UNItopia News: Brett Computer, Gruppe Windows, Artikel 433

-------------------------------------------------------------------------------
Titel: Re: ServicePack
Artikel: 433                                           Bezug: 432
Verfasser: Yoda                                        Datum: 24.01.06 09:20:48
-------------------------------------------------------------------------------
Ich hab herausgefunden wie es geht! Leider ist es nicht so einfach. Die 
Funktionalitaet von Windows, die dazwischenfunkt ist "Windows File
Protection (WFP)". Ich bin auf den Suchbegriff gestossen, als ich in den
Logfiles gestoeber habe. Da kommen Eintraege, wenn man das xcopy.exe
(und andere Files) loescht. Also, um es auszuschalten, muss man (vor allem
bei aelteren Windosen) einen RegKey aendern:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
dort ein dword "SFCDisable" auf "FFFFFF9D" setzen.
Nun ist es aber so, dass in neueren Windosen (ab W2kSP2 oder so) diese
Funktion aus Sicherheitsgruenden abgestellt ist, also der Regkey bringt
gar nix. Deshalb muss man zusaetzlich noch per Hexedit in der
%systemroot%\system32\sfc_os.dll
rumschrauben. Und natuerlcih bei jedem SP anders. Hier als Beispiel XPSP2:
Am Offset 0xECE9 muss man die Werte 33 C0 40 aendern in 90 90 90.
Danach die Arbeitskopie der dll zuerst in system32/dllcache und dann in
system32 zurueckkopieren und die vorhandene Version ueberschreiben.
ICh musste fuer das ueberschreiben in sytem32 von der Windows-CD booten
und das ganze per rettungsconsole machen, da das File gelocked war.

Jetzt kann ich xcopy.exe loeschen :)

Yoda