native环境中如何挂载wim镜像？

wintoflash

最近在研究 native 程序的开发。
论坛里面的修改版 nativeshell 挂载 wim 好像是链接了 laotouwim.lib 这个静态库，请问有没有相关的资料？或者有没有 wimgapi 逆向方面的资料？
native 下挂载 wim 是不是要用到 fltmgr.sys 或者 wimfltr.sys 之类的驱动？

自己写的简单 shell，实现了挂载 iso 等简单的功能：

826773297

http://bbs.wuyou.net/forum.php?m ... p;extra=&page=5
127楼貌似有源码

wintoflash

826773297 发表于 2022-2-1 11:07
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=188616&extra=&page=5
127楼貌似有源码

那个是编译好的静态库，不是源码，而且只有32位版本。

gailium

wintoflash 发表于 2022-2-1 11:20
那个是编译好的静态库，不是源码，而且只有32位版本。

自己动手配合ida重写一遍

wintoflash

gailium 发表于 2022-2-1 16:11
自己动手配合ida重写一遍

我的汇编水平不行，也不了解wim挂载机制。我要是自己能搞定，就不会发帖求助了。

wuming520

楼主想问下Windows系统下有挂载WIM系统的批处理吗发一下谢谢~！

Bluebells

native shell 我记得只有 32 位的版本可以挂载 WIM 映像，而且仅支持最大压缩率(max)的 WIM 映像
是否依赖 fltmgr.sys 这个驱动不知道，但必须要有 wimfltr.sys 驱动的支持

wintoflash

wuming520 发表于 2022-2-1 23:56
楼主想问下Windows系统下有挂载WIM系统的批处理吗发一下谢谢~！

你应该在"脚本讨论区"单独发帖求助吧。
我不熟悉批处理。dism 命令行应该可以吧，或者用 pecmd。

wintoflash

Bluebells 发表于 2022-2-2 10:52
native shell 我记得只有 32 位的版本可以挂载 WIM 映像，而且仅支持最大压缩率(max)的 WIM 映像
是否依赖 ...

感谢回复！
请问 wimgapi.dll 调用的是哪个 sys 文件?

nianyueriPE

wintoflash 发表于 2022-2-2 16:25
感谢回复！
请问 wimgapi.dll 调用的是哪个 sys 文件?

根据足迹的帖子，wimgapi.dll是调用fltmgr向wimfltr.sys发送消息。

wuming520

wintoflash 发表于 2022-2-2 16:23
你应该在"脚本讨论区"单独发帖求助吧。
我不熟悉批处理。dism 命令行应该可以吧，或者用 pecmd。

好的

wintoflash

nianyueriPE 发表于 2022-2-2 16:50
根据足迹的帖子，wimgapi.dll是调用fltmgr向wimfltr.sys发送消息。

感谢回复！
和我猜的差不多。不过我在很多PE里面找不到wimfltr.sys这个文件？不知道在这些PE里面wimgapi.dll是如何挂载wim的？

wintoflash

nianyueriPE 发表于 2022-2-2 23:29
它们用的是wimmount驱动，挂载过程一样，wimgapi.dll有切换驱动的函数。这个驱动不适合nativepe，因为它 ...

感谢

红毛樱木

nianyueriPE 发表于 2022-2-2 23:29
它们用的是wimmount驱动，挂载过程一样，wimgapi.dll有切换驱动的函数。这个驱动不适合nativepe，因为它 ...

wimgapi.dll有切换驱动的函数

请教是哪个函数或者api

2011whp

native  是否会更小呢 ， 能否先发个 关机 wim呢 （win10的）


——————————————————————
目前 为了 bcd菜单 能有 关机 菜单  用的是骨头win10   90多MB
（pecmd位 加的： WPEUTIL Shutdown）

wintoflash

2011whp 发表于 2022-2-6 18:12
native  是否会更小呢 ， 能否先发个 关机 wim呢 （win10的）

exe大小肯定没什么区别。做成只带native环境的wim可能会小很多，
你弄这个纯属脱裤子放屁，不如直接按电源键。

2011whp

  犯 强迫症，bcd菜单要有

Bluebells

朱玛12345678 版主的 【XP到Win10系统全兼容】通用ISO WIM VHD挂载驱动分享 帖子里有通用的 WimFltr 驱动, 里面有 wimgapi.h, wimgapi.lib, wimgapi.pdb 这些文件, 好像类似于源码文件(不懂编程), 不知道是否有参考价值

黑中见白

窄口牛

bcd关机重启可以用grldr（legacy下），efi下试试shell下的命令能不能想办法调用？

nianyueriPE

窄口牛 发表于 2022-2-8 07:56
bcd关机重启可以用grldr（legacy下），efi下试试shell下的命令能不能想办法调用？

不能，Windows启动管理器只能调用特殊的Windows boot程序，一般efi文件无法加载

窄口牛

那它的内存检测有没有重启选项？

2011whp

bcd  不是只认 文件名 （要弹  7b错）

wintoflash

2011whp 发表于 2022-2-7 18:54
犯 强迫症，bcd菜单要有

blshim.zip (679 Bytes, 下载次数: 9)

2022-2-9 20:48 上传

点击文件名下载附件
下载积分: 无忧币 -2

试试用这个关机。必须关闭安全启动。
注意BCD要这样写菜单：


先创建一个 "内存诊断器"，改路径，然后在这个条目里面添加 "DisableIntegrityChecks" 这个项目，值为 "true"。
要用 bootice 的 "高级编辑模式"，"智能编辑模式" 不行。

2011whp

qemu 可以的，

（实体机：uefi    ， 表现为  黑屏（正常关机会提示无信号的）  电脑在运行  ）

blshim.efi 的目录是可调的

2011whp

网上  提供 一个先例，说 winload.efi  有第三方的

https://www.upantool.com/qidong/qtqd/12339.html
@朱玛12345678  @liuzhaoyzz  这个也能玩签名？

liuzhaoyzz

2011whp 发表于 2022-2-13 13:39
群友 提供 一个先例，说 winload.efi  有第三方的

https://www.upantool.com/qidong/qtqd/12339.html

winload.efi本身就是自带微软官方的签名的啊，除非修改过的winload.efi，可能签名会失效。

2011whp

估计，是 个 搬运（系统里复制出来的）

朱玛12345678

nianyueriPE 发表于 2022-2-2 23:29
它们用的是wimmount驱动，挂载过程一样，wimgapi.dll有切换驱动的函数。这个驱动不适合nativepe，因为它 ...

这是因为wimfltr.sys和wimmount.sys挂载WIM映像的原理不一样，前者采用的是文件重定向，后者采用的是NTFS符号链接，所以它们对使用环境的要求就有很大差别。