无忧启动论坛

标题: 有没不写盘的PE,需要数据恢复 [打印本页]

作者: secowu    时间: 2016-12-5 09:44
标题: 有没不写盘的PE,需要数据恢复
印象中66366好像有一个,但找不着是不是不写盘了。
测试了好多PE都会写盘,这个对于数据恢复真的不是很好。
一是写pepage.sys
一是创建各个分区的回收站
作者: 不知    时间: 2016-12-5 12:02
本帖最后由 不知 于 2016-12-5 16:20 编辑

找一个没有explorer.exe的PE,因为有的PE的explorer.exe要写desktop.ini。
微软自身的boot.wim就行,把数据恢复软件加入BOOT.wim,然后再winpeshl.ini中加入启动项即可。
至于pagefile.sys,只要没设置就不会写,这个可以在PECMD.ini看到。
作者: 红毛樱木    时间: 2016-12-5 12:06
试试最新usm,所有都做了处理,具体看日志。
另外虚拟内存在物理内存小于2g的时候会创建
作者: zhm_email    时间: 2016-12-5 15:07
本坛搜禁用回收站及那个啥info目录,根据此自己加入了彻底禁用回收站及info目录功能,也简单。改改注册表就行,真期望这个能作为pe的一个标准固定。
作者: 红毛樱木    时间: 2016-12-5 16:56
zhm_email 发表于 2016-12-5 15:07
本坛搜禁用回收站及那个啥info目录,根据此自己加入了彻底禁用回收站及info目录功能,也简单。改改注册表就 ...

x64没那么容易,内核驱动改了之后要重新签名
作者: 求道者    时间: 2016-12-5 22:18
某些linux发行版?
作者: buger    时间: 2016-12-6 10:23
本帖最后由 buger 于 2016-12-6 12:14 编辑

这个当年研究win7PE的时候折腾过,来源是国外的司法取证工具FE Winodws Forensic Environment,就是法律取证用的。搜了一下,主要是这个注册表system离线添加
REG ADD HKLM\WinFe\ControlSet001\Services\MountMgr /v NoAutoMount /t REG_DWORD /d 1 /f
REG ADD HKLM\WinFe\ControlSet001\Services\partmgr\Parameters /v SanPolicy /t REG_DWORD /d 4 /f
REG ADD HKLM\WinFe\ControlSet001\Control\FileSystem /v DisableDeleteNotification /t REG_DWORD /d 1 /f
PE启动后使用diskpart mount 只读挂载磁盘,只会修改4个字节的已有文件系统类型记录,不会创建任何文件。
测试表明,在只读模式中安装一个卷将在磁盘上写一个控制代码,而安装在只读模式中的磁盘将不会有任何变化。根据文件系统类型有与记录的4字节改为非用户创建的数据磁盘的一个潜在的修改。
还有 services\volmgrx services\volmgr 这两个服务,start类型改为4也就是禁用,可以禁止连接U盘等扩展磁盘。

资料来源
http://www.forensicswiki.org/wiki/WinFE
http://brettshavers.cc/index.php ... protect-application
http://www.ramsdens.org.uk/
后面这个网站可以下载到FE_Lite.zip,内有一个WProtect.exe,pe启动时用WProtect.exe -i 最先加载可以防止写磁盘。

winfe2.jpg (120.21 KB, 下载次数: 74)

winfe2.jpg

作者: zhm_email    时间: 2016-12-6 13:56
本帖最后由 zhm_email 于 2016-12-6 14:02 编辑
buger 发表于 2016-12-6 10:23
这个当年研究win7PE的时候折腾过,来源是国外的司法取证工具FE Winodws Forensic Environment,就是法律取 ...


ls真专业。我就是看了个皮毛,改改而已,没有深入研究,却是这个功能很实用,网上试用别人的pe,多次之后能看到回收站内一大堆新建回收站目录,用了禁用回收站功能后,甚至完全把回收站干掉,再也没有了回收站,包括常用系统我都加入了禁止回收站功能,贴上我的注册表,权限修改只能动手改了,最好离线做这些,期望能帮助别人,当然我的这个不全的。专业的再给予深化,
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore]
"DisableSR"=dword:00000001
"DisableConfig"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore]
"DisableSR"=dword:00000001
"DisableConfig"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{645FF040-5081-101B-9F08-00AA002F954E}"=dword:00000001
"DefaultApplied"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{645FF040-5081-101B-9F08-00AA002F954E}"=dword:00000001
"DefaultApplied"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]
禁止System Volume Information和回收站.rar (536 Bytes, 下载次数: 20)
作者: foxfirefox    时间: 2016-12-9 19:43
楼上两位的方法在x64的Win10上没有效果。
总是会建立回收站。。。




欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) Powered by Discuz! X3.3