Prozessor dessen Ausführung. Mit Servicepack 2 unterstützt Windows XP diese Funktion. Da diese NX-Funktion nur bei den genannten Prozessoren vorhanden ist, hat Microsoft eine zweite Schutzmöglichkeit mit einer Option versehen, die softwareseitig Schutz bietet und die Microsoft Dateiausführungsverhinderung nennt. Diese Option sollte aktiviert sein, wenn ihre Computer ältere Prozessorentypen besitzen. Bild 1. Aktivierung der Datenausführungsverhinderung Dazu sind die Systemeigenschaften (Thema 3.1) (Windowstaste+Pause) zu öffnen und in der Registerkarte Erweitert/ Systemleistungen/ Leistungsoptionen/Datenausführungsverhinderung sollte die Option Datenausführungsverhinderung nur für erforderliche Windows-Programme und Dienste aktiviert sein. Ein Schalter auf diesem Fenster bietet Informationen über die Funktion der Datenausführungsverhinderung an. Bearbeitung der boot.ini Eine Bearbeitung der boot.ini ist indirekt über das Systemkonfigurationsprogramm (Thema 3.35) möglich. Es ist vorher die boot.ini auf einem externen Datenträger zu sichern. Sollte nach einer Änderung das System nicht mehr starten, so kann mit der Reparaturoption der Installations-CD (Thema 3.28) und dem Kommandozeilen-Befehl bootcfg die entsprechende Konfiguration wiederhergestellt und die ursprüngliche boot.ini wieder eingerichtet werden. Eine Bearbeitung kann bei Fehlstart, Fehlersuche oder Installation eines zweiten oder noch weiteren Betriebssystemen erforderlich sein. Sie ist auch mit einem Editor (Wordpad) möglich, wenn der Schreibschutz aufgehoben und danach wieder hergestellt wird. Die timeout-Zeit kann unter Systemeigenschaften / Erweitert / Starten und Wiederherstellen (Thema 3.1) geändert werden. *) siehe: http://support/microsoft.com/kb/889741/DE/