WinPE staat voor Windows Pre-installation Environment. WinPE is in feite niets meer dan een ieniemienie besturingssysteem dat gebruikt wordt om Windows te installeren. WinPE v2.0 is een besturingssysteem gebaseerd op Windows Vista en WinPE v1.0 is gebaseerd op Windows XP. De eenvoudigste manier om WinPE te starten is door een distributie DVD van Windows in je computer te stoppen en hier van te booten. Je krijgt dan onderstaand scherm te zien, dit is WinPE die automatisch een applicatie start om de volledige installatie van bijvoorbeeld Windows Vista uit te voeren.

WinPE staat voor Windows Pre-installation Environment. WinPE is in feite niets meer dan een ieniemienie besturingssysteem dat gebruikt wordt om Windows te installeren. WinPE v2.0 is een besturingssysteem gebaseerd op Windows Vista en WinPE v1.0 is gebaseerd op Windows XP. De eenvoudigste manier om WinPE te starten is door een distributie DVD van Windows in je computer te stoppen en hier van te booten. Je krijgt dan onderstaand scherm te zien, dit is WinPE die automatisch een applicatie start om de volledige installatie van bijvoorbeeld Windows Vista uit te voeren.
WinPE
Een variant op WinPE is WinRE, oftewel Windows Recovery Environment. WinRE kun je starten door eerst WinPE te starten en vervolgens te kiezen voor startup and repair. Eenmaal in WinRE heb je de mogelijkheid om je ‘kapotte’ Windows te restoren (van een eerder gemaakte back-up) of automatisch te repareren. Een derde mogelijk is om Windows handmatig te reparen. En nu wordt het interessant. Als je namelijk voor handmatig kiest krijg je een command shell (ookwel DOS prompt) voor je kiezen.
WinPE
Eenmaal in de command shell kun je van alles met het Windows filesysteem doen. Je kunt bestanden en folders maken, wissen en bewerken. Als je Windows normaal opstart kun je dit soort dingen enkel als je daar de juiste permissies voor hebt. Bedenk dat dit alles mogelijk is zonder dat je ooit een username en password hebt opgegeven.
In ‘normale’ Windows sessies worden alle acties uitgevoerd onder een bepaalde username. Dit is al zo sinds Windows NT. Daarom moet Windows ook op een NTFS schijf worden geïnstalleerd. Wie de eigenaar/maker (owner/creator) is van een bepaald bestand of folder kun je altijd zien door met de rechter muistoets op een bestand te klikken en vervolgens te kiezen voor ‘Security’.
Je kunt je dus afvragen onder welk account je bent ingelogd als je WinPE start (nogmaals: zonder in te loggen). Dit is niet zichtbaar in WinPE zelf maar je kunt in WinPE dus wel een bestandje maken en later in ‘normaal’ Windows kijken wie de eigenaar is. Ik kan je zeggen dat de eigenaar ‘TrustedInstaller’ is, d.w.z. in het geval Vista of Windows Server 2008. Betekent dit dat WinPE onderwater inlogt als de TrustedInstaller. Nou nee dus. Na het aanmaken van een folder in WinPE kun je besluiten om vanuit ‘normaal’ Windows de TrustedInstaller alle permissies te ontnemen die hij/zij op dat bestandje heeft. Vervolgens weer opstarten in WinPE en warempel: geen enkel probleem om het bestand te openen en te schrijven.
Dus twee vragen:
  1. Wie is de TrustedInstaller?
  2. Als wie log je in als je WinPE start?
En twee mogelijke antwoorden:
  1. Volgens diverse bronnen is de TrustedInstaller de persoon die verantwoordelijk is voor de installatie van Vista of Windows Server 2008. Niet vreemd als je bedenkt dat de hele installatie gedaan wordt vanuit WinPE.
  2. Je logt niet in met WinPE. Maar je mag alles doen op het filesysteem en dit allen zonder sporen achter te laten.
Met het antwoord op vraag 2 zou je kunnen concluderen dat WinPE een geliefd tooltje is voor hackers. Wellicht is het mogelijk om de SAM database uit te lezen of te wissen zodat je daarna als administrator kunt inloggen zonder een password op te geven (wat we vooralsnog met Linux-boot-cd’s doen).
Wellicht zijn er nog andere goede (of moet ik zeggen slechte) ideeën die mensen hieronder willen posten.