PE禁止回收站--修改注册表

fukystone

应坛友要求，做个简单教程，高手就请飘过吧

    先说明一下：
1、大多数PE在进入桌面后，会在硬盘建立回收站文件，类似$RECYCLE.BIN这样的文件。如果经常用PE，你会发现硬盘上会有2个“回收站”文件。
2、对于NTFS分区的硬盘，有一个System Volume Information目录，存储着ntfs的卷信息（包含一些链接、恢复文件、日志等内容），这个目录是NTFS卷的还原目录，不建议你动的。大多数PE在启动时也会向该目录写入一些信息，个人估计是PE读卷信息后的记录之类的，应该没什么大用。
    以上2点如果是平常使用的话，没什么大碍。但是如果在做数据恢复工作的话，我们希望PE启动时尽量不要对硬盘有写操作，以免误伤数据。
综上所述，通过修改注册表的方法可以避免PE对硬盘写入以上内容。以Win7PE举例(备注：以下办法为win7和win8 PE通用)

1、不对System Volume Information目录写入信息
pecmd.ini中尽量往前，加下面2句：
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f
当然也可以直接挂载PE中的注册表文件修改，效果一样的。
还需更改mountpointmanagerremotedatabase文件的管理，这个文件是mountmgr服务产生的。该服务是系统级的，用于windows启动时读取卷信息并分配盘符，还有一个FltMgr（FS Filter Manager）服务也可能用到mountpointmanagerremotedatabase，这个服务我理解在PE中的作用是挂载某些第三方驱动。很可惜，这2个服务我都不敢动，那就只好在mountpointmanagerremotedatabase上动脑筋，实际做起来倒是很简单：
用ULTRAEDIT打开windows\system32\drivers\mountmgr.sys文件，查找“61 00 74 00 61 00 62 00 61 00 73 00 65”，共2处。注意看右边，就是mountpointmanagerremotedatabase，把左边对应部分全部改成00。然后保存，用PEditor校验和，重新打包。这就搞定了。



注意，仅仅为了不修改mountpointmanagerremotedatabase文件，就针对系统关键服务做修改，这种行为见仁见智--反正你要不做数据恢复的话我是不建议你改，以上仅做技术探讨。
附上修改的mountmgr文件（包括win7和win8PE），供参考。
2、不建立回收站文件
在注册表中挂载windows\system32\config\default文件，我挂成如下：
HKEY_LOCAL_MACHINE\w7_default\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket
右键选择权限，把你当前使用的用户如administrator添加为“完全控制”。
然后重新进入HKEY_LOCAL_MACHINE\w7_default\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket
把BitBucket项下的所有内容删掉
然后把该项的所有权限清空

挂载

权限

当然，修改后在PE中删除文件就是真正的删除了，所以请慎重考虑。如果不是维护用PE，而是当做替代系统来用，不建议做以上修改。
天意兄提到，禁用回收站会造成直接删除，确实不太好。那么参照水老的办法，删除前加个确认吧，方法很简单：
在注册表中挂载windows\system32\config\default文件，我挂成如下：
HKEY_LOCAL_MACHINE\w7_default\Software\Microsoft\Windows\CurrentVersion\Explorer\
看右边的ShellState字段，将其中的37改为33（看附图容易明白）
效果也请看附图。删除时会有提示。




另附一个改好的win7PE，基于水老的19.11，可以看到全部效果。
嗯，说到水老的PE，再附2个文件（C_437.nls和C_20127.nls），用于在PE中使用FBINSTTOOL.EXE，水老原版的好像不行。建议水老也补一下。
百度网盘：http://pan.baidu.com/share/link?shareid=148247&uk=4211508820

[ 本帖最后由 fukystone 于 2012-12-25 17:49 编辑 ]

fukystone

原帖由 2012fan 于 2012-12-12 13:04 发表
BitBucket 这个 是xp 的 。。。 windows 7 是  BitLocker

楼主  你确定 吗？ win7 我改了 BitBucket  还是无效！ 还是一进pe就给我每个磁盘根创建回收站
BitBucket   与   BitLocker  不一样啊！xp 的不能拿 ...

http://bbs.wuyou.net/forum.php?mod=viewthread&tid=270370这里有我改的2个win7pe，你下载试试就知道了

fukystone

原帖由 2012yangjining 于 2012-12-12 14:11 发表


我这win8pe本身就有BitBucket项,但是在注册表中删除BitBucket下所有子项后,系统又会重新建立.问题是在注册表中怎么给BitBucket权限,不让系统在BitBucket下建立子项.
怎么给它 HKEY_USERS\S-1-5-18\Softwar ...

兄弟，win8我没试。不过关键不在这。开这个帖子就是为你。
看我帖子里的截图。
你不能在pe里修改。
你需要把pe的wim文件解开（用7-zip就行），然后按我上面写的挂载注册表文件。

fukystone

原帖由 2012yangjining 于 2012-12-12 15:25 发表

152559

F盘需要可写。挂载时会在同一目录下生成log文件。另外，要保证你的当前用户有管理员权限，最好就是administrator

fukystone

原帖由 zhuyoucheng 于 2012-12-13 10:30 发表
好教程，WIN7PE在硬盘建立回收站终于完美解决了，但是那个向目录写入信息好像没有成功，看我的图片，前面是正常系统里System Volume Information目录的文件的时间，后面是启动WIN7PE里System Volume Informatio ...

这个我是测试过的。
首先，那2句reg需要在pecmd.ini中尽量靠前，前面不要有其他语句。
其次，请参考http://bbs.wuyou.net/forum.php?mod=viewthread&tid=270370这里的2个win7PE中pecmd.ini。
附图是在水老的19.16基础上改的。

fukystone

原帖由 yidawpf 于 2012-12-13 17:00 发表
C盘是没有问题。你找个有d盘的看看。d盘还是被修改了。

老大，D盘我也试过的啊……

fukystone

汗，还真没注意d盘以后的分区有没有问题，我再看看。
那个>nul确实是问题，复制时候带过来的，我改一下。
其实按理这个也是可以直接改注册表的，当初实验成功后，懒得打包……我再测测看哈

fukystone

原帖由 2012yangjining 于 2012-12-14 09:37 发表



兄弟你这 EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f
              EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windo ...

确实是有问题，我又修改了一下，请看首页。

fukystone

原帖由 66369 于 2012-12-14 12:18 发表
谢楼主指引.Win8PE搞定了.

不会在硬盘加第二个回收站了.PE下删除文件先给出提示.再删除.相对安全.

前面两句不需要的.

在REGDOC.CMD加两句.不显示回收站:

reg add "HKCU\Software\Microsoft\Windows ...

您的PE，19.11版，运行FBINSTTOOL有点问题，我看是缺文件。以后更新的话建议加一下，缺的2个文件我附在首页

fukystone

原帖由 zhuyoucheng 于 2012-12-15 09:47 发表
虽然修改了mountmgr.sys后MountPointManagerRemoteDatabase文件日期不改变，但是那个syscache的2个文件日期改了，经实机测试在PECMD加入EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemres ...

多谢反馈。我自己的System Volume Information 目录里没有Syscache文件，或许是win8特有的？如此看来注册表还是得改。

fukystone

原帖由 yidawpf 于 2012-12-15 22:18 发表
能否提供一个win8的修改的mountmgr.sys。

已经改好了，请看首页。
用您最新的那个PE测试成功。
另外我测试您用RECY命令，并不能禁止在各分区生成第2个回收站文件，你可以再看看。
改注册表是可以的。
此外既然禁用了回收站，建议加一句水老那个：
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /f /v "{645FF040-5081-101B-9F08-00AA002F954E}" /t REG_DWORD /d 1
把回收站图标从桌面删掉。

fukystone

没做过64位的pe……，等我下载那个看一下哈，关键是没什么环境测试……

fukystone

呵呵，很奇怪，64位的win8会要求数字签名，但是32位的却不要求。不知道是不是我测试的这个H3的64位win8pe有问题。你试试吧。
我测试要求数字签名的，但是进去后确实不写文件的。等我找找看有没有不检测数字签名的64位win8pe。
附件在第一页。
另外，如果显示错误，可以按回车回到启动界面，然后按F8，再连续按7次向下的箭头（就是选择关闭检测数字签名啦），然后按回车，就可以正常进入。---当然这么做就没什么实际意义了，只是表明你测试的pe是强制要求签名的……

fukystone

527104427 发表于 2013-7-3 11:10
改好之后启动时确实是不写回收站了，但有一点，点右键删除，RECYCLER马上回来了，不知道怎么解决？

权限没删除吧？
要把所有权限都删掉

fukystone

527104427 发表于 2013-7-3 12:16
这两个地方也改过了：

哦，pecmd.ini中你是不是没加RECY *:,0这句？
嗯，对不起，是我疏忽，nt5x并没有仔细测试，我的tangope中带有RECY *:,0这句，所以我以为回收站问题是解决的。刚才测试了一下，在pecmd中加这句就可以了。
关于system那个目录，确实在nt5x下无效，回头我改一下教程。
很久不用nt5x了，我在仔细测试下看看。
呵呵，这个有点误人子弟了，以后发帖我会注意多测试一下，不好意思。

fukystone

527104427 发表于 2013-7-3 12:33
加了的：

nt5x下应该是 recy *:,0
nt6x下是     recy *:\,0

fukystone

527104427 发表于 2013-7-3 19:03
刚刚测试，改成RECY *:,0也一样建立回收站

BTW:

这样啊，难道我那个tangope还改了其他地方？等我再看一下哈
不好意思，等我研究明白了再回复你

fukystone

527104427 发表于 2013-7-4 22:45
算了，不纠结了，就这样用吧，多谢你的教程，非常实用

仔细测试了下，nt5x的PE原本启动时就不会建立回收站文件的，只有在删除文件时才会在所在分区建立一个回收站的目录。跟踪注册表没发现有什么变动，暂时无解。好在不删除文件的话就不会写硬盘，所以改不改无所谓的。我在首页的内容有误导之嫌，已修改为仅适用NT6X的PE。
另外，卷信息目录的修改是正常的，该目录可以禁止写文件。附件是我修改的xp文件，方法一样的。

fukystone

527104427 发表于 2013-7-12 13:20
楼主可否帮忙改一个2003的？另外，可否共享一下楼主使用的PEditor？

我按上面的方法，将字符串\system ...

那个目录跟这个文件无关的，一般来说只要是ntfs的分区都有这个目录--而且在系统中是保护目录。
目前找不到哪个进程创建了这个目录。所以只要不往这个目录里写文件就可以了。
不生成那个database文件就好啦。

fukystone

527104427 发表于 2013-7-21 23:16
win8X64的mountmgr.sys改了就启动不了，用楼主的也一样，不能启动。

这种情况下，按回车，回到选择画面，当然你可能什么也看不到，然后连续按7次“向下的箭头”，再回车，就可以启动看效果了（具体看前面62楼）。
当然，没什么实际使用价值，呵呵。
64位对于内核和驱动要求很严，不但校验还要签名，现在找不到禁止签名的办法……

fukystone

527104427 发表于 2013-7-22 00:04
接下来的事情更神奇了，事先将虚拟机的回收站和System Volume Information删掉，再用没修改的mountmgr.sy ...

这几天改了个64位的8pe，测试回收站修改是没问题的，只要简单在注册表修改一下就可以完全禁止。
使用：REGI **16 HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ShellFolder\Attributes=@64 00 10 94
可以完全禁止回收站图标，不仅是桌面，包括资源管理器中的。
但是mountmgr确实是没办法的，签名怎么也绕不过去（即使在bcd中打开测试模式）。

fukystone

fukystone 发表于 2013-8-8 11:21
这几天改了个64位的8pe，测试回收站修改是没问题的，只要简单在注册表修改一下就可以完全禁止。
使用：R ...

按照教程修改就可以了。当然只是在PE中

fukystone

2012peter2 发表于 2013-9-8 13:17
楼主能提供修改好的03PE的mountmgr文件吗？

前几页中5大好像提供了一个啊，你找找