Static Binaries

Hallo,
ich möchte mir für die Analyse von PC, z. B. systemeigene Tools wie ipconfig, arp, at, usw. als Static Binaries auf einen USB Stick legen und diese dann entsprechend von dort ausführen, falls auf dem Rechner diese Tools nicht mehr vorhanden sind bzw. diskreditiert (Malware, usw.) sein könnten.
Bis Win XP hat das auch sehr gut funktioniert. Leider tut sich unter Windows 7 (auch Vista) nichts, wenn ich die Tools aufrufe (ich kann das Tool auf der Shell starten, es gibt aber keine Ausgabe). Die Tools habe ich aus den entsprechenden Betriebssystemen (System32-Verzeichnis) extrahiert. Direkt aus dem Betriebssystem gestartet funktionieren die Tools aber.
Hoffe es kann mir jemand einen Tipp geben, wie ich die entsprechenden Tools vom USB Stick starten kann. Muss ich evtl. noch eine *.dll mit einbinden?

Gruß Marco

 

Willst du die Programme von einem kompromittierten System aus vom Stick starten? Das ist keine gute Idee. Besser ist ein Live-System, mit dem der PC von USB-Stick oder CD gebootet wird.
http://www.pcwelt.de/start/software...ystem-fuer-windows-7-vista-und-xp/index3.html
Das ist unabhängig und wird nicht von Malware beeinflusst.

 

ohne eine WinPE-Umgebung als Plattform wird das imo nichts.
ah, Deo war schneller

 

Ja, ich möchte die Dateien vom USB-Stick auf einem evtl. unsauberen System starten.

Es geht mir darum bestimmte Systemzustände des laufenden Systems zu sichern. Hier möchte ich jedoch nicht auf die vorhandenen Befehle (ipconfig, usw.) zugreifen, da die evtl. verändert sein könnten.

Unter Windows XP ist das ohne Probleme möglich. Jedoch schaff ich es nicht unter Windows Vista und 7.

Das Problem ist, dass ich das System nicht neu starten kann und deshalb im laufenden Livesystem die Tools (werden durch eine Batchdatei gesteuert) ausführen müsste. Ich versteh nur noch nicht ganz, warum es unter XP funktioniert und unter Vista und 7 nicht (jeweils mit den Tools von den Systemen).

 

Bei Vista und Windows 7 steht dem vielleicht die Benutzerkontensteuerung im Wege.

 

wirf doch mal mit dependencywalker einen blick auf z.b. ipconfig.exe

diese tools rufen einiges an kernel funktionen auf; die kann man nicht statisch linken

ein system das man nicht neu starten kann? ist das ein server?

 

Danke für eure Hilfe.

dann wird es wohl nichts so, wie ich es mir vorgestellt habes.

Nein, nicht unbedingt. Ich arbeite in einer Incident Response Abteilung. Ich muss bei einem Vorfall neben vielen anderen Sachen alle Systemzustände (bspw. Netzwerkverbindungen, Netzwerkstatus, Arbeitsspeicher usw.) sichern, bevor ich den entsprechenden Rechner ausschalten kann.

Dafür habe ich verschiedenen Tools (leider hat in diesem Bereich die Entwicklung/Pflege der Tools ab Windows Vista sehr nachgelassen). Diese habe ich für Windows Vista/7 angepasst. Leider bekomme ich das aber mit den Static Binaries für diese Betriebssysteme nicht hin. Wie gesagt unter XP machen die Static Binaries ihren Dienst wie sie sollen.

Ich habe mir mal den Dependency Walker angesehen. Sind einige kernel funktionen bei ipconfig.exe. Aber bspw. die Shell cmd.exe (Win7) hat mindestens genausoviele Kernelfunktionen und ist als Static Binary vollständig ausführbar. Sehr seltsam.