无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 4901|回复: 8
打印 上一主题 下一主题

[讨论] 有没不写盘的PE,需要数据恢复

  [复制链接]
跳转到指定楼层
1#
发表于 2016-12-5 09:44:08 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
印象中66366好像有一个,但找不着是不是不写盘了。
测试了好多PE都会写盘,这个对于数据恢复真的不是很好。
一是写pepage.sys
一是创建各个分区的回收站
2#
发表于 2016-12-5 12:02:02 | 只看该作者
本帖最后由 不知 于 2016-12-5 16:20 编辑

找一个没有explorer.exe的PE,因为有的PE的explorer.exe要写desktop.ini。
微软自身的boot.wim就行,把数据恢复软件加入BOOT.wim,然后再winpeshl.ini中加入启动项即可。
至于pagefile.sys,只要没设置就不会写,这个可以在PECMD.ini看到。
回复

使用道具 举报

3#
发表于 2016-12-5 12:06:21 来自手机 | 只看该作者
试试最新usm,所有都做了处理,具体看日志。
另外虚拟内存在物理内存小于2g的时候会创建
回复

使用道具 举报

4#
发表于 2016-12-5 15:07:21 | 只看该作者
本坛搜禁用回收站及那个啥info目录,根据此自己加入了彻底禁用回收站及info目录功能,也简单。改改注册表就行,真期望这个能作为pe的一个标准固定。
回复

使用道具 举报

5#
发表于 2016-12-5 16:56:01 | 只看该作者
zhm_email 发表于 2016-12-5 15:07
本坛搜禁用回收站及那个啥info目录,根据此自己加入了彻底禁用回收站及info目录功能,也简单。改改注册表就 ...

x64没那么容易,内核驱动改了之后要重新签名
回复

使用道具 举报

6#
发表于 2016-12-5 22:18:27 | 只看该作者
某些linux发行版?
回复

使用道具 举报

7#
发表于 2016-12-6 10:23:41 | 只看该作者
本帖最后由 buger 于 2016-12-6 12:14 编辑

这个当年研究win7PE的时候折腾过,来源是国外的司法取证工具FE Winodws Forensic Environment,就是法律取证用的。搜了一下,主要是这个注册表system离线添加
REG ADD HKLM\WinFe\ControlSet001\Services\MountMgr /v NoAutoMount /t REG_DWORD /d 1 /f
REG ADD HKLM\WinFe\ControlSet001\Services\partmgr\Parameters /v SanPolicy /t REG_DWORD /d 4 /f
REG ADD HKLM\WinFe\ControlSet001\Control\FileSystem /v DisableDeleteNotification /t REG_DWORD /d 1 /f
PE启动后使用diskpart mount 只读挂载磁盘,只会修改4个字节的已有文件系统类型记录,不会创建任何文件。
测试表明,在只读模式中安装一个卷将在磁盘上写一个控制代码,而安装在只读模式中的磁盘将不会有任何变化。根据文件系统类型有与记录的4字节改为非用户创建的数据磁盘的一个潜在的修改。
还有 services\volmgrx services\volmgr 这两个服务,start类型改为4也就是禁用,可以禁止连接U盘等扩展磁盘。

资料来源
http://www.forensicswiki.org/wiki/WinFE
http://brettshavers.cc/index.php ... protect-application
http://www.ramsdens.org.uk/
后面这个网站可以下载到FE_Lite.zip,内有一个WProtect.exe,pe启动时用WProtect.exe -i 最先加载可以防止写磁盘。

winfe2.jpg (120.21 KB, 下载次数: 76)

winfe2.jpg
回复

使用道具 举报

8#
发表于 2016-12-6 13:56:59 | 只看该作者
本帖最后由 zhm_email 于 2016-12-6 14:02 编辑
buger 发表于 2016-12-6 10:23
这个当年研究win7PE的时候折腾过,来源是国外的司法取证工具FE Winodws Forensic Environment,就是法律取 ...


ls真专业。我就是看了个皮毛,改改而已,没有深入研究,却是这个功能很实用,网上试用别人的pe,多次之后能看到回收站内一大堆新建回收站目录,用了禁用回收站功能后,甚至完全把回收站干掉,再也没有了回收站,包括常用系统我都加入了禁止回收站功能,贴上我的注册表,权限修改只能动手改了,最好离线做这些,期望能帮助别人,当然我的这个不全的。专业的再给予深化,
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore]
"DisableSR"=dword:00000001
"DisableConfig"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore]
"DisableSR"=dword:00000001
"DisableConfig"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{645FF040-5081-101B-9F08-00AA002F954E}"=dword:00000001
"DefaultApplied"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{645FF040-5081-101B-9F08-00AA002F954E}"=dword:00000001
"DefaultApplied"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]
禁止System Volume Information和回收站.rar (536 Bytes, 下载次数: 20)
回复

使用道具 举报

9#
发表于 2016-12-9 19:43:25 | 只看该作者
楼上两位的方法在x64的Win10上没有效果。
总是会建立回收站。。。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-12-5 11:49

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表