自制 Win10PE 卡在登录过程

Bluebells

自制 Win10PE 卡在登录过程。在加载桌面前，wpeinit.exe 进程无法初始化完成。
若按快捷键调出任务管理器强制关闭 wpeinit.exe 进程则会顺利加载桌面，但会导致很多与网络相关的初始化完成不了
求各位高手帮忙分析解决，谢谢！
PE 直链：http://0.panbaidu.cn/uploads/202 ... q3eaa83/Win10PE.zip
PS：压缩包中有一个 SYSTEM 注册表配置单元，使用该配置单元可以使 wpeinit.exe 初始化完成，且能够加载桌面
但我不知道该怎么分析 WIM 映像中的 SYSTEM 与压缩包中提供的 SYSTEM（注册表快照不好使，无法分析注册表项权限问题）
也不会分析 wpeinit.log 日志文件

slore

但我不知道该怎么分析 WIM 映像中的 SYSTEM 与压缩包中提供的 SYSTEM（注册表快照不好使，无法分析注册表项权限问题）

用NSudo提升TrustInstaller权限打开regedit。

挂在SYSTEM，然后导出为reg。做2次，比较reg文件差异。

Bluebells

slore 发表于 2020-5-25 15:36
用NSudo提升TrustInstaller权限打开regedit。

挂在SYSTEM，然后导出为reg。做2次，比较reg文件差异 ...

Regshot 可以离线分析部分注册表配置单元，所以不会有权限问题
两个注册表分别作为快照A，B，然后比较，会发现两者是一样的
注册表快照工具不能分析注册表项的权限差异

llnm

谢谢分享学习下

立帮电子

把 = 号去掉

Bluebells

立帮电子 发表于 2020-5-25 16:20
把 = 号去掉

把等号去掉的话，wpeinit.exe 进程会在后台驻留（因为无法完成初始化），其实我是想问如何解决 wpeinit.exe 初始化失败的问题
//////////////////////////////
抱歉，我没有完整测试，只要等待足够长的时间，wpeinit.exe 就会初始化完成。
不过如果是使用另一个注册表配置单元，则会不用去掉等号，且 wpeinit.exe 的初始化时间要短很多很多

Bluebells

slore 发表于 2020-5-25 15:36
用NSudo提升TrustInstaller权限打开regedit。

挂在SYSTEM，然后导出为reg。做2次，比较reg文件差异 ...

很抱歉，原来离线注册表分析会跳过某些有特殊权限的注册表项，提权导出再进行分析才会发现那些具特殊权限的注册表项
但我现在这种情况很特殊，即使提权后查看到差异，并使得原来的 SYSTEM 注册表配置单元的注册表项数据与可以顺利启动的 SYSTEM 配置单元的数据一致也与原来的情况一样
//////////////////////////////
NSudo 提权再挂载注册表配置单元，导出相关注册表项，再卸载注册表配置单元
接着挂载另一个注册表配置单元，导出相关注册表项，再卸载该注册表配置单元
上述操作会有问题
正确操作是每次卸载注册表配置单元后，都应该关闭注册表编辑器，再用 NSudo 提权打开注册表编辑器，然后再挂载另一个注册表配置单元

最终得出，其实一开始的注册表配置单元的离线分析是没有问题的


快照A 与 快照B 选中不同的 SYSTEM 注册表配置单元就可以离线分析两个注册表之间的差异了

Nirsoft 的 RegistryChangesView 可以一次离线分析多个注册表配置单元

立帮电子

Bluebells 发表于 2020-5-25 17:22
把等号去掉的话，wpeinit.exe 进程会在后台驻留（因为无法完成初始化），其实我是想问如何解决 wpeinit.e ...

wpeinit 正常不需要等待的，你这情况差异应该不在数据，差异在注册表权限