无忧启动论坛

标题: PE禁止回收站--修改注册表 [打印本页]

作者: fukystone 时间: 2012-12-12 12:31
标题: PE禁止回收站--修改注册表
本帖最后由 fukystone 于 2013-7-12 11:35 编辑

应坛友要求，做个简单教程，高手就请飘过吧

先说明一下：
1、大多数PE在进入桌面后，会在硬盘建立回收站文件，类似$RECYCLE.BIN这样的文件。如果经常用PE，你会发现硬盘上会有2个“回收站”文件。
2、对于NTFS分区的硬盘，有一个System Volume Information目录，存储着ntfs的卷信息（包含一些链接、恢复文件、日志等内容），这个目录是NTFS卷的还原目录，不建议你动的。大多数PE在启动时也会向该目录写入一些信息，个人估计是PE读卷信息后的记录之类的，应该没什么大用。
以上2点如果是平常使用的话，没什么大碍。但是如果在做数据恢复工作的话，我们希望PE启动时尽量不要对硬盘有写操作，以免误伤数据。
综上所述，通过修改注册表的方法可以避免PE对硬盘写入以上内容。以Win7PE举例(备注：以下办法为win7和win8 PE通用)

1、不对System Volume Information目录写入信息
pecmd.ini中尽量往前，加下面2句：
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f
当然也可以直接挂载PE中的注册表文件修改，效果一样的。
还需更改mountpointmanagerremotedatabase文件的管理，这个文件是mountmgr服务产生的。该服务是系统级的，用于windows启动时读取卷信息并分配盘符，还有一个FltMgr（FS Filter Manager）服务也可能用到mountpointmanagerremotedatabase，这个服务我理解在PE中的作用是挂载某些第三方驱动。很可惜，这2个服务我都不敢动，那就只好在mountpointmanagerremotedatabase上动脑筋，实际做起来倒是很简单：
用ULTRAEDIT打开windows\system32\drivers\mountmgr.sys文件，查找“61 00 74 00 61 00 62 00 61 00 73 00 65”，共2处。注意看右边，就是mountpointmanagerremotedatabase，把左边对应部分全部改成00。然后保存，用PEditor校验和，重新打包。这就搞定了。

注意，仅仅为了不修改mountpointmanagerremotedatabase文件，就针对系统关键服务做修改，这种行为见仁见智--反正你要不做数据恢复的话我是不建议你改，以上仅做技术探讨。
附上修改的mountmgr文件（包括win7和win8PE），供参考。
2、不建立回收站文件
在注册表中挂载windows\system32\config\default文件，我挂成如下：
HKEY_LOCAL_MACHINE\w7_default\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket
右键选择权限，把你当前使用的用户如administrator添加为“完全控制”。
然后重新进入HKEY_LOCAL_MACHINE\w7_default\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket
把BitBucket项下的所有内容删掉
然后把该项的所有权限清空

当然，修改后在PE中删除文件就是真正的删除了，所以请慎重考虑。如果不是维护用PE，而是当做替代系统来用，不建议做以上修改。
天意兄提到，禁用回收站会造成直接删除，确实不太好。那么参照水老的办法，删除前加个确认吧，方法很简单：
在注册表中挂载windows\system32\config\default文件，我挂成如下：
HKEY_LOCAL_MACHINE\w7_default\Software\Microsoft\Windows\CurrentVersion\Explorer\
看右边的ShellState字段，将其中的37改为33（看附图容易明白）
效果也请看附图。删除时会有提示。

另附一个改好的win7PE，基于水老的19.11，可以看到全部效果。
嗯，说到水老的PE，再附2个文件（C_437.nls和C_20127.nls），用于在PE中使用FBINSTTOOL.EXE，水老原版的好像不行。建议水老也补一下。
百度网盘：http://pan.baidu.com/share/link?shareid=148247&uk=4211508820

[ 本帖最后由 fukystone 于 2012-12-25 17:49 编辑 ]

mountmgr.7z

34.86 KB, 下载次数: 189, 下载积分: 无忧币 -2

C_437.7z

1.31 KB, 下载次数: 104, 下载积分: 无忧币 -2

C_20127.7z

731 Bytes, 下载次数: 103, 下载积分: 无忧币 -2

mountmgr4win8.7z

36.09 KB, 下载次数: 177, 下载积分: 无忧币 -2

mountmgr4win864.7z

41.98 KB, 下载次数: 136, 下载积分: 无忧币 -2

作者: 2012fan 时间: 2012-12-12 13:04
BitBucket 这个是xp 的。。。 windows 7 是  BitLocker

楼主  你确定吗？ win7 我改了 BitBucket  还是无效！还是一进pe就给我每个磁盘根创建回收站
BitBucket 与 BitLocker  不一样啊！xp 的不能拿来套用到win7
再说，xp一般都有BitBucket,  而win7 就找不到BitBucket ,只有个BitLocker

[ 本帖最后由 2012fan 于 2012-12-12 13:05 编辑 ]

作者: renchmin 时间: 2012-12-12 13:50
这个方法还是很不错的额支持楼主啦。

作者: fukystone 时间: 2012-12-12 14:08

原帖由 2012fan 于 2012-12-12 13:04 发表
BitBucket 这个是xp 的。。。 windows 7 是  BitLocker

楼主  你确定吗？ win7 我改了 BitBucket  还是无效！还是一进pe就给我每个磁盘根创建回收站
BitBucket 与 BitLocker  不一样啊！xp 的不能拿 ...

http://bbs.wuyou.net/forum.php?mod=viewthread&tid=270370这里有我改的2个win7pe，你下载试试就知道了

作者: snoopy 时间: 2012-12-12 14:11

原帖由 fukystone 于 2012-12-12 12:31 发表
应坛友要求，做个简单教程，高手就请飘过吧

先说明一下，大多数PE在进入桌面后，会在硬盘建立回收站文件，类似$RECYCLE.BIN这样的文件。如果经常用PE，你会发现硬盘上会有2个“回收站”。
对于NTFS分区的硬 ...

我这win8pe本身就有BitBucket项,但是在注册表中删除BitBucket下所有子项后,系统又会重新建立.问题是在注册表中怎么给BitBucket权限,不让系统在BitBucket下建立子项.
怎么给它 HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket 加权限

作者: fukystone 时间: 2012-12-12 14:20

原帖由 2012yangjining 于 2012-12-12 14:11 发表

我这win8pe本身就有BitBucket项,但是在注册表中删除BitBucket下所有子项后,系统又会重新建立.问题是在注册表中怎么给BitBucket权限,不让系统在BitBucket下建立子项.
怎么给它 HKEY_USERS\S-1-5-18\Softwar ...

兄弟，win8我没试。不过关键不在这。开这个帖子就是为你。
看我帖子里的截图。
你不能在pe里修改。
你需要把pe的wim文件解开（用7-zip就行），然后按我上面写的挂载注册表文件。

作者: snoopy 时间: 2012-12-12 15:20

原帖由 fukystone 于 2012-12-12 14:20 发表

兄弟，win8我没试。不过关键不在这。开这个帖子就是为你。
看我帖子里的截图。
你不能在pe里修改。
你需要把pe的wim文件解开（用7-zip就行），然后按我上面写的挂载注册表文件。

在注册表中挂载不了

作者: snoopy 时间: 2012-12-12 15:25

原帖由 fukystone 于 2012-12-12 14:20 发表

兄弟，win8我没试。不过关键不在这。开这个帖子就是为你。
看我帖子里的截图。
你不能在pe里修改。
你需要把pe的wim文件解开（用7-zip就行），然后按我上面写的挂载注册表文件。

作者: andos 时间: 2012-12-12 15:28
禁止回收站的话，PECMD 有个RECY 命令

作者: fukystone 时间: 2012-12-12 16:22

原帖由 2012yangjining 于 2012-12-12 15:25 发表

152559

F盘需要可写。挂载时会在同一目录下生成log文件。另外，要保证你的当前用户有管理员权限，最好就是administrator

作者: 2012fan 时间: 2012-12-12 17:37

原帖由 2012yangjining 于 2012-12-12 15:25 发表

152559

你这是要卸载吗？（ “上载” 意思就是 "卸载"）
看图是你不能卸载把~ 这是注册表的毛病，不知道MS 是不是故意的。。你关闭注册表再重新打开就能卸载了。试试看

作者: 2012fan 时间: 2012-12-12 17:46

原帖由 2012yangjining 于 2012-12-12 14:11 发表

我这win8pe本身就有BitBucket项,但是在注册表中删除BitBucket下所有子项后,系统又会重新建立.问题是在注册表中怎么给BitBucket权限,不让系统在BitBucket下建立子项.
怎么给它 HKEY_USERS\S-1-5-18\Softwar ...

BitBucket 只删除是没用的，因为删了登陆PE时也会重新建立，所以只要去掉所有权限即可。当然最好先要把BitBucket下的子项全清空

作者: snoopy 时间: 2012-12-12 18:21

原帖由 fukystone 于 2012-12-12 14:20 发表

兄弟，win8我没试。不过关键不在这。开这个帖子就是为你。
看我帖子里的截图。
你不能在pe里修改。
你需要把pe的wim文件解开（用7-zip就行），然后按我上面写的挂载注册表文件。

谢谢你了.你的方法虽然我操作不成功.但启发我找到另一种方法.用regini 限制注册表项权限 ,现己成功禁止向硬盘写回收站文件了.

作者: zhuyoucheng 时间: 2012-12-13 10:30
好教程，WIN7PE在硬盘建立回收站终于完美解决了，但是那个向目录写入信息好像没有成功，看我的图片，前面是正常系统里System Volume Information目录的文件的时间，后面是启动WIN7PE里System Volume Information目录的文件里的时间，时间改变了，是不是代表重新写入了信息了呢？

[ 本帖最后由 zhuyoucheng 于 2012-12-13 10:32 编辑 ]

360截图20121213101211391.jpg (18.06 KB, 下载次数: 202)

TT截图未命名.jpg (23.67 KB, 下载次数: 214)

作者: snoopy 时间: 2012-12-13 11:26

原帖由 zhuyoucheng 于 2012-12-13 10:30 发表
好教程，WIN7PE在硬盘建立回收站终于完美解决了，但是那个向目录写入信息好像没有成功，看我的图片，前面是正常系统里System Volume Information目录的文件的时间，后面是启动WIN7PE里System Volume Informatio ...

我这也是这样,禁止了写回收站,但还是修改了c盘svi目录文件

作者: eyinhe 时间: 2012-12-13 14:08

原帖由 andos 于 2012-12-12 15:28 发表
禁止回收站的话，PECMD 有个RECY 命令

这个命令不是禁止建立回收站的吧？看说明是删除文件不会进回收站。改注册表是可行的，我的PE改好了。

作者: eyinhe 时间: 2012-12-13 14:10
楼主的不建立回收站的方法是有效的。Win7PE试验成功。

[ 本帖最后由 eyinhe 于 2012-12-13 14:15 编辑 ]

作者: andos 时间: 2012-12-13 14:43

原帖由 2012yangjining 于 2012-12-12 18:21 发表

谢谢你了.你的方法虽然我操作不成功.但启发我找到另一种方法.用regini 限制注册表项权限 ,现己成功禁止向硬盘写回收站文件了.

请问，regini 又应该怎样写?

作者: andos 时间: 2012-12-13 14:44

原帖由 eyinhe 于 2012-12-13 14:08 发表

这个命令不是禁止建立回收站的吧？看说明是删除文件不会进回收站。改注册表是可行的，我的PE改好了。

原来是没禁止功能的啊...还以为有呢
看来我搞错了

作者: fukystone 时间: 2012-12-13 16:43

原帖由 zhuyoucheng 于 2012-12-13 10:30 发表
好教程，WIN7PE在硬盘建立回收站终于完美解决了，但是那个向目录写入信息好像没有成功，看我的图片，前面是正常系统里System Volume Information目录的文件的时间，后面是启动WIN7PE里System Volume Informatio ...

这个我是测试过的。
首先，那2句reg需要在pecmd.ini中尽量靠前，前面不要有其他语句。
其次，请参考http://bbs.wuyou.net/forum.php?mod=viewthread&tid=270370这里的2个win7PE中pecmd.ini。
附图是在水老的19.16基础上改的。

QQ截图20121213163934.jpg (178.02 KB, 下载次数: 211)

作者: snoopy 时间: 2012-12-13 16:58

原帖由 andos 于 2012-12-13 14:43 发表

请问，regini 又应该怎样写?

1.在pe的system32目录下加入与你pe同版本的regini.exe文件
2.在相同目录下建立 regini.ini 文件.内容为: HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket[2 8 19]
3.在cmd文件中加入:
reg delete "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume" /f
regini.exe regini.ini
两条命令.

win7pe,win8pe 都测试可行

[ 本帖最后由 2012yangjining 于 2012-12-13 17:03 编辑 ]

作者: HB天意 时间: 2012-12-13 17:00
标题: 回复 #20 fukystone 的帖子
C盘是没有问题。你找个有d盘的看看。d盘还是被修改了。

作者: fukystone 时间: 2012-12-13 17:12

原帖由 yidawpf 于 2012-12-13 17:00 发表
C盘是没有问题。你找个有d盘的看看。d盘还是被修改了。

老大，D盘我也试过的啊……

QQ截图20121213171128.jpg (89.34 KB, 下载次数: 186)

作者: HB天意 时间: 2012-12-13 17:17

注册表已经加进去了

c盘没有改

d盘却被修改了

作者: andos 时间: 2012-12-13 18:10

原帖由 2012yangjining 于 2012-12-13 16:58 发表

1.在pe的system32目录下加入与你pe同版本的regini.exe文件
2.在相同目录下建立 regini.ini 文件.内容为: HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket[2 8 19]
...

用了这个，是否就不需要再用PECMD的RECY命令了?(RECY命令是用作删除文件不会进回收站)

作者: HB天意 时间: 2012-12-13 18:11
标题: 回复 #25 andos 的帖子
好像用recy命令可以禁止启动时写入回收站。但是pe下删除文件还是可以到回收站。

作者: HB天意 时间: 2012-12-13 18:12
标题: 回复 #23 fukystone 的帖子
奇怪，实机测试没有问题。
虚拟机测试有写入。

作者: andos 时间: 2012-12-13 18:22

原帖由 yidawpf 于 2012-12-13 18:11 发表
好像用recy命令可以禁止启动时写入回收站。但是pe下删除文件还是可以到回收站。

RECY 功能是当数值为0时表示禁用指定分区的回收筒功能，被删除的档案将不会移到回收筒中

也就是直接删除文件的意思吧

而禁止回收站是不是连带直接删除文件的意思呢?!

作者: andos 时间: 2012-12-13 18:28

原帖由 yidawpf 于 2012-12-13 18:12 发表
奇怪，实机测试没有问题。
虚拟机测试有写入。

试试加多一个HKEY_CURRENT_USER的值
regini.ini:
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket[2 8 19]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket[2 8 19]

reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume" /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume" /f
regini.exe regini.ini

[ 本帖最后由 andos 于 2012-12-13 18:32 编辑 ]

作者: snoopy 时间: 2012-12-13 18:38

原帖由 andos 于 2012-12-13 18:10 发表

用了这个，是否就不需要再用PECMD的RECY命令了?(RECY命令是用作删除文件不会进回收站)

还要用这个设置回收站的值.它们两个作用不同

作者: andos 时间: 2012-12-13 18:38

原帖由 2012yangjining 于 2012-12-13 18:38 发表

还要用这个设置回收站的值.它们两个作用不同

也就是先REGINI，然后才RECY吧?

[ 本帖最后由 andos 于 2012-12-13 18:43 编辑 ]

作者: snoopy 时间: 2012-12-13 19:27

原帖由 andos 于 2012-12-13 18:38 发表

也就是先REGINI，然后才RECY吧?

先RECY，后才REGINI

作者: eyinhe 时间: 2012-12-13 22:07

原帖由 andos 于 2012-12-13 18:10 发表

用了这个，是否就不需要再用PECMD的RECY命令了?(RECY命令是用作删除文件不会进回收站)

经试验，改注册表禁止生成回收站文件夹后不需要recy命令，因为删除变成了直接删除，不会进回收站。

作者: yaojy 时间: 2012-12-13 22:13
Win8PE实机测试，有个奇怪现象：
除C、D两个系统分区（C为Win7，D为XP）的System Volume Information文件夹不变化外，
其它数据分区System Volume Information文件夹下的那个0K文件MountPaint...的“时间”变了，改为PE启动的时间。

作者: 红毛樱木 时间: 2012-12-13 22:30
这个好，收藏了。
一劳永逸，恢复数据也方便了

作者: zhuyoucheng 时间: 2012-12-13 22:34

原帖由 yaojy 于 2012-12-13 22:13 发表 <a href="http://bbs.wuyou.net/redirect.php?goto=findpost&pid=2637019&ptid=273196" target="_blank"><img src="http://bbs.wuyou.net/images/common/back.gif" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open(this.src);}" onmousewheel="return imgzoom(this);" alt="" /></a> 
Win8PE实机测试，有个奇怪现象： 
除C、D两个系统分区（C为Win7，D为XP）的System Volume Information文件夹不变化外， 
其它数据分区System Volume Information文件夹下的那个0K文件MountPaint...的“时间”变 ...

我用WIN7PE测试的和你的一样
另外楼主的EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f>nul
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f>nul这2条命令多了“>nul",要去掉才能写入注册表。

作者: fukystone 时间: 2012-12-13 23:07
汗，还真没注意d盘以后的分区有没有问题，我再看看。
那个>nul确实是问题，复制时候带过来的，我改一下。
其实按理这个也是可以直接改注册表的，当初实验成功后，懒得打包……我再测测看哈

作者: chiannet 时间: 2012-12-14 07:25
受教了。谢谢楼主分享成果。

作者: HB天意 时间: 2012-12-14 09:03
`禁用回收站
RECY *:\,0

`不对System Volume Information目录写入信息
REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore\DisableConfig=#1
REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore\DisableSR=#1

第一个命令好像就可以不生成回收站。但是pe下删除文件还是会到回收站。
楼主的方法会导致PE下任何文件都可以删除，容易导致pe出问题。

作者: snoopy 时间: 2012-12-14 09:34

原帖由 yidawpf 于 2012-12-14 09:03 发表
`禁用回收站
RECY *:\,0

`不对System Volume Information目录写入信息
REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore\DisableConfig=#1
REGI HKLM\SOFTWARE\Policies\Microsoft\Windo ...

经测试不能禁上写回收站

作者: snoopy 时间: 2012-12-14 09:37

原帖由 fukystone 于 2012-12-12 12:31 发表
应坛友要求，做个简单教程，高手就请飘过吧

先说明一下，大多数PE在进入桌面后，会在硬盘建立回收站文件，类似$RECYCLE.BIN这样的文件。如果经常用PE，你会发现硬盘上会有2个“回收站”。
对于NTFS分区的硬 ...

兄弟你这 EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f

不能禁止更改 System Volume Information 目录文件

作者: andos 时间: 2012-12-14 10:11

原帖由 yidawpf 于 2012-12-14 09:03 发表
`禁用回收站
RECY *:\,0

`不对System Volume Information目录写入信息
REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore\DisableConfig=#1
REGI HKLM\SOFTWARE\Policies\Microsoft\Windo ...

RECY *:\,0 命令在PECMD2012是无效的

要PECMD 4.0才有效

作者: 66369 时间: 2012-12-14 12:18
谢楼主指引.Win8PE搞定了.

不会在硬盘加第二个回收站了.PE下删除文件先给出提示.再删除.相对安全.

前面两句不需要的.

在REGDOC.CMD加两句.不显示回收站:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /f /v "DefaultApplied" /t REG_DWORD /d 0
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /f /v "{645FF040-5081-101B-9F08-00AA002F954E}" /t REG_DWORD /d 1

作者: 66369 时间: 2012-12-14 12:34
不给硬盘留垃圾.其实很重要.

作者: fukystone 时间: 2012-12-14 21:59

原帖由 2012yangjining 于 2012-12-14 09:37 发表

兄弟你这 EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windo ...

确实是有问题，我又修改了一下，请看首页。

作者: fukystone 时间: 2012-12-14 22:01

原帖由 66369 于 2012-12-14 12:18 发表
谢楼主指引.Win8PE搞定了.

不会在硬盘加第二个回收站了.PE下删除文件先给出提示.再删除.相对安全.

前面两句不需要的.

在REGDOC.CMD加两句.不显示回收站:

reg add "HKCU\Software\Microsoft\Windows ...

您的PE，19.11版，运行FBINSTTOOL有点问题，我看是缺文件。以后更新的话建议加一下，缺的2个文件我附在首页

作者: snoopy 时间: 2012-12-15 08:57

原帖由 fukystone 于 2012-12-12 12:31 发表
应坛友要求，做个简单教程，高手就请飘过吧

先说明一下，大多数PE在进入桌面后，会在硬盘建立回收站文件，类似$RECYCLE.BIN这样的文件。如果经常用PE，你会发现硬盘上会有2个“回收站”。
对于NTFS分区的硬 ...

我这是win7 pro MSDN 原版系统.win8pe骨头版.还真就本身不修改 MountPointManagerRemoteDatabase 文件.见图

[ 本帖最后由 2012yangjining 于 2012-12-15 09:07 编辑 ]

作者: zhuyoucheng 时间: 2012-12-15 09:47
标题: 回复 #47 2012yangjining 的帖子
虽然修改了mountmgr.sys后MountPointManagerRemoteDatabase文件日期不改变，但是那个syscache的2个文件日期改了，经实机测试在PECMD加入EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f和 EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f 2条命令，就不会修改Syscache那2个文件日期，如果完全要不写硬盘 System Volume Information 目录，既要修改Mountmgr.sys还要加入EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f和 EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f 2，觉得这样就完美了，大家多测试下，感谢楼主分享这么好的教程！

作者: 2012fan 时间: 2012-12-15 13:03
标题: 回复 #1 fukystone 的帖子
水大的 19.16 都出来好久了，不比19。11好吗为什么还用19。11

另外提下，关于回收站我彻底摸清楚了，总结一下

BitBucket 这个项 xp ,win7 都有但结构又有些区别

(知道怎么操作不如明白其中原理，一句话，去其BitBucket项的system用户的所有权限是上策而不是删除所有用户因为这样不彻底会死灰复燃)
怎么样？饶口吧~

注册表software里面默认是有的，这是老巢，只修改 default 里面的并不彻底，因为如果你新建一个帐户，BitBucket 键值是根据software来的。。
所以建议挂载default 和 software 两个都修改
修改方法：最好方法不是清空用户名（如果这样，一旦对回收站有任何动作又会死灰复燃。比如在回收站哪怕鼠标右键查看就。。。）
而是把system这个权限的拒绝项全选，然后删除其他除 system以外的用户

[ 本帖最后由 2012fan 于 2012-12-15 13:08 编辑 ]

作者: zhuyoucheng 时间: 2012-12-15 22:01
标题: 回复 #49 2012fan 的帖子
为什么我在WIN7PE的software里面找不到BitBuchet项？

作者: HB天意 时间: 2012-12-15 22:18
能否提供一个win8的修改的mountmgr.sys。

作者: fukystone 时间: 2012-12-15 22:22

原帖由 zhuyoucheng 于 2012-12-15 09:47 发表
虽然修改了mountmgr.sys后MountPointManagerRemoteDatabase文件日期不改变，但是那个syscache的2个文件日期改了，经实机测试在PECMD加入EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemres ...

多谢反馈。我自己的System Volume Information 目录里没有Syscache文件，或许是win8特有的？如此看来注册表还是得改。

作者: fukystone 时间: 2012-12-15 23:46

原帖由 yidawpf 于 2012-12-15 22:18 发表
能否提供一个win8的修改的mountmgr.sys。

已经改好了，请看首页。
用您最新的那个PE测试成功。
另外我测试您用RECY命令，并不能禁止在各分区生成第2个回收站文件，你可以再看看。
改注册表是可以的。
此外既然禁用了回收站，建议加一句水老那个：
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /f /v "{645FF040-5081-101B-9F08-00AA002F954E}" /t REG_DWORD /d 1
把回收站图标从桌面删掉。

作者: HB天意 时间: 2012-12-16 10:13
标题: 回复 #53 fukystone 的帖子
谢谢，如果能够实现禁止回收站又不能删除核心文件就好了。

作者: 66369 时间: 2012-12-16 16:20
在REGDOC.CMD加两句.不显示回收站:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /f /v "DefaultApplied" /t REG_DWORD /d 0
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /f /v "{645FF040-5081-101B-9F08-00AA002F954E}" /t REG_DWORD /d 1

内核换以下文件...

http://pan.baidu.com/share/link?shareid=170084&uk=975170630

以上说的是win8pe.

[ 本帖最后由 66369 于 2012-12-16 16:21 编辑 ]

作者: billow 时间: 2012-12-23 13:23
非常感谢楼主分享！
果断收藏了！

作者: tt911 时间: 2012-12-23 14:07
楼主跟我一样，也是喜欢“超干爽型的”

作者: 135956 时间: 2013-1-18 23:57
64位的PE也可以这样修改mountmgr.sys么？

作者: zhoubin 时间: 2013-4-24 09:25
本帖最后由 zhoubin 于 2013-4-24 09:29 编辑

我用的阿弥陀佛64位网络版win8PE,也这样修改mountmgr.sys文件,不能启动,楼主帮忙给改一个噻!!!
谢谢楼主....

作者: fukystone 时间: 2013-4-24 20:25
没做过64位的pe……，等我下载那个看一下哈，关键是没什么环境测试……

作者: zhoubin 时间: 2013-4-24 21:01

fukystone 发表于 2013-4-24 20:25
没做过64位的pe……，等我下载那个看一下哈，关键是没什么环境测试……

好人啊，我在这里先谢谢老大了，谢谢。。。。

作者: fukystone 时间: 2013-4-24 22:55
呵呵，很奇怪，64位的win8会要求数字签名，但是32位的却不要求。不知道是不是我测试的这个H3的64位win8pe有问题。你试试吧。
我测试要求数字签名的，但是进去后确实不写文件的。等我找找看有没有不检测数字签名的64位win8pe。
附件在第一页。
另外，如果显示错误，可以按回车回到启动界面，然后按F8，再连续按7次向下的箭头（就是选择关闭检测数字签名啦），然后按回车，就可以正常进入。---当然这么做就没什么实际意义了，只是表明你测试的pe是强制要求签名的……

作者: zhoubin 时间: 2013-4-25 08:01

fukystone 发表于 2013-4-24 22:55
呵呵，很奇怪，64位的win8会要求数字签名，但是32位的却不要求。不知道是不是我测试的这个H3的64位win8pe有 ...

确实是这样的,好像64位的系统,是要数字签名的....
我先试试你的这个!!!
谢谢了...

作者: sp_star 时间: 2013-4-25 09:51
关于签名，试试编辑BCD，添加：
nointegritychecks Yes
TESTSIGNING Yes

作者: zhoubin 时间: 2013-4-25 10:16
本帖最后由 zhoubin 于 2013-4-25 10:19 编辑

sp_star 发表于 2013-4-25 09:51
关于签名，试试编辑BCD，添加：
nointegritychecks Yes
TESTSIGNING Yes

假如是winxp,没有bcd文件,用的是boot.ini又该如何禁用签名呢?
我现在是32位win7,假如是winxp,这个方法恐怕不行吧!!!
等会装个winxp试试!!!

作者: sp_star 时间: 2013-4-25 10:32

zhoubin 发表于 2013-4-25 10:16
假如是winxp,没有bcd文件,用的是boot.ini又该如何禁用签名呢?
我现在是32位win7,假如是winxp,这个方法 ...

XP肯定不行啊。

作者: zhoubin 时间: 2013-4-25 10:35
刚才试了一下,32位win7本地硬盘启动64位8pe,boot.ini方式也不行!!!

作者: poiu 时间: 2013-4-27 19:32
Win7PE成功

作者: 527104427 时间: 2013-7-3 11:10
本帖最后由 527104427 于 2013-7-3 11:23 编辑

改好之后启动时确实是不写回收站了，但有一点，点右键删除，RECYCLER马上回来了，不知道怎么解决？

作者: 527104427 时间: 2013-7-3 11:22
03PE下试的

作者: fukystone 时间: 2013-7-3 11:54

527104427 发表于 2013-7-3 11:10
改好之后启动时确实是不写回收站了，但有一点，点右键删除，RECYCLER马上回来了，不知道怎么解决？

权限没删除吧？
要把所有权限都删掉

作者: 527104427 时间: 2013-7-3 12:08

fukystone 发表于 2013-7-3 11:54
权限没删除吧？
要把所有权限都删掉

在PE里面截了个图，这时应该没有权限了吧？

挂载DEFAULT的时候，并没有BitBucket这一项，是我加进去的。

启动之前，我的硬盘上一个文件夹都没有，启动之后，会新建一个System Volume Information，里面没有文件。再截个图吧。

启动前：

启动后：

右键删除后：

作者: 527104427 时间: 2013-7-3 12:16

fukystone 发表于 2013-7-3 11:54
权限没删除吧？
要把所有权限都删掉

这两个地方也改过了：

6.png (713.26 KB, 下载次数: 138)

5.png (809.04 KB, 下载次数: 146)

作者: fukystone 时间: 2013-7-3 12:25
本帖最后由 fukystone 于 2013-7-3 12:38 编辑

527104427 发表于 2013-7-3 12:16
这两个地方也改过了：

哦，pecmd.ini中你是不是没加RECY *:,0这句？
嗯，对不起，是我疏忽，nt5x并没有仔细测试，我的tangope中带有RECY *:,0这句，所以我以为回收站问题是解决的。刚才测试了一下，在pecmd中加这句就可以了。
关于system那个目录，确实在nt5x下无效，回头我改一下教程。
很久不用nt5x了，我在仔细测试下看看。
呵呵，这个有点误人子弟了，以后发帖我会注意多测试一下，不好意思。

作者: 527104427 时间: 2013-7-3 12:33

fukystone 发表于 2013-7-3 12:25
哦，pecmd.ini中你是不是没加RECY *:,0这句？

加了的：

7.png (126.36 KB, 下载次数: 141)

作者: fukystone 时间: 2013-7-3 12:41

527104427 发表于 2013-7-3 12:33
加了的：

nt5x下应该是 recy *:,0
nt6x下是 recy *:\,0

作者: 527104427 时间: 2013-7-3 12:59

fukystone 发表于 2013-7-3 12:41
nt5x下应该是 recy *:,0
nt6x下是 recy *:\,0

哦，多谢指点，晚上回家试试

作者: 527104427 时间: 2013-7-3 19:03
本帖最后由 527104427 于 2013-7-3 19:05 编辑

fukystone 发表于 2013-7-3 12:41
nt5x下应该是 recy *:,0
nt6x下是 recy *:\,0

刚刚测试，改成RECY *:,0也一样建立回收站

BTW:
右键删除会建立回收站，但按住SHIFT键不会建立回收站。
Delete键会建立回收站，但按住SHIFT+Delete不会建立回收站。

作者: wjgyz740526 时间: 2013-7-4 08:00
xp的mountmgr文件呢？？不用修改吗？

作者: wylgogogo 时间: 2013-7-4 09:00
有时间折腾下,有效果确实不错.

作者: fukystone 时间: 2013-7-4 22:26

527104427 发表于 2013-7-3 19:03
刚刚测试，改成RECY *:,0也一样建立回收站

BTW:

这样啊，难道我那个tangope还改了其他地方？等我再看一下哈
不好意思，等我研究明白了再回复你

作者: 527104427 时间: 2013-7-4 22:45

fukystone 发表于 2013-7-4 22:26
这样啊，难道我那个tangope还改了其他地方？等我再看一下哈
不好意思，等我研究明白了再回复你

算了，不纠结了，就这样用吧，多谢你的教程，非常实用

作者: fukystone 时间: 2013-7-12 11:45

527104427 发表于 2013-7-4 22:45
算了，不纠结了，就这样用吧，多谢你的教程，非常实用

仔细测试了下，nt5x的PE原本启动时就不会建立回收站文件的，只有在删除文件时才会在所在分区建立一个回收站的目录。跟踪注册表没发现有什么变动，暂时无解。好在不删除文件的话就不会写硬盘，所以改不改无所谓的。我在首页的内容有误导之嫌，已修改为仅适用NT6X的PE。
另外，卷信息目录的修改是正常的，该目录可以禁止写文件。附件是我修改的xp文件，方法一样的。

MOUNTMGR.7z

19.71 KB, 下载次数: 34, 下载积分: 无忧币 -2

for nt5x

作者: 527104427 时间: 2013-7-12 12:11

fukystone 发表于 2013-7-12 11:45
仔细测试了下，nt5x的PE原本启动时就不会建立回收站文件的，只有在删除文件时才会在所在分区建立一个回收 ...

2003和XP通用吗？建议放到一楼

作者: 527104427 时间: 2013-7-12 13:20

fukystone 发表于 2013-7-12 11:45
仔细测试了下，nt5x的PE原本启动时就不会建立回收站文件的，只有在删除文件时才会在所在分区建立一个回收 ...

楼主可否帮忙改一个2003的？另外，可否共享一下楼主使用的PEditor？

我按上面的方法，将字符串\system volume information\也清除掉，似乎还是会建立一个空的system volume information目录

1.png (49.26 KB, 下载次数: 143)

MOUNTMGR.7z

45.61 KB, 下载次数: 5, 下载积分: 无忧币 -2

作者: fukystone 时间: 2013-7-12 14:30

527104427 发表于 2013-7-12 13:20
楼主可否帮忙改一个2003的？另外，可否共享一下楼主使用的PEditor？

我按上面的方法，将字符串\system ...

那个目录跟这个文件无关的，一般来说只要是ntfs的分区都有这个目录--而且在系统中是保护目录。
目前找不到哪个进程创建了这个目录。所以只要不往这个目录里写文件就可以了。
不生成那个database文件就好啦。

PE文件校验.7z

438.87 KB, 下载次数: 60, 下载积分: 无忧币 -2

作者: duanzhanling 时间: 2013-7-13 13:09
不错不错顶起来……

作者: 527104427 时间: 2013-7-21 23:16
win8X64的mountmgr.sys改了就启动不了，用楼主的也一样，不能启动。

1.png (19.56 KB, 下载次数: 132)

作者: fukystone 时间: 2013-7-21 23:27

527104427 发表于 2013-7-21 23:16
win8X64的mountmgr.sys改了就启动不了，用楼主的也一样，不能启动。

这种情况下，按回车，回到选择画面，当然你可能什么也看不到，然后连续按7次“向下的箭头”，再回车，就可以启动看效果了（具体看前面62楼）。
当然，没什么实际使用价值，呵呵。
64位对于内核和驱动要求很严，不但校验还要签名，现在找不到禁止签名的办法……

作者: 527104427 时间: 2013-7-22 00:04

fukystone 发表于 2013-7-21 23:27
这种情况下，按回车，回到选择画面，当然你可能什么也看不到，然后连续按7次“向下的箭头”，再回车，就可 ...

接下来的事情更神奇了，事先将虚拟机的回收站和System Volume Information删掉，再用没修改的mountmgr.sys替换回去，启动，三个分区居然都没有建立System Volume Information，反而是回收站还阴魂不散……

作者: NicTense 时间: 2013-7-22 00:58

527104427 发表于 2013-7-22 00:04
接下来的事情更神奇了，事先将虚拟机的回收站和System Volume Information删掉，再用没修改的mountmgr.sy ...

System Volume Information不是开机的时候建的，貌似是对磁盘进行某些操作了之后才建的，比如写操作，具体没仔细研究过

作者: 2012doberman 时间: 2013-7-22 18:02
I think that's enough:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecycleFiles"=dword:00000001

作者: fukystone 时间: 2013-8-8 11:21

527104427 发表于 2013-7-22 00:04
接下来的事情更神奇了，事先将虚拟机的回收站和System Volume Information删掉，再用没修改的mountmgr.sy ...

这几天改了个64位的8pe，测试回收站修改是没问题的，只要简单在注册表修改一下就可以完全禁止。
使用：REGI **16 HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ShellFolder\Attributes=@64 00 10 94
可以完全禁止回收站图标，不仅是桌面，包括资源管理器中的。
但是mountmgr确实是没办法的，签名怎么也绕不过去（即使在bcd中打开测试模式）。

作者: 2012peter2 时间: 2013-9-8 13:17
楼主能提供修改好的03PE的mountmgr文件吗？

作者: 2012peter2 时间: 2013-9-8 14:25

snoopy 发表于 2012-12-13 16:58
1.在pe的system32目录下加入与你pe同版本的regini.exe文件
2.在相同目录下建立 regini.ini 文件.内容 ...

您的方法在03PE下也可以用吗？

作者: fukystone 时间: 2013-9-8 21:41

fukystone 发表于 2013-8-8 11:21
这几天改了个64位的8pe，测试回收站修改是没问题的，只要简单在注册表修改一下就可以完全禁止。
使用：R ...

按照教程修改就可以了。当然只是在PE中

作者: fukystone 时间: 2013-9-8 21:42

2012peter2 发表于 2013-9-8 13:17
楼主能提供修改好的03PE的mountmgr文件吗？

前几页中5大好像提供了一个啊，你找找

作者: 2012peter2 时间: 2013-9-9 11:14
本帖最后由 2012peter2 于 2013-9-9 11:48 编辑

fukystone 发表于 2013-9-8 21:42
前几页中5大好像提供了一个啊，你找找

5大是提供了一个，但楼主没测试过，不知道效果怎样。另外，nt5 pe似乎是不会再创建新的回收站，我的电脑上就没发现两个回收站。

作者: 2011n5413 时间: 2014-1-15 04:39
回复收藏

作者: peihong998 时间: 2015-10-3 21:40
认真学习过了，好像还是没有好的办法啊

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)