Systemdatei lässt sich einfach nicht editieren trotz besitz!

[anarchie69]

Moin ich hab hier nen Problem dass ich mit Google nich gelöst bekomme.

Ich versuche Änderungen an einer systemdatei vorzunehmen (eine dll im System32 Ordner in dem Fall "systemcpl.dll") so und habe auch mehrere Seite im Netz durchgearbeitet und es klappt einfach nicht.

Ich habe mich ins versteckte Admin Konto eingeloggt und dann die Datei auf mich als Besitzer festgelegt, alles soweit gut, ich kann die Datei löschen, Umbenennen usw. Alles kein Thema.

Jetzt kommt's aber, solange ich die Datei ausserhalb des Windows Ordners lasse, sehe ich meine Änderungen (in resource Hacker ) aber sobald ich sie in den Windows Ordner packe sind alle Änderungen wie durch geisterhand sofort verschwunden.
Dann kopiere ich sie wieder raus und die Änderungen sind doch noch da ! Windows überschreibt meine Datei also nich sondern "überdeckt" sie quasi einfach nur.

Weiss einfach nich mehr weiter einzige was ich noch versuchen werde ist die Datei schreibgeschützt zu machen.

Bin für jeden Lösungsansatz dankbar.

 

[leipziger1979]

Stellt eich eigentlich die Frage nach dem warum?

 

[mibbio]

Es hat schon seinen Grund, dass man noch nicht mal als Admin an den Systemdateien rumspielen kann. Da hat Windows noch einen zusätzlichen Schutz drauf, um unter Anderem um zu verhindert, dass da Schadsoftware Blödsinn anstellt.

 

[BFF]

Finde die Plaetze wo die Datei sich ueberall befindet.
Boote von einem Fremdsystem und kopiere die geaenderte Datei an diese Plaetze.
Eventuell klappt es.

Warnung!
Wenn das OS danach nicht mehr so will wie angedacht, ist das ganz allein Dein Ding.
Also mach ein Image bevor Du spielst.

BFF

 

[mibbio]

Sollte Windows dann noch normal starten, wird es aber mit ziemlicher Sicherheit wieder versuchen den Originalzustand wieder herzustellen.

 

[HerrAbisZ]

...Diese Datei enhält Maschinencode .. - welche ? für was ?

https://www.processlibrary.com/de/directory/files/systemcpl/483335/

 

[chrigu]

Um reservierte Systemdateien zu bearbeiten, musst du diese zuerst vom Betriebssystem entkoppeln. Am besten über „Start mit einer Linux Distribution“, oder mit einer Windows VM. So könntest du problemlos am VM rumpröbeln, VM starten , testen, neu starten, ändern, starten usw....

 

[anarchie69]

Stellt eich eigentlich die Frage nach dem warum?

Warum sollte sich diese Frage stellen?
Grüße.

Es hat schon seinen Grund, dass man noch nicht mal als Admin an den Systemdateien rumspielen kann. Da hat Windows noch einen zusätzlichen Schutz drauf, um unter Anderem um zu verhindert, dass da Schadsoftware Blödsinn anstellt.

Das ist schön, aber was hat das mit meiner Frage zu tun? Ich habe ja explizit danach gefragt, wie ich
diese Sicherheitssysteme ausschalten bzw. umgehen kann. Mir erschließt sich der Sinn Ihrer Antwort nicht.
Grüße.

Finde die Plaetze wo die Datei sich ueberall befindet.
Boote von einem Fremdsystem und kopiere die geaenderte Datei an diese Plaetze.
Eventuell klappt es.

Um reservierte Systemdateien zu bearbeiten, musst du diese zuerst vom Betriebssystem entkoppeln. Am besten über „Start mit einer Linux Distribution“, oder mit einer Windows VM. So könntest du problemlos am VM rumpröbeln, VM starten , testen, neu starten, ändern, starten usw....

@chrigu @BFF
So, endlich zum Thema. Danke erstmal für Ihre Antworten.

Ich muss an dieser Stelle widersprechen, aus 2 Gründen;
A) Ich habe das vor einem Jahr bereits geschafft gehabt, ohne VM oder ein Entkoppeln.
B) Habe ich mehrere Webseiten gefunden, wo geschrieben wird, dass das genau so funktioniert und ich diese Systemdateien manipulieren und verändern kann, auch ohne Entkoppeln. Beispiel : https://www.askvg.com/tip-how-to-modify-system-files-using-resource-hacker-in-windows/

Deshalb würde ich Sie bitten, falls möglich, noch einmal alle Möglichkeiten in Betracht zu ziehen, warum das bei mir momentan nicht funktioniert.

Grüße.

 

[BFF]

noch einmal alle Möglichkeiten in Betracht zu ziehen, warum das bei mir momentan nicht funktioniert.

Weil eventuell der Selbstschutz des OS weiter verbessert wurde.

Der Artikel den Du da nennst ist uralt.

Damals ging das tatsaechlich noch, mittlerweile sieht das ganz anders aus.
Das OS prueft mittlerweile digitalte Signaturen, Hashwerte etc. Zusaetzlich sind oft Zugriffsrechte heute strenger als bei W7. Und werden in jeder Version von W10 weiter angepasst. Schoenes Beispiel dafuer ist, dass z.B. der Defender mittlerweile den Utilman-Trick fast unmoeglich macht. Ja, der Defender ist nicht nur Antiviren-Software.

Bei Deiner Datei hat z.B. ein Mitglied der Admingruppe nur Lese/Ausfuehr-Rechte. Du muesstest also als TrustedInstaller diese Aenderungen machen. Nur dieser Benutzer hat alle Rechte.

Wenn Du die Datei ausserhalb des Ueberwachungsbereiches fuer den Selbstschutz aenderst ist das kein Thema. Bringst Du die Datei zurueck in den Ueberwachungsbereich wird das Dingens durch die Sicherungskopie wiederhergestellt.

Um den Selbstschutz zu umgehen muss Du halt die Datei in das Dateisystem zurueck bringen, wenn der Selbstschutz nicht laeuft. Das geht wie im Post #4 oder Post #7. Ob das OS das akzeptiert musst Du raus finden.

BFF

 

[anarchie69]

Weil eventuell der Selbstschutz des OS weiter verbessert wurde.

Der Artikel den Du da nennst ist uralt.

Anhang anzeigen 868368
Damals ging das tatsaechlich noch, mittlerweile sieht das ganz anders aus.
Das OS prueft mittlerweile digitalte Signaturen, Hashwerte etc. Zusaetzlich sind oft Zugriffsrechte heute strenger als bei W7. Und werden in jeder Version von W10 weiter angepasst.

Um den Selbstschutz zu umgehen muss Du halt die Datei in das Dateisystem zurueck bringen, wenn der Selbstschutz nicht laeuft. Das geht wie im Post #4 oder Post #7. Ob das OS das akzeptiert musst Du raus finden.

BFF

Ich arbeite aktuell in Windows 7. Der Artikel müsste also auf mich zutreffen.

Und ich habe es ja mal geschafft auch ohne die in Post 4 und 7 beschriebenen Methoden. Weiß eben nur nicht
genau wie ich das gemacht habe, die im Startpost beschriebenen Methoden haben jedenfalls nicht funktioniert.

 

[areiland]

@BFF
Es ist noch perfider: Windows kann bei als verändert erkannten Dateien einfach auf ein unverändertes Original umleiten. Und das passiert in diesem Fall auch wohl. Was man tunlichst sein lassen sollte, zumindest dann wenn man kein Backup des Systems besitzt, man sollte nicht einfach alle auffindbaren Exemplare ersetzen. Denn das könnte sich Windows dann zum Anlass nehmen und den nächsten Start mit einem Hinweis auf möglicherweise durch Schädlinge veränderte Systemdateien verweigern.

Und bei einem 64 Bit System muss man zudem auch noch die Trennung zwischen den 64 Bit und den 32 Bit Versionen peinlich genau einhalten.

 

[BFF]

Und ich habe es ja mal geschafft auch ohne die in Post 4 und 7 beschriebenen Methoden.

Und wieviele Updates sind seitdem gelaufen? Eine "Art" Defender werkelt auch im Windows 7.

@areiland
Umleiten ist cool. War eigentlich immer der Meinung das die ersetzt werden.

Anyway.
Hier noch das Dingens das der Defender wirklich "scharf" schiesst. @anarchie69
https://www.borncity.com/blog/2018/09/07/windows-defender-meldet-osk-exe-als-trojaner/
Denk dran, wenn Du mal an Systemdateien unter W10 ran gehst.

BFF

 

[anarchie69]

Und wieviele Updates sind seitdem gelaufen? Eine "Art" Defender werkelt auch im Windows 7.

BFF

Gar keine, ich arbeite an einem offline Testsystem. Windows 7 build 7601 (2011) ohne Updates.
Updateverlauf ist leer. "Es wurde bisher nicht versucht, Updates auf dem Computer zu installieren.".

@BFF
Es ist noch perfider: Windows kann bei als verändert erkannten Dateien einfach auf ein unverändertes Original umleiten. Und das passiert in diesem Fall auch wohl. Was man tunlichst sein lassen sollte, zumindest dann wenn man kein Backup des Systems besitzt, man sollte nicht einfach alle auffindbaren Exemplare ersetzen. Denn das könnte sich Windows dann zum Anlass nehmen und den nächsten Start mit einem Hinweis auf möglicherweise durch Schädlinge veränderte Systemdateien verweigern.

Und bei einem 64 Bit System muss man zudem auch noch die Trennung zwischen den 64 Bit und den 32 Bit Versionen peinlich genau einhalten.

Guten Abend,

das hört sich wohl sehr genau nach dem an was bei mir passiert.
Es handelt sich um ein offline Testsystem an dem ich frei herumspielen kann, zur Not wird Windows einfach
kurz neu installiert.
Desweiteren gibt es meiner Recherche nach keine 64bit-Version der systemcpl.dll.mui Datei, nur eine
im System32 Ordner. Wenn ich Windows nach dieser Datei suchen lasse, zeigt er mir auch nur diese eine an.

Grüße.

 

[BFF]

Es gibt je eine systemcpl.dll in den Verzeichnissen Sytem32 und Syswow64.

Egal.
Wenn es mal geklappt hat und jetzt nicht mehr, finde den Unterschied.

BFF

 

[anarchie69]

Es gibt je eine systemcpl.dll in den Verzeichnissen Sytem32 und Syswow64.

Egal.
Wenn es mal geklappt hat und jetzt nicht mehr, finde den Unterschied.

BFF

Na ja gut aber dafür bin ich ja hier, weil ich selber eben nicht mehr weiter weiß.
Du hast aber Recht, es gibt tatsächlich 2x systemcpl.dll.mui Dateien, habe nun die gleichen Veränderungen
an beiden Dateien vorgenommen. Lustigerweise wirkt sich eine Änderung direkt auf die andere aus.

Ein weiterer Schritt den ich damals immer gemacht habe war die Kommandozeile mit Adminrechten aufzurufen und dort "mcbuilder" einzugeben, dann hab ich immer den PC neu gestartet und die Änderungen wurden mit angezeigt.

Hat aber auch diesmal nichts gebracht.

 

[areiland]

@areiland
Umleiten ist cool. War eigentlich immer der Meinung, dass die ersetzt werden.

Nö, Windows leitet nur um. Tut es ja ständig. Zum Beispiel, wenn man ein 32 Bit Programm startet, leitet es jeden Zugriff auf System32 nach SysWoW64 um. Damit die einzelnen Programme Bibliotheken in den korrekten Versionen vorfinden, leitet Windows Zugriffe auf die in System32 abgelegten Originale in vielen Fällen auf Versionen um, die tatsächlich in WinSxS liegen.

Gesteuert wird das über die Hashwerte der entsprechenden Dateien. Windows legt diese Informationen für jedes Programm in der Registry ab. Gesteuert wird das über den Dienst CompatTelRunner, der auch telemetrische Funktionen besitzt, damit er entsprechende Kompatibilitätsinformationen nachladen kann.