无忧启动论坛

标题: 求助水老或网虫等高手：如何在PE启动后保留相应的SYS驱动以方便离线注入？ [打印本页]

作者: fengtao4it 时间: 2011-11-30 21:28
标题: 求助水老或网虫等高手：如何在PE启动后保留相应的SYS驱动以方便离线注入？
如题，有个PE工具是方便GHOST完XP后注入硬盘控制器驱动以防蓝屏的，大多数PE都找不到相应的.sys文件（启动后删除了），应该如何修改？
请不要推荐我用**版的PE，我只是想在原来的PE上修改，毕竟再换一个新PE的话，有太多新的地方需要修改了。

另：引用水大新版PE中的一句介绍：微调内核磁盘驱动.全解为SYS文件.除了为即插即用提供方便外.也方便SRS离线驱动注入...

[ 本帖最后由 fengtao4it 于 2011-12-13 10:18 编辑 ]

作者: 765058729 时间: 2011-11-30 21:41
有很多pe是用pecmd.INI删除的，修改一下看看

作者: legendvip 时间: 2011-12-1 03:15
虫大！楼主能把虫大乎出来的话我感激不尽

作者: fengtao4it 时间: 2011-12-1 15:03

原帖由 765058729 于 2011-11-30 21:41 发表
有很多pe是用pecmd.INI删除的，修改一下看看

我特意查过老水的新版03PE的pecmd.ini文件，跟我的PE并无两样的地方，恐怕问题不在这个文件中吧？

作者: 66369 时间: 2011-12-1 15:16
标题: PECMD.INI
TEAM FILE %W%\TXTSETUP.SI*|PATH #%WS%\CONFIG|FILE %WS%\*.*_|FILE %WSD%\*.SY_

后面的删除后.变为:

TEAM FILE %W%\TXTSETUP.SI*|PATH #%WS%\CONFIG|FILE %WS%\*.*_

再把 drivers\下所有的*.sy_
用7Z解开为*.SYS

注意.如解开后sys文件名与原*.sy_不同
改成原来的名称.

最后删除原来所有的*.sy_

[ 本帖最后由 66369 于 2011-12-1 15:20 编辑 ]

作者: 从此消失 时间: 2011-12-1 15:22
楼主，既然这个PE能起来并且认到硬盘，那么这台机器的硬盘驱动就存在于PE运行目录下的

作者: fengtao4it 时间: 2011-12-1 20:05

原帖由 66369 于 2011-12-1 15:16 发表
TEAM FILE %W%\TXTSETUP.SI*|PATH #%WS%\CONFIG|FILE %WS%\*.*_|FILE %WSD%\*.SY_

后面的删除后.变为:

TEAM FILE %W%\TXTSETUP.SI*|PATH #%WS%\CONFIG|FILE %WS%\*.*_

再把 drivers\下所有的*.sy_
用 ...

谢谢水大的回复，第一步删除后边那一项不是必须的吧？把文件解开才是关键？下边是你的PE中的相关配置：

FIND MEM<384,FBWF P40 L96 H192!FBWF P50 L160 H299
TEAM ENVI W=%WinDir%|ENVI $WS=%WinDir%\SYSTEM32|ENVI WSD=%WS%\Drivers
TEAM LOGO %WS%\LOGO2.JPG |WAIT 100
TEAM FILE %W%\TXTSETUP.SI*|PATH #%WS%\CONFIG|FILE %WS%\*.*_|FILE %WSD%\*.SY_
TEAM PATH %SystemDrive%\TEMP|INIT U,3690|EXEC @PECMD.EXE CALL $SHELL32.DLL,DllInstall,#1,U
//LOGS %W%\PECMD.LOG
另附一张新版PE的图，多数文件是压缩的，vmware的不是，我只在虚拟机下试过，注入正常，不知是否跟这有关。

无标题.jpg (106.08 KB, 下载次数: 49)

驱动概况

作者: fengtao4it 时间: 2011-12-1 20:07

原帖由 从此消失 于 2011-12-1 15:22 发表
楼主，既然这个PE能起来并且认到硬盘，那么这台机器的硬盘驱动就存在于PE运行目录下的

很遗憾，偏偏不在，这个话题在离线注入磁盘驱动的相关贴子里讨论过多次。

作者: fengtao4it 时间: 2011-12-13 10:18
标题: 问题解决
如同水大说的方法。FILE %WSD%\*.SY_这一条命令作用就是删除x:\system32\drivers目录下所有的sy_文件的（唉，用惯了DEL命令啊），如果把该目录下的所有文件全部解压，这一命令自然失效，留不留无伤大雅。唉，牵一发动全身，这一保留驱动，内核（压缩前）大了近20M，虚拟盘少了近40M空间，需要改的地方多啦。

作者: 2011戒烟如你 时间: 2011-12-13 11:52

原帖由 fengtao4it 于 2011-12-13 10:18 发表
如同水大说的方法。FILE %WSD%\*.SY_这一条命令作用就是删除x:\system32\drivers目录下所有的sy_文件的（唉，用惯了DEL命令啊），如果把该目录下的所有文件全部解压，这一命令自然失效，留不留无伤大雅。唉，牵 ...

也不用那么大改，从离线驱动处理这个程序入手就行，这是网虫2008的一个折中方法
首先PECMD.INI的那一行是一定要去掉的，然后可以建个.cmd文件

@ECHO OFF
COLOR 2F
PUSHD %~dp0
SET SYSTP=%windir%\SYSTEM32\DRIVERS
cd /d %SYSTP%
For /f %%i in ('dir /s/a/b *.sy_') do (
Echo 正在解压 %%i......
7z.exe x %%i -o%SYSTP% -y>NUL 2>NUL
)
del %SYSTP%\*.sy_

启动程序前先运行一下。

也可以把网虫PE中的离线驱动处理.exe拿过来直接用更方便，，

http://bbs.wuyou.net/forum.php?mod=viewthread&tid=157912&extra=page%3D5

[ 本帖最后由 2011戒烟如你于 2011-12-13 11:59 编辑 ]

作者: tulongwa 时间: 2011-12-13 20:20
好像有人说过，日本地震时网虫如何如何……到现在想起来心里还嘁嗤窋差的……

作者: diannao338 时间: 2011-12-14 08:26
下个自带 srs驱动的离线程序呗天空那有

作者: wang6610 时间: 2011-12-14 09:23

原帖由 tulongwa 于 2011-12-13 20:20 发表
好像有人说过，日本地震时网虫如何如何……到现在想起来心里还嘁嗤窋差的……

网虫2008 的个人资料

[ 发短消息 ] [ 加为好友 ] [ 搜索帖子 ] [ 返回上一页 ]
UID:	270297
注册日期:	2008-7-4
上次访问:	2011-7-26 01:08
最后发表:	2011-3-10 05:29
页面访问量:	2200
在线时间:

作者: tulongwa 时间: 2011-12-14 11:03
原来潜水了……

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)