31. Mai 2006

Windows Dateischutz deaktivieren - Die einfache Methode

Der Windows-Dateischutz alias Systemdateischutz alias System File Protection bewacht wichtige Systemdateien (oder was Microsoft dafür hält) und stellt sie im Fall einer Beschädigung wieder her.

Gelegentlich will man den Dateischutz abschalten, um zum Beispiel...

  • die uralten und sicherheitstechnisch höchst bedenklichen Netscape-Plugins, die der Windows Media Player 9 mitbringt, zu löschen.
  • Notepad durch einen besseren Editor zu ersetzen (Tip: SciTE).
  • den Task-Manager durch was besseres zu ersetzen.
  • nutzlose Codecs und Treiber entfernen.
  • Malware, die sich festgebissen hat, loszuwerden.
In einer älteren Publikation der VXer-Szene (= Szene Jargon für Virus-Programmierer) habe ich eine Dokumentation einer nicht-dokumentierten Schnittstelle von Microsoft gefunden. Damit kann man den Windows-Dateischutz einfach im laufenden Betrieb ausschalten. Offenbar benutzt Microsoft selber die Funktion um Patches zu installierten.

Hinweis: Die EXE Datei stammt von mir und ist garantiert kein Virus :-)

Benutzung
Das Programm sfc_disable.exe wird in der Kommandozeile ("DOS-Fenster") mit der PID von WINLOGON.EXE aufgerufen. Die PID steht im Task-Manager. Administrator-Rechte sind erforderlich.

Hinweis für DAUs / Anfänger:
Unter Umständen wird vom Windows Task-Manager unter "Prozesse" keine PID angezeigt. In diesem Fall im Menü Ansicht->Spalten auswählen->PID->OK auswählen.

Nach dem nächsten Reboot ist der Windows-Dateischutz wieder im Normalzustand.

Beispiel
C:\>sfc_disable 356

Wenn man die geänderten Dateien doch wiederhaben will:
sfc /runonce eingeben und rebooten! Windows-CD bereithalten. Service Pack muss möglicherweise neu installiert werden.

Homepage / Download


Links

7 Kommentare:

Anonym hat gesagt…

McAfee meldet in der Datei SFC_DISABLE.ZIP einen Virus Univ.script/99a

jörg hat gesagt…

McAfee findet beim Online-Scanner von virustotal.com nichts in der Datei. Nur F-Prot findet einen "W32/SecRisk-ProcessPatcher-Sml-based!Maximus".

Univ.script/99a ist auch kein richtiger Virus, laut McAfee ist es eine "collection of virus related materials, emails, forum postings, newsnet postings, virus source code and source modules".

Wusste bisher nicht das Virus-Scanner auch "forum postings" als "Virus" erkennen.

Was ist eigentlich "newsnet"?

P.S.: In der Textdatei ist der Sourcecode enthalten, mit MinGW kann ihn sich jeder selbst übersetzen.

jörg hat gesagt…

Die EXE ist auch nur 4KB groß, der "Virus" müsste da schon ziemlich klein sein.

Anonym hat gesagt…

sehr schönes kleines Proggi. Gibt es eine Möglichkeit den Dateischutz komplett zu deaktiveren. Ich will ihn nicht nur für diese Session abschalten, sondern durchgehend.

Gruss

Daniel

jörg hat gesagt…

Es gibt keine offizielle Funktion um den Dateischutz loszuwerden, aber diverse Hacks:

How to fully disable System File Checker (SFC, WFP).
http://www.d--b.webpark.pl/reverse04_en.htm

Kommentar dazu
New method of disabling SFC...
http://www.msfn.org/board/index.php?act=ST&f=89&t=30370

Anonym hat gesagt…

Ich finde das Tool klasse.
Ich such' mir jedesmal im Web den Wolf, wenn ich z.B. Notepad gegen NotesPadEx austauschen will. Das ist genau das was man braucht. Hier vieleicht auch noch ein entsprechendes Script zur Automatisierung:

echo off
echo This cmd-file switch off the XP SFC facitlity (SoftwareFileProtection)
echo . Start ...
echo . Get the WinLogon Process ID
rem @FOR /F "tokens=*" %%i IN ('ps^|grep -i winlogon^|awk {"print $1"}') DO @SET ID=%%i
@FOR /F "tokens=2" %%i IN ('tasklist^|find /I "winlogon"') DO @SET ID=%%i
echo . Found WINLOGON ID = %ID%
echo .
echo Are you shure to proceed ?
pause
sfc_disable %ID%
echo .
echo . Successfully switched off XP SoftwareFileProtection until next restart
echo .
pause

Anonym hat gesagt…

Das Schöne an undokumentierten Funktionen ist ja, dass man immer mit dieser Spannung lebt: Funktioniert es heute noch?

Bei mir ist diese Spannung jetzt leider zusammen gebrochen, denn sfc_disable hat mein XP Pro (mit SP2 und allen Patches) direkt und ohne Umwege in den Bluescreen geschickt.

Grüße,
Rob