Unter Windows gibt es schon länger eine Möglichkeit, Dateien während eines Neustartes zu ersetzten bzw. zu löschen. Eigentlich ist diese Möglichkeit dafür da, dass Dateien, die im Betrieb gesperrt sind, sich bei einem Neustart austauschen lassen. Bitte beachten, dass die Quelldatei verschoben und nicht kopiert wird. In meinen Beispielen ist die cmd.exe anschließend nicht mehr vorhanden!
Dafür gibt es in der Registry zwei spezielle Schlüsse:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager] "AllowProtectedRenames"=dword:00000001 "PendingFileRenameOperations"=hex(7):5c,00 [...]
Jedoch lässt sich mit dieser Möglichkeit auch Unfug treiben, so kann man z.B. das "local security authoritzy subsystem" durch eine andere Datei ersetzte, was nach einem Reboot zwangsweise in einem Bluescreen endet. Die Beispiel Reg-Datei kann hier angeschaut werden.
Eine andere Möglichkeit wäre aber auch, die Datei "utilman.exe" durch die "cmd.exe" aus zu tauschen. Hier die Beispiel-Reg Datei.
Die utilman.exe ist für die Eingabeunterstützung bei der Windows Anmeldung zuständig… bzw. jetzt unterstüzt sie halt anders 😉