Praktijk INood-Windows

\... w'

~'Ii\'!

Karsten Violka

~

Zelf een Windows voornoodgevallen bakkenBart's PE Builder zet Windows op een bootable live-cd

Aan de vraag naar een echte Windows-versie die directvanaf cd opstart en kan helpen bij het repareren van jesysteem, heeft Microsoft tot nu toe niet voldaan. Met dePE Builder op de c't-cd kunje deze kloof overbruggen. PEBuilder gebruikt de bestanden van een normale installatie-cd om in een oogwenk de ideale EHBO-cdvoor Windows tebranden. Aan onze c't-cd hebben we wat extra's als eenvirusscanner en een aantal andere tools toegevoegd, diegoed van pas komen bij veel typische pc-problemen.

52

Jarenlang heeft de goeie ouweDOS-bootdiskette dienst ge-daan als een onmisbaar stuk

gereedschap waarmee systeem-beheerders beschadigde pc'snog konden benaderen. Met eengegarandeerd schoon bestu-ringssysteem dat van een boot-medium opstart kun je in nood-gevallen gegevens redden, fouteinstellingen veranderen en virus-sen verwijderen.

Microsoft biedt voor de huidi-

ge Windows-versies tot nu toeechter geen goed rescuesysteem

'"'...

'-.

aan - even afgezien van deslechts beperkt bruikbare herstel-console die je van de Windows-installatie-cd kunt opstarten.Microsoft heeft met WindowsPE (Preinstallation Environment)echter een waardige opvolgervoor de DOS-diskette in handen.Windows PE is een minibestu-ringssysteem dat van cd of dvdopstart, geen virtueel geheugenaanmaakt en de harde schijf vande pc ongemoeid laat. Het sys-teem biedt netwerktoegang, kanzelfstandig moderne hardware

c't 2006, Nr. 01/02

zoals USB-geheugenmedia aan-sturen en beschrijft met de dri-vers van Microsoft moeiteloosNTFS-geformatteerde hardeschijven.

Zoals de productnaam al im-pliceert, brengt Microsoft dezemini-Windowsversie als pure in-stallatieomgeving op de markt.De doelgroep bestaat uitslui-tend uit grote bedrijfskianten enpartners, die Windows volauto-matisch op computers in hetnetwerk willen installeren. Metde Remote Installation Services(RIS) kunnen kale pc's zonderbesturingssysteem Windows PEvia het netwerk direct vanaf eenserver opstarten, zodat Win-dows vervolgens op de hardeschijf geïnstalleerd kan worden.Voor eindgebruikers is er geenmogelijkheid om aan WindowsPEte komen.

De Nederlandse ontwikkelaarBart Lagerweij nam daar geengenoegen mee. In 2002 stelde hijde eerste versie van zijn tooi PEBuilder voor. Daarmee is hetmogelijk om met de bestandenvan een normale installatie-cdvan Windows een bootable PE-systeem samen te stellen [1]. Omzijn eigen doe-het-zelfvariant teonderscheiden van het origineelvan Microsoft noemde hij zijnsysteem 'BartPE'. Technisch is ergeen verschil: de mogelijkheidom vanaf een cd te starten zitnamelijk in de kernel van Win-dows XP ingebouwd.

De mini-Windowsversie is in

zijn basisuitvoering erg sum-mier. Zonder speciale uitbreidin-gen moet je het stellen zonderde desktopfuncties, InternetExplorer, de Verkenner voor hetbestandsbeheer en de meestestandaard configuratietools vanWindows. In tegenstelling tot deoriginele PE van Windows, diealleen maar de XP-kernel opstarten de gebruiker slechts eensneue DOS-prompt voorscho-telt, beschikt de gebruiker vanBarts systeem over een flexibelstartmenu dat in de basisversieal veel nuttige tools bevat. Debeperkingen van het origineel,dat maar zes processen tegelijkuitvoert en na 24 uur de pcopnieuw opstart, zijn in BartPEniet aanwezig.

Met virusscanner, datareco-very, brandprogramma, web-browser en andere tools is dit

de ideale EHBO-kit voor nood-

gevallen.

c't 2006, Nr. 01/02

Met speciale PE BuiIderpakket-ten kun je extra programma'sen functies, die Bart Lagerweij'plugins' noemt, na-installeren.PE Builder voegt zulke pakket-ten, die programmagegevens,menu-items en PE-specifiekeconfiguraties bundelen, aan decd toe. Inmiddels is er een grotefangemeenschap, die aan nogmeer van dit soort plug-ins voorPE Bui/der werkt. De module'XPE' van de Italiaanse ontwik-kelaar Sherpya breidt het nood-systeem zelfs uit tot een bijnavolledige Windows-omgevinginclusief desktop, Startmenu enInternet Explorer. Hoe je zulkemodules zelf maakt voor PEBui/der en eigen tools aan de cdtoevoegt, kun je lezen vanafpagina 64.

Kruidige extra's

op de +cd vind je onze uitgebrei-de c't-editie van de actuele versie3.1.5 van PE Builder, die we insamenwerking met Bart Lager-weij en PE-specialist Markus De-bus ontwikkeld hebben. De +cdzelf is niet bootable, je hebt duszelf een cd-brander en een instal-latie-cd van Windows XP nodigom een voorgeconfigureerdeWindows-cd voor noodgevallente maken.

De c't-editie is al voorzien vanveel nuttige programma's, die

we met zorg getest en geïnte-greerd hebben. Ons uitgangs-punt was het samenstellen vaneen EHBO-systeem waarmee jevirussen, spyware en anderebesmettingen perfect van pc'skunt verwijderen. De laatste ver-sie van virusscanner AVK 2005 isgeïntegreerd. Om te zorgen datde scanner ook de nieuwstevirussen kan opsporen, kan AVKde virusdefinities via internetupdaten. Het nood-Windows kangrotendeels zelf een internetver-binding opbouwen, bijvoor-beeld via een netwerkrouter of

een ADSL-verbinding. Ook diver-se ISDN-kaarten en interne ana-loge modems met SmartLink-chipset worden ondersteund.

Voor uitstapjes naar het WWWkun je gebruik maken van dewebbrowser Firefox. Zelfs wan-neer de verongelukte pc hele-maal niet meer van de hardeschijf wil booten, kun je zo tochnog hulp op internet zoeken eninformatie over de gevondenmalware opvragen. Ookje e-mail-account blijft voor noodgevallenbereikbaar.

Spyware en diaIersworden uitde weg geruimd door de PE-ver-sie van Spybot Search & Destroy.De auteur van dat programma,Patrick Kolla, heeft speciaal voorons project nog een extra tooiontwikkeld. Met RegAlyzer kunje vanuit het noodsysteem confi-

~.c ~~~- .-.-lits<hoI;eien ,

~. Start I~Spyboc.~ch... ;&pc~~...;\f,J-Drt;eSnapShXs... ~p;;.,s

Praktijk INood-Windows

gureren welke programma's enservices de Windows-installatieop de harde schijf wel of nietautomatisch mag opstarten. Van-af pagina 60 laten we zien, hoeje een besmette pc met dezeWindows-variant weer virusvrijmaakt.

Aangezien BartPE bij hetbooten zelf niets naar de hardeschijf schrijft, is het programmauitermate geschikt voor het red-den van gegevens. Vanaf deboot-cd heb je toegang tot allebestanden van de aangeslotendrives. Weliswaar houdt BartPEook rekening met de in hetNTFS-bestandssysteem vastge-legde toegangsrechten, maar deLive-Windows benadert de be-standen steeds met de alomvat-

tende rechten van het System-account. Je kunt alle bestandenvervolgens bijvoorbeeld makke-lijk naar een externe USB-hard-disk of het netwerk kopiëren.Voor het branden op een cd ofdvd kun je de brandsoftwareDeepBurner gebruiken.

Met de gratis datarecovery-tooi FileRecovery van het reco-verybedrijf Convar kun je be-standen die per ongeluk werdengewist weer terughalen of gege-vens van een niet meer leesbareharde schijf redden. Het is onbe-perkt te gebruiken. De nood-cdbevat bovendien de imaging-software Drive Snapshot, waar-

,'I 'I",i~a] e~1ionIlObackupp,..<>Ie afte,

22.8-2006.ee

www.dn,..napsholde]"de~l.

1;0\ 'I

53

~~..,;.., o;""""""'._~~..". ~ -~- -~-=":;A"'-'-'- ---

n

~..: "Copy;no/ies" =!I", = = = "":;!Extracti1g ":\WinXPp<o""","e""ed\1386\driver,cabViSF ~SOAR,SYS' to "C:'jJooJment:; and Setting'lJmu\9ureau~ad',:tpet ..:I

.

.

Ex"acti1g 'D:_o4p,"eamed~38ó\driver,cabViSF ..sPKP,SYS'to "C:'j)oaJment:;and Setting'\1mu'/Ju'eoublad'<Jp<bExtracti1g":~"eamed~38ó'<lrive<,cabViSF ~TONE,SYS'to "C:'jJoa.ment:;and Setting'\1mu_d'fjpel:Extracti1g":_o""eamed~38ó'<lriver,cab'l1SF ~V1Z',SYS'to "C:'jJoa.ment:;and se_\1mu'/Ju'eabIad'j:IpebExb"acti1g":""--",,,,eamed~386'<1river,cab\lBl'EXM'.SYS' to "C:'j)oanent:; and Se_\1mu'jU~Exb"acti1g":~omed\138ó'<lriver,cab\1BMTOK.SYS'to "C:~ and Se_\1mu'jU--Exb"acti1g":_o"""~386'<Iriver,cab\1BMTRP,SYS'to "C:'IJo<rn>entsandSe_\1mu'jU~

=~:====:==~~~~~~~~t::;.:::~=:~"~ ,r.'" '" '"""",,-' n ~2!Exb"acti1g":\'AinXPpr""""'eamed~386\driver,cab~O8PORTS,DlL' to "C:'j)oaJment:;and Se_"" PE&JiIdë,.'"BrorobOStandentI<ÎP- . ... "."Exb"acti1g":""nXI'p<o""","e""~386'<1iv""cabWS51S,SYS'to "C:'IJornment:;and Setting,~mu'. ~ ~

'=~:=~::::==:=~;gs,;.~~~~~=~ '

[

PEBo8ie< ." .c, """-:::,';;",,, :ë:="

Exb"acti1g'D:_eamed\l386'<1river,cab'j}N)I53.SYS'to"C:'Poament:;andSe_\1mui Bron:_metdebeslandenvande_c<d) .. " ,=',

Exb"acti1g":~'<Iriver.cab'l./oEIOO.SYS'to"C:'j)oanent:;andSe_\1mu~ .ID:_amed . ~Extracti1g":~\driv cab'l./oE1OO1X.SYS'to"C:'j)oanent:;andse_\jn."'=;0 ~ - .......Exb"acti1g":~'<Iriver.cab'j.OOP.SYS"to"C:'jJoa.ment:;andSe_\1mu'j!U'" Exb"a:-'~J . . ,Exb"acti1g":~treamed~38ó\driver,cab'j.TCKOOOC,SYS'to "C:'jJoa.ment:;and 50_\;1:, ' ,I C:'P>ament:;andSe_\1mu~'t:tPebu1der"'ddon ".:::I

'u":_~\driver.cab'j.1MJI<Ml.SYS'to"C:'jJoa.ment:;and5otlinQs\in.' DoeImap-;:~'j)oo.Inent:;and- - "- -IBa"""nmn

~"-;"~J ~.",-- r r !Jeta.nnalo:nr~:~"""""'enJIC:~tsàM~,

gJ,oYObranden-~

Praktijk INood-Windows

_.~ ~~= ~

~ T~-" "~;r~ .$-9

De benodigde systeem bestanden haalt de PEBuil-der van een Windows XP-cd. Enkele klikken met demuis en de ingebouwde brandsoftware schrijft hetbootable BartPE-systeem meteen naar cd of dvd.

mee je de inhoud van een Win~dows-partitie bij wijze van back~up naar een imagebestand kuntkopiëren.

Ingrediënten

op de +cd vind je de PEBuilderin de vorm van een bijna 100 MBgroot ZIP-bestand. Pak dit eerstuit in een apart directory (op eenharde schijf met veel vrije ruim~te). De uitgepakte softwareneemt ongeveer 190 MB inbeslag. Met nog eens 2 GBvrijeschijfruimte ben je klaar voor devolgende stappen.

De benodigde Windows sys~teembestanden - die wij natuur-lijk niet meeleveren - ontleentde PE Builder aan een origineleinstallatie~cd van Windows XPHome of Professional met geïn-tegreerd Service Pack 2. BartLagerweij noemt ook XP metService Pack 1 en Windows Ser~ver 2003 als mogelijke bronsys~temen, maar daarmee hebbenwij de c't~editie niet getest.

Bart's PE kan geen geïnstal~leerde Windows-versie als brongebruiken, tenzij de installatie~directory i386 op de harde schijfstaat. Zo niet, dan vind je die opde Windows~installatie-cd. Dezemap bevat alle bestanden dienodig zijn voor onze Windows~cd. Wanneer je pc~leveranciergeen volwaardige installatie~cd,maar slechts recovery~cd's heeftmeegeleverd, dan accepteert deBuilder deze meestal ook. Som~mige OEM~versiesdie door pc-bouwers werden gemodificeerdveroorzaken echter problemen.Hoe je een oudere versie vande installatiebestanden met Ser-

S4

=~I

vice Pack 2 up~to~date brengt,wordt uitgelegd in het kader oppagina 55.

Om de BartPE~cdaan te ma~ken heb je beheerdersrechtennodig, want voor het opbouwenvan nieuwe registerbestandengebruikt PE Builder Windows~functies die voor normale gebrui~kers niet toegankelijk zijn. StartPEBuildermet een dubbelklik oppebuilder.exe en ga akkoord metde Engelstalige licentieovereen-komst. In het hoofdscherm geefje onder 'Bron' de drive met deWindows installatie~cd op. Of jeselecteert een directory op deharde schijfwaarin PEBuilder deinstallatiebestanden kan vinden.Wanneer je als bron alleen maarde i386-map gaat gebruiken,moet je de daarboven liggendemap aangeven. Het invoerveld'Extra' is vooralsnog niet zo be~langrijk, het verwijst naar eenmap met willekeurige eigen be~standen, die PE Builder aan deboot~cd toevoegt.

Onder 'Doelmap' geef je delocatie aan waar het programmade inhoud van de nieuwe boot~cd samen moet stellen. Zodra PEBuilder deze tijdelijke map metde cd~structuur gevuld heeft, zethet de gegevens over naar eenISO~bestand, dat als basis voorde uiteindelijke boot~cd dient.De plaats waar dit bestand moetworden opgeslagen kun je aan-passen onder 'ISO image'. Metde optie 'Burn to cd' brandt PEBuilder het ISO~bestand in devolgende stap meteen naar eenblanco schijf.Zelfswanneer dezeoptie geactiveerd is, genereerthet toch eerst het ISO-bestand inde opgegeven directory.

-~ ~

- --S"";;"j -::I

De ingebouwde brandsoftwarefunctioneert met de meeste actu~ele cd~en dvd~branders. Indien jeeigen brander niet mee wil wer-ken, kun je het ISO-bestand meteen willekeurig ander brandpro-gramma op een schijf zetten. InNero Burning ROM7 (niet in hetExpress menu) lukt dat bijvoor-beeld met de menufunctie 'Re-corder/Image branden'. Voor deeerste pogingen is een CD~RWideaal. Het systeem is zeer goedte testen in een pc-emulator alsVMware of Virtual Pc. Wijs hetISO~bestandgewoon aan een vir-tuele cdrom-speler toe en bootde virtuele pc daar vandaan.

Na een klikop 'Starten' vraagtPEBuilderofje akkoord gaat metMicrosofts licentievoorwaarden('EULA')om vervolgens aan deslag te gaan. Een tweede hardeschijf kan het proces wat versnel-len. Je hoeft alleen de tijdelijkedoel map op een aparte drive tezetten, zodat PE Builder bij hetkopiëren steeds beide schijvenparallel gebruikt. Daarvoor moetje in het menu 'PE Builder/Op~ties' een vinkje zetten bij 'Abso-lute pad voor doel map'.

Voorproeven

Startje pc op met de gebrande cdin de speler. Bijhet booten ver-schijnt eerst de mededeling dat jeeen willekeurige toets moet in-drukken waarmee je het opstar-ten van cd bevestigt, anders startde pc na vijf seconden van deharde schijf. Wanneer de pc hetbootmedium niet ziet, moet je inde BIOS~instellingende bootvolg~orde veranderen en de cd-rom dehoogste prioriteit geven.

Zodra de blauwe c't~desktop ophet beeldscherm verschijnt, pro~beert BartPEde netwerkdrivers teIaden en automatisch een geldiglP-adres te krijgen via DHCP.Wanneer in je netwerk een hard~warematige router de internet~toegang regelt,waarvan de DHCP-server de adressen uitdeelt, hoefje verder niets te doen. IndienBartPEgeen geschikte drivervoorde netwerkkaart vindt, verschijnter een foutmelding.

De boot~cd herkent alle hard~ware waarvan Microsoft de dri~vers op de Windows installatie~cd meelevert. Je kunt handmatigextra apparaatdrivers aan PEBuilder toevoegen, maar daar-over later meer. Na het Iaden vande netwerkdrivers opent eenvenster met de vraag of de RAS~services opgestart moeten wor-den. Deze zijn nodig voor heteventueel achteraf opbouwenvan een inbelverbinding viaADSL,ISDNof een analoog mo~demo Bezitters van een routerkunnen dit aanbod afslaan. Zon~der bevestiging starten de servi~ces automatisch na een minuut.

Voorde standaardversie van deboot~cd is 128 MBwerkgeheugenvereist. Dat isook nog genoeg omde virusscanner te kunnen gebrui~ken. De basisuitvoering ziet af vaneen volledige Windows-desktop,zoals de optionele plug-in XPEdiebiedt. Erverschijnt alleen een sim~pel startmenu ('Nu2Menu'), datwe hebben aangevuld met eentaakbalk uit het opensourcepro-ject Geoshell(www.geoshell.com).Alsfilemanager gebruiken we deNorton~Commander-kloon TotalCommander, die met een klikophet diskette~icoontjewordt geac~tiveerd.

Met het onderdeel 'Systeem/Netwerk/lP~configuratie tonen'in het startmenu kun je contole~ren of de netwerkkaart al een IP~adres heeft gekregen via deDHCP~server. In het program~ma voor de netwerkconfiguratie(Systeem/Netwerk/Netwerkinstel~lingen) kun je ook een vast IP~adres instellen.

In plaats van met een routerkan het PE~systeemook zelf eeninbelverbinding met de internet~provider opbouwen. Dat werktgoed met een via het netwerkbereikbare extern ADSL~modem.Het oproepen van 'Programma's/Netwerk/lnternetverbinding' to~vert het betreffende venster ophet scherm. Een 'breedbandver~binding' via PPPoE voor eenADSL~modemis al voorgeconfi~

c't 2006, Nr. 01/02

gureerd. Na een klik op 'Verbin-den' typ je je toegangsgegevensin en bouw je de verbinding op.Aan de veiligheid is ook gedacht.Bij het booten starthet pakketfilter wipfw, dat allebinnenkomende datapakkettenblokkeert die het PE-systeemviahet LAN of van internet bereiken.

BartPE kan ook een internet-verbinding via een ISDN-kaartof een analoog modem opzet-ten. Maar dat werkt slechts meteen handjevol apparaten en debenodigde drivers zijn niet zomakkelijk te installeren. We had-den wel succes met een Fritz!-Card PCIvan AVM, die door hetPE-systeem bij het opstartenautomatisch wordt geconfigu-reerd. We slaagden erin uit tebellen via een modem met eenintern PCI-modem met Smart-

Link-chipset, die je ook in veelnotebooks aantreft. Wij leverendaarvoor een voorbereide plug-in mee, waaraan je alleen nogmaar de drivers van de fabrikanthoeft toe te voegen. Met exter-ne apparaten die we op eenseriële poort of USB aanslotenhadden we helaas geen succes.

Wanneer het inbellen gelukt is,geeft de opdracht ipconfiglalt opde opdrachtprompt het lP-adresdat door de router of de internet-provider werd toegewezen.

Krenten in de pap

DefilemanagerTotal Commanderis wat ongewoon voor gebruikersdie normaal met de Windows Ver-

kenner werken. Het programmaheeft echter een trouwe scharefans. Het hoofdvenster laat steedstwee mappen naast elkaar zien(zoals bij vrijwel ieder FTP-pro-gramma ook het geval is).Tussendie twee kun je makkelijk bestan-den heen en weer verplaatsen enkopiëren. De invoerregel onder-aan maakt bestandsoperaties mo-gelijk, kenners hebben de Com-mander-toetsen sowieso nog inde vingers zitten. Een compres-sieprogramma om ZIP-files temaken is al ingebouwd. RAR-enACE-bestanden kunnen zonderhulp van extra programma's in elkgeval uitgepakt worden. TotalCommander behandelt ZIP-be-

standen als directories die jegewoon door te dubbelklikken of

Praktijk INood-Windows

Service Pack 2 in XP integreren

Als bron voor de systeem be-standen, die de PEBuilder voorhet aanmaken van de bootable

nood-Windows nodig heeft,raden we een installatie-cd metService Pack 2 aan. Dit ServicePack bevat onder andere een

paar hardware-drivers die han-dig zijn voor BartPE.Bovendienworden veel veiligheidsgatengedicht, die anders ook dezemini-Windows kwetsbaar zou-den maken voor wormen uitde Blaster- en Sasser-families.

Wanneer je originele XP-versieouder is, moet je de installatie-bestanden zelf met SP2 upda-ten. Daarvoor heb je het circa270 MB grote pakket van SP2nodig, dat je onder andere opde cd bij c't 11 van 2004 kuntvinden.

Start de PE Builder en roep demenufunctie 'Bron bestanden/Slipstream' op. Als bron kies je

de rootdirectory van het sta-tion met de installatie-cd. Als jeeen aparte i386-map op jeharde schijf hebt staan, geef jehet pad op naar de map diedaarboven ligt.

Verwijst het bron pad naar eencd, dan vink je de optie 'Bronkan niet worden beschreven'

aan en geef je onder aan dedirectory op waar de PEBuilderde originele bestanden eerstnaartoe moet kopiëren. In hetmiddelste invoerveld selecteer

je het installatiepakket van SP2en start je de actie. PE Builderneemt de directory met de bij-gewerkte installatiebestandenautomatisch als bron voor Bart-PE.Onder Windows 2000 func-

tioneert de slipstreamintegra-tie van SP2overigens niet.

i~'~ië'mmi?f.f.~n"n,"~--::1.,êelecteereennetw,!;>r~verbinding: --'I U.I~"",,~~I1

Praktijk INood-Windows

Q.ebrUiker'naern:~@ti'cali.nl

~achtwoord: ...........

.Q1DèZ"J1ebruikersnaam en d~ )'Yachtw,oordQ:!i)'iaan vo.or:

liit~f'

~

.'Eigenschappen

Het PE-systeembouwt zelf een verbin-ding naar het internetop. Zo kunje bijvoorbeeld deantivirusprogramma'supdaten met actueledefinities. Het geïnte-greerde pakketfilterwipfw schermt hetWindows-Live-sys-teem goed tegen aan-vallen van buiten af.

met de Entertoets kunt openen.De ingebouwde FTP-clientis ookerg handig, bijvoorbeeld om vei-ligheidskopieën van bestandenop de lokaleschijfop een server tezetten.

Gegevens kunnen ook opge-slagen worden op een in hetlokale netwerk gedeelde Win-dows-schijf. Total Commanderkan in het menu 'Netwerk' eennetwerkschijf aan een<vrije drive-letter koppelen. Een gedeeldemap kun je ook als UNC-pad inde vorm \\server\share benade-ren zonder een letter te geven.Zo'n pad kun je ook direct in deadres regel van een van oe beidedirectory-vensters intypen doorhet actuele pad tweemaal aan teklikken.

Om verbinding te maken meteen andere Windows-pc moetje eerst het pakketfilter deacti-veren via het startmenu (Pro-gramma' s/Netwerk/P akketfiIterwipfw uitschakelen). Het bena-deren van een Samba-serveronder Linux functioneerde bijons daarentegen ook terwijl defirewall geactiveerd was. Op decommandline kun je de firewall-instellingen bekijken met deopdracht wipfw.exeJist. Indien delijst met filterregels leeg is, kan

Het brandprogramma Deep-Burner kan de gegevens van

een verongelukt systeem een-voudig naar een cd/dvd kopië-

ren.

56

alle netwerkverkeer ongehinderdpasseren.

Een andere hindernis doetzich voor wanneer op de server-pc Windows XPmet Service Pack2 draait. Microsoft heeft met SP2een veiligheidsgat gedicht enniet geautoriseerde 5MB-verbin-dingen geblokkeerd, de zoge-naamde 'null sessions'. Als Bart-PE dan probeert de shares vande XP-server te tonen, krijg jeeen foutmelding. Bijonze pogin-gen konden we een verbindingtot stand brengen door het vol-ledige UNC-pad op te geven.Met de uitgebreide XPE-variantvan de boot-cd lukte dat echterook niet. Alsworkaround staat inde plug in-map onder \plugin\system\xpe het registerbestandwinpe-xpsp2-fix.reg. Dit kun jeop de XP-servermet een dubbel-klik in het register importeren.Na een herstart zijn verbindin-

L.~sa:<'...~l:'.. :_:_'.;.'~~~;; ~~~;

gen met null-sessions dan weermogelijk. Je opent er wel eenveiligheidsgat mee dat in hetlokale netwerk misbruikt kanworden.

BartPE kan ook zelf als serverdienen. Het startmenu-item 'Pro-gramma's/Netwerk/ Alle drivesvrijgeven' activeert de nodigeservices en richt shares in. Hetscript laat daarna een willekeu-rig gegenereerd wachtwoordvoor de' Administrator'-accountzien, waarmee je je bij de Bart-PE-server kunt aanmelden. Methet programma UltraVNCkun jede BartPE-desktop zelfs op af-stand bedienen vanaf een ande-re pc waarop een VNC-clientdraait [2]. De server start je metde opdracht 'Programma's/Net-werk/UltraVNC/LoadVNCServer'.Het server-wachtwoord is 'bart-pevnc'. Dat isonder een draaiendsysteem helaas niet te veran-deren. Alle server-diensten zijnalleen met een uitgeschakeldefirewall beschikbaar.

Aangebrande schijvenDe data recoverytooi File Reco-very komt van paswanneer je perongeluk bestanden hebt gewist,er hele partities zijn verdwenen ofwanneer een harde schijf defectesectoren heeft. De tooi repareertgeen beschadigde gegevens-structuren, maar probeert zoveelmogelijk gegevens van de hardeschijf te reconstrueren.

Bij gegevensverlies is hetzaak kalm te blijven en de pcmeteen uit te schakelen. Iedereschrijfactie op de getroffen schijfbrengt namelijk het risico metzich mee dat Windows de waar-devolle gegevens in de sectorenop de schijf, die nu als vrij zijngemarkeerd, overschrijft. Het isdus geen goed idee om pasrecoverysoftware te gaan instal-

wm.;;

WM5"P,9.".

1035776

1232866

277393

20086'

18944751

316641)

"""",m",""",dm",,","",m.p',,""",m.p",""',m,pToo,"";o,CFG_~dToop"""C'""""';"""""g~C""'O.'"'-;"""'""T.",.,.;o,T"""","',.Ib";ó.,COO"".",.'o""'"","-"",,,..M,d;.ProIi,

Ieren als de ramp zich al heeftvoltrokken.

Met het PE-systeem kun je decomputer daarentegen zondergevaar booten voor een reddings-poging. De herstelde gegevenskun je op een externe schijfopslaan of je brandt ze met Deep-Burner direct op een blanco schijf.Let op bij een USB-aansluiting.Om te zorgen dat BartPEexterneopslagapparaten zoals USB-sticksen -harddisks als drive integreert,moeten die al bij het opstartenvan het systeem aangesloten zijn.

De brandsoftware DeepBur-ner functioneert het beste wan-neer er twee optische drives inde computer zitten en de bran-der niet als bootdrive wordt

gebruikt. Bij onze tests vondBartPE het af en toe niet leukwanneer we de systeem-cd uitde drive verwijderden om er eenlege cd in te doen.

Data LifeGuardDiagnosticsvanWestern Digital kan achterhalenof een harde schijf hardwarema-tig beschadigd is. Wanneer detestroutines van dat programmaalarm slaan, moetje de gegevenszo spoedig mogelijk naar eennieuw medium kopiëren. Deopensourcetool testdisk kankapotte partitietabellen recon-strueren om zo een verdwenen

partitie terug te halen. Met hetprogramma smartctl.exe uit detooiverzameling Smartmontoolskun je de SMART-gegevens vaneen harde schijf uitlezen, bijvoor-beeld om te controleren hoeveelwerkuren het apparaat al op deteller heeft staan [3]. De hex-edi-tor TinyHexer bewerkt niet alleenbestanden, maar doet ook dienstals disk-editor, die je toegang kanverschaffen tot de ruwe data opeen schijf.

Het kopiëren van de systeem-partitie naar een imagebestandblijkt de beste beveiliging tegenonverwachte nukkige bestu-ringssystemen te zijn. De boot-cd bevat het imagingprogram-ma Drive Snapshot. De makerhiervan, Tom Ehlert, heeft voorons een versie beschikbaar ge-maakt die je tot november 2006zonder beperkingen voor privé-doeleinden mag gebruiken. Deback-upkopieën kun je ook nahet verstrijken van deze termijnnog terugzetten. Het slechts 160kB grote programmabestanddraait zelfs onder een volledigeWindows-versie zonder installa-tie. De op de cd aanwezige ver-sie van Drive Snapshot kan ima-ges onder BartPE ook op lege,

c't 2006, Nr. 01/02

Drive Snapshot kopieert complete partities naar imagebe-standen en kan de originele situatie zonodig in enkele minu-ten weer terugzetten.

ongepartitioneerde harde schij-ven terugzetten. Devoor dit doelingebouwde partitioneringstoolmaakt echter nog een wat rudi-mentaire indruk.

Op smaak brengenDe plug-ins die we meeleverenin de c't-editie van de PE Buil-der, hebben we thematisch ver-deeld over de drie submappensys, app en drv voor respectie-velijk systeem bestanden, toe-passingen en drivers. Na hetstarten van de PEBuilder kun jemet een klik op 'plugins' bepa-

OEM-problemen

Het kan gebeuren dat PE Buil-der zich verslikt in bepaaldeWindows-cd's die pc-bouwersmet hun producten als gemodi-ficeerde OEM-versiesmeeleve-ren. Indien de slipstream-upda-te van de installatiebestandenmet Service Pack 2 al fout gaat(zie kacjerop pagina 55),kun jedeze horde in veel gevallenoverwinnen door de cd naar deharde schijf te kopiëren en hetbestand svcpack.inf uit de mapi386 te verwijderen.

Met een recovery-cd van Me-dion hadden we meer proble-men. Een uit deze bron ge-maakte BartPE-cd bleef bij hetopstarten hangen met eenzwart scherm en een foutmel-ding. Zo'n OEM-cd kun je ech-

c't 2006, Nr. 01/02

len welke modules er in deboot-cd geïntegreerd moetenworden. Met het uitschakelenvan de module 'BootFix' hoef jeniet meer voor het booten vande cd op een toets te drukken.

Wij hebben de modules vanPEBuilderzo geconfigureerd datde boot-cd met een minimumwerkgeheugen van 128 MBkanwerken. De als station B:aange-maakte RAM-disk,die sommigeprogramma's nodig hebben omop te kunnen starten, biedt daar-om in de basisinstelling slechtsruimte voor 32 MB gegevens.Helaas kan deze niet dynamisch

ter voor gebruik met PEBuildergeschikt maken door setupbe-standen, die de fabrikant heeftaangepast, door de originelebestanden te vervangen. Dezelevert Microsoft netjes in Servi-ce Pack 2 mee. Deze moet jeeerst uitpakken met de op-dracht xpsp2.exeIx en daarnageef je in het dialoogvensterde gewenste doelmap aan,bijvoorbeeld D:\sp2\uitgepakt.Daar vind je dan een submapje\i386\ic (svp niet verwisselenmet i386\ip). Om de installatie-bestanden van de OEM-cdvoorde PE Builder te repareren,kopieer je de inhoud van de ic-map direct naar de directoryi386 die je van je OEM-cdgehaald hebt en overschrijf jede aanwezige bestanden.

F'IUgjns:

JaJaJaJaJaJaJaJaJaJaJaJaJaJa

~~APP: AntiVhJsKit 2005

APP: Deep Blrner

APP: Drive SnapShotAPP: 002/3 support

APP: File RecoveryAPP: Fi"efox Web Browser

APP: IrfonView

APP: Notetab lito

APP: PuTTY (5SH(TeI1et)

APP: Remote Desktop Cient

APP: 5mar1Moo Tools

APP: Spybot -S.orch &Destroy

APP:TestIJ;sk

r'~'1==~;=;= 'T.'- " 111 laden I

Praktijk INood-Windows

In het venster voor de plug-ins bepaal je welke meegeleverdeprogramma's op de boot-cd meegebrand moeten worden.

meegroeien. De RAM-diskwordtook niet automatisch leegge-maakt wanneer je een daaropgeïnstalleerd programma beëin-digt. Daarom verschijnt er eenfoutmelding zodra je probeertmeerdere programma's die vande RAM-diskafhankelijk zijn naelkaar te starten. Als oplossingvoor dit probleem kun je natuur-lijk de bestanden op de RAM-disk met de hand wissen of hetsysteem opnieuw opstarten.

Je kunt de RAM-disk meergeheugenruimte toebedelen bijhet aanmaken van een nieuweboot-cd. In de plugin-lijst selec-teer je daarvoor de module 'SYS:RAMDisk'en klik je op '~ditor',om het bijbehorende configura-tiebestand in Windows' Notepadte openen. In het onderdeel[Strings]voer je in de variabeleRamDiskDiskSizede gewenste groot-te als hexadecimale waarde in,zoals in het commentaar staatuitgelegd.

De plug-in XPEvan de Italiaan-se programmeur Sherpya instal-leert een vrijwel volledige Win-dows-omgeving op de nood-cd,inclusief Verkenner en InternetExplorer en nog veel meer stan-daard Windows-programma's,die in de minimale BartPE-omge-ving ontbreken. Om XPEte star-ten, heb je minstens 196 MBaanRAM nodig. Met deze plug-induurt het opstarten van het sys-teem natuurlijk wel langer.

Voor het aanmaken van eenboot-cd met XPE moet je eerstde plug-in 'Nu2Menu' deactive-ren. XPEbiedt in plaats hiervanhet originele Windows-start-menu. Vink alle plug-ins aan diemet 'Shell: XPE'aangeduid zijn.Om werkgeheugen en opstart-tijd te sparen, moet je het vinkjeverwijderen bij de module WMI

voor de beheerinterface Win-dows Management Jnstrumenta-tion, tenzij je eigen plug-ins voorPE Builder gebruikt die WMInodig hebben. Je kunt de web-browser Firefox onder XPEweg-laten, je hebt dan voor het surfenimmers de Internet Explorer.

I,i

l

l

!

I1

11

I'

I

I'

III

Garneren

Indien de mini-Windowsje hardeschijven niet laat zien, als die bij-voorbeeld zijn aangesloten opeen SATA-,SCSI-of RAID-adapter,ontbreken op de boot-cd naaralle waarschijnlijkheid de juistedrivers.Wanneer je bij het opstar-ten de F6-toets ingedrukt houdt,accepteert Windows PEeen dis-kette met de driver voor de hardeschijf. Zo'n 'F6-diskette', die ookbij een nieuwe installatie vanWindows nodig is, hoort normaalmeegeleverd te worden bij eennieuw moederbord of host-adap-ter. Op internet zou je die moetenkunnen vinden op de supportpa-gina's van de fabrikant.

Bijde nieuwere PEBuilder-ver-sies heeft Bart Lagerweijhet ach-teraf installeren van drivers vooropslagapparaten en netwerkkaar-ten makkelijkergemaakt. Voordri-vers van harde schijven hoef jealleen de inhoud van een F6-dis-kette ergens in een map onderDrivers in de PEBuilder directoryte kopiëren. De map drivers moetdaarbij het bestand txtsetup.oembevatten, waarvan je de inhoudmoet controleren: het onderdeel[SCSI]mag geen drivers voor oude-re Windows-versies bevatten,zoals NTen 2000.

Om BartPE een netwerkkaartte laten herkennen heb je demap met driverbestanden nodig,die met de kaart worden meege-leverd.Zoek naar een map voor

11,

57

Praktijk INood-Windows

Windows XPwaarin onder ande-re een bestand met de extensie.INF en het .sYS-bestand van dedriver te vinden zijn. Kopieer decomplete inhoud van de direc-tory naar een aparte map onder\drivers\net\. Sommige fabri-kanten stoppen de drivers voorhun netwerkkaart in zelfuitpak-kende installatiepakketten. Inveel gevallen kun je deze metTotal Commander uitpakkenzonder dat het pakket wordtgestart. Daarvoor selecteer jehet .EXE-bestand en open je hetmet de toetsencombinatie Ctrl-

Page Down.Andere soorten apparaten

zijn alleen via speciaal ontwikkel-de plug-ins te installeren. In onspakket staan onder \plugins\dri-vers kant-en-klare modules, diemodems en ISDN-kaarten active-ren - de benodigde drivers ont-leent de PE Builder aan de Win-dows-cd. Analoge PCI-modemsvan de firma SmartLink kun jeintegreren door de driverbestan-den van de fabrikant [4] naar dedirectory ...\Modem_smartlink\files te kopiëren en de bijbeho-rende plug-in aan te vinken.

De XPE-omgeving ondersteuntdrivers iets beter dan de minima-le BartPE-variant. Met de juisteplug-ins kun je bijvoorbeeld dri-vers voor grafische kaarten Ia-den, die een hogere verversings-snelheid dan de 60 Hertz van destandaard VGA-driver halen.Sommige drivers, waarvan defabrikanten zich niet aan de doorMicrosoft gedefinieerde stan-daarden houden, krijg je in hetPE-systeem soms helemaal nietaan de praat Zo werkten bij onsbijvoorbeeld de chipset- en LAN-drivers van nVidia niet

Smullen maar!

Bart Lagerweij noemt zijn PEBuil-der met een knipoog terecht"Admin's best friend!". DezeEHBO-kit kan je in veel situatieseen hoop tijd en zenuwen bespa-ren.Onderhoudswerkzaamhedendie normaliter behoorlijk watwerk zouden kosten, gaan met

De optionele plug-in XPEbreidt de mini-Windows uitmet een bijna volledige XP-

desktop, waarin zelfs InternetExplorer functioneert.

58

-BêSCfIJijvin1f. ,~ -0Viiussèanner,giàfuo~updates tot decembe~2006w

SpywareverwijderenAutostartsbewerken

Harddiskimager,gratisiicentiegeldigtot november2006

Brandprogramma

DatarecoveryPartitietabelherstellen

Hardeschijfdiagnose

Harddiskdiagnose,SMART-gegevensuitlezen

MountenvanLinux-partities,diemetext2/3geformatteerdzijnWebbrowser

PCremotecontrol,elient-enserversoftwarePCremotecontrol

Firewall,wordtautomatischactiefbijopstarten

CompressiesoftwarevoorliP, RAR,GliP,BlIP2,7ze.a.Viewer

Teksteditor

Hex-endiskeditor

Bestandsbeheer,geïntegreerdezipperenHP-elient

Geeftgroottevandirectoriesweer

- "!--'!"î'1i!i,J!t -

Ant]VirusKit2005PEE1Ifiion

Spybot- Search&Destrüy1.4

RunAlyzer

DriveSnapshot1.36

DeepBurner1.6.0.198

FileRecovery4.0TestDisk5.8

WDLifeGuardDiagnostics1.0Srnartmontoois5.33IFS:ext2/3-drivers1.0.laFirefox1.0.7UltraVNC1.00PuTTY0.58

Pakketfilterwipfw7-lip3.13IrfanView3.97

NoteTabLight4.95

TinyHexer1.6.0.4TotalCommander6.53

Tree5izeV1.7x

-Ymisife n --- n -

WWw.gdata.de/gdc/nUtart.www.safer-networking.org/en/spybotsd/

www.drivesnapshot.de/en/

www.deepburner.com

www.pcinspector.de/file_recovery/UK/welcome.htm

www.cgsecurity.org/index.html?testdisk.html

http://support.wdc.com

http://smartmontools.sourceforge.net

www.mozilla.org/products/firefox

http://ultravnc.sourceforge.net

www.putty.nl

http://wipfw.sourceforge.net

www.7-zip.orgwww.irfanview.com

www.notetab.com

www.mirkes.de/en/freeware/tinyhex.php

www.ghisler.com

www.jam-software.com/freeware

BartPEeen stuk vlotter. Zo kun jebijvoorbeeld met regeditexe ver-anderingen in het register vanhet afgesloten systeem aanbren-gen of configuratiebestanden alsbootini bewerken.'The CD Forum' [5] heeft eenaparte sectie voor Bart's PE Buil-der waar je ervaringen met ande-re gebruikers van PEBuilder kuntuitwisselen.

Literatuur[1] Henk de Jong, Karsten Violka,

Windows XPlive op cd, Deultieme reddings-cd met

Windows PE, c't 02/2004, p. 104.[2] Remote control voor BartPE:

http://ultravnc.sourceforge.net[3] Boi Feddern, Johannes Endres,

Goed voorbereid, Harddisk-

diagnose met SMART,c't 03/2005 p.90

[4] Drivers voor modems met

SmartLink-chipset:www.smlink.com/content.aspx?id=147

[5] 'The CD Forum' voor gebruikersvan Bart's PE Builder:

www.911cd.net/forums

[6] Website van PE Builder van Bart

Lagerweij: www.nu2.nu/

pebuilder ,'1:

s.stondsm.pB6t0nd<m.pe p

64kB EVr-be<tondlkB Configut.ti~;n"'"

64 'kB EVr -be<tond

64 kB EVr -be<tond

2 kB Con1]gyrotie1nstoL

c't 2006, Nr. 01/02