[原创]可在PE直接运行的杀毒WIM映像：卡巴、江民、大蜘蛛、ESET、小红伞（12月21日）

hxj

原帖由 nn2nn 于 2009-4-1 16:12 发表
WIMNT是最大程度支持WIMTOOL的启动设置的。

只要有WINCMD.exe与WIMNT同一目录，用来解释老九的INI文件。


（WIMNT不支持WIMTOOL的命令队列，{WIMTOOL新版本功能}）

希望WimNT能有以下改进对制作能自动运行的WIM映像来说将是非常完美的：

1. 卸载映像除能清除文件外也能删除目录
2. 能插入个性化图标
3. 增加后台运行的命令,如制作映像的命令（挂载和卸载已有了独缺制作的命令），写入个性化设置的命令。

hxj

为什么我提出增加后台制作WIM映像和写入“个性化设置”的命令，因为杀毒WIM需要更新病毒库尤其是自动更新而不是手动更新。况且随着WIM映像的普及，会有更多的软件使用WIM映像的，而如何自动更新WIM映像中的软件必然会有不少人提出要求的。好像听说新驱动的WimTool有自动保存目标目录中更新过的文件到原始的WIM中的功能。
从安全角度考虑没有制作映像修改WIM的命令当然可以理解的，但没有一个软件是绝对安全的，也许会有人制造出能修改WIM映像的病毒的。可以为制作修改WIM映像增设一个密码保护也许是可行的方案。

hxj

原帖由 oppo 于 2009-4-1 18:02 发表
为什么ESET不用4.0.314的？？

ESET4.0.417也出来了，准备用最新的试试制作一个。

hxj

原帖由 yigeren 于 2009-4-2 00:00 发表
楼主的杀毒软件没一个偶能用.....汗下先

可能是你用的PE系统没有安装WIM工具（WimNT和WimTool），或安装了但没有关联注册好。

hxj

ESET更新到4.0.417最新版（病毒库为4月2日）

hxj

更新了病毒库，增加驱逐舰5.0

hxj

原帖由 tkun520 于 2009-4-7 00:26 发表
eset 在几个PE里面都没有扫描功能
AVP2009 大蜘蛛 测试可用

不知你用的是什么PE
我测试　hhh333、我心如水、天意、OPE等PE都能扫描的（自定义扫描中可选择扫描目录）

如不能可能是因为PE系统目录中缺少某些dll文件

hxj

原帖由 lxl1638 于 2009-4-7 00:28 发表


瑞星2009在正常系统和PE中也没有扫描功能。

瑞星杀毒，除开启服务，注册表正确外，还需要用户目录中配置文件的正确，否则即使能启动也不能激活扫描病毒的。
所以批处理、注册表中的途径以及patch中文件解压途径是瑞星能否正常启动使用的关键。另外还需要VC库的支持。总之，瑞星要正常启动并能激活扫描是个比较复杂的问题，稍有不慎就无法启动使用。

在PE与正常系统中因为系统和用户目录不同，所以用的注册表和patch文件是不一样的。通用的绿色版杀毒软件在批处理上加入了判断处理。
而瑞星WIM映是像针对PE设计的。

我用笨办法制作的瑞星WIM目前在WimNT中肯定能正常运行扫描病毒的，WimTool中还是没成功（包括最新的28F的WimTool也试过），总感觉好像是与挂载时虚拟内存不足有关，也许瑞星启动时占用内存与WimTool挂载占用内存有冲突造成的。

hxj

原帖由 lxl1638 于 2009-4-7 11:50 发表


本人不用 WimTool 测试的，直接用微软的 ImageX 挂到 Win2003 系统中C:\Rising 目录，再双击 Rav 目录中的 Rising.EXE ，界面是启动了，但扫描功能不能用。
如果说 PE 的文件和注册表不全可以理解，但这是 ...

可能与用2003系统测试有关，因为注册表和patch中的瑞星配置文件是从WinXP或VISTA系统中得到的，不一定适用于2003,我没在2003中测试过。可能需要自己重新设计制作才能用。

[ 本帖最后由 hxj 于 2009-4-7 12:12 编辑 ]

hxj

原帖由 tkun520 于 2009-4-7 10:06 发表

5831458315

也许是与你合盘有关，具体原因一时很难分析。请检查一下此时硬盘各分区能否正常分配盘符。

绿色杀毒软件要在PE中能正常运行并非常一件很简单的事，有时是非常复杂的，需要增加系统中dll文件，开启必要的服务，加入VC库支持，修改注册表，尤其是序列号在PE中的信息与正常系统不一样的（如卡巴KEY所生成的注册信息），需要在PE环境中实际注册得到。

下图显示的是我用hhh333的4月5日的PE中启动ESET能够进行扫描的情况：


[ 本帖最后由 hxj 于 2009-4-7 15:07 编辑 ]

hxj

4月08日：增加 小红伞 9.0 中文版　(病毒库为4月7日）卡巴7.0 (病毒库4月8日)

hxj

原帖由 oym2007 于 2009-4-9 14:25 发表
大蜘蛛5.0 可写挂接 升级后 保存 ，下次挂接就不能用了？？？

这可能是因为保存时无法保存WIM中原来的“个性化设置”造成的，只有重新设置才能启动。

这是目前WIM工具中还存在的不足，希望WIMNT和WIMTool作者能改进解决此问题。

否则杀毒WIM在线更新是个空架子（只适合即时使用），只能用离线升级更新后重新制作WIM才能更新病毒库。目前最好的解决办法是更新U盘病毒库，启动杀毒时会自动从U盘读取载入最新病毒库的。

[ 本帖最后由 hxj 于 2009-4-9 15:38 编辑 ]

hxj

原帖由 lxl1638 于 2009-4-9 18:07 发表
本人手头上有个大蜘蛛5.0的WIM，支持更新，更新后也可以使用，本人更新了两次都可使用，现在已经有19MB了(没有更新前是17MB多)。
本人刚更新完，已上传到 纵横逍遥的FTP，本人ID目录，文件名为"DRWEB5.0.WIM"， ...

下载测试结果报告一下：

因为测试的PE的外置目录中WimTool目录中没有mountpath目录，所以在安装有WimTool　28F的PE中没能直接启动，

修改挂载目录为C:\DrWeb后就能运行了。

在线更新没问题，但不知道怎样才能把更新后的文件保存到原来的DRWEB5.0.WIM中。

根据设置，退出杀毒软件后应当卸载映像，删除文件和目录，同时卸载保存更改的，但原始映像（在U盘中）并没有变化。重新运行还是旧的病毒库。

发现退出杀毒软件后目标映像文件没能自动删除，用WimTool　手动双击卸载成功，但仍无法保存更新到原始的WIM中。

[ 本帖最后由 hxj 于 2009-4-9 23:54 编辑 ]

hxj

drwtoday.vdb 肯定是更新了，你的是16:54，我在VISTA中更新绿色版已是23:00，且文件大小大多了。我在PE中用你的在线更新时也肯定此文件已更新的，但没保存成功。

[ 本帖最后由 hxj 于 2009-4-10 00:01 编辑 ]

hxj

是在安装WimTool-V1.09.03.28F的PE中运行的，WIM文件在2G的USB2的U盘中（电脑支持USB2）。测试是在VMware虚拟机（内存设置1G）中进行的，WIM在U盘应当是在可写的位置。

测试时没能自动删除目录，也没有保存更新到WIM中，是否是与测试用的PE中的X盘的可用空间大小有关？

[ 本帖最后由 hxj 于 2009-4-10 07:21 编辑 ]

hxj

原帖由 zhhsh 于 2009-4-12 16:31 发表
请ＬＺ顺便制作McAfee的WIM包吧！

McAfee ?

正常全功能的McAfee很难制作，至今网上很少有绿色版问世，我也试过，太难了需要的进程服务太多了。

不过CMD扫描版到是很方便的，但引擎太老，杀毒效果也不佳，所以没再继续制作。

hxj

病毒库全部更新到4月11日，修正了不能删除目录问题，支持能在线更新的杀毒软件在PE中保存更新到WIM，但需要PE用最新的4月9日的WImNT。

感谢nn2nn 最近专门定制的4月9日的WimNT增加了对删除目录和更新WIM文件的新功能

在 我 心如水 的帮助下已上传到无忧zhxy9804 (纵横逍遥)FTP服务器hxj目录中

[ 本帖最后由 hxj 于 2009-4-12 21:01 编辑 ]

hxj

原帖由 lxl1638 于 2009-4-10 13:28 发表
1、你检查一下 WimShExt.DLL 的版本号，是不是1.09.03.28F版？
2、启动那个WIM后先不要关闭，再启动WimTool，看看是不是可写挂载？
3、看看U盘中那个WIM文件是不是只读属性。
4、或者将那个WIM文件复制到硬盘 ...

不好意思，忙于更新和测试WimNT的新功能，没及时继续测试DrWeb5.0.WIM。
今天重新检查发现我使用的PE虽然WimTool换成1.09.03.28F版的，但PE核心中的 WimShExt.DLL 仍然是1.09.03.28版的。重新更换PE核心中的WimShExt.DLL 后退出后更新原始WIM成功了，重新启动后是更新过的了，退出后目录删除了！说明你的WimTool新版本在使用WimShExt.DLL 驱动的PE中能够顺利保存更新到WIM了！

另外还测试了用最新WimNT制作的DrWeb.WIM,再用WimTool加入设置后，在PE中无论是在WimNT还是在WimTool中都能成功保存更新到WIM中了，不过前者有是否保存的提示，有利于没更新时退出不进行修改WIM。

[ 本帖最后由 hxj 于 2009-4-14 12:12 编辑 ]

hxj

全部更新到4月17日病毒库

hxj

原帖由 zhhsh 于 2009-4-19 12:11 发表
江民用离线升级包就可以更新病毒库，下载地址：http://filedown.jiangmin.com/download/kv2009_lxb/kvinstall.exe，升级前注册江民相关文件（如注册表），升级后重新运行江民杀毒软件，请楼主为它编写在线升级批 ...

可惜此更新升级包不是及时的，刚才去下载发现是4月13日的。长枫论坛的更新包是当天及时更新的，现在已有19日的更新包了。不过现在有防盗链，无法直接编写批处理下载自动更新了！可在PE中手动下载更新包，更新C:\JiangMin目录中的病毒库后，退出江民自动保存到WIM中（需要修改WIM的设置才支持保存更新）

下一步是应当考虑设计一种比较可靠易行的更新WIM映像的方案，毕竟这些杀毒软件都是精简过的绿色杀毒软件，在线更新有困难（有的不支持、有的会下载精简掉的不需要的文件、有的病毒库位置与原来不一样无法正确保存到WIM中、有的KEY因使用人多会很快被封掉）。准备利用长枫的病毒库，在PE中能在运行杀毒软件后更新目标目录中的病毒库，退出时自动保存到WIM映像中。

[ 本帖最后由 hxj 于 2009-4-19 15:47 编辑 ]

hxj

原帖由 dalizixiaorenwu 于 2009-4-19 14:11 发表
怎么用啊 ？？？？？？能不能给个简单的啊 ？？？？直接放到U盘就能用的

直接放任意位置（硬盘、U盘、移动硬盘，但光盘不可写不行）直接运行。

前提是PE安装了最新的WimNT或WimTool。在WinXP和VISTA系统中只要安装了上述WIM工具，应当也能运行的。

hxj

全部更新到4月24日

hxj

原帖由 canmao 于 2009-4-26 09:26 发表
24日更新，0pe下启动时：
59987

我测试虽然有同样的错误提示，但随后江民还是能正常启动并能查杀病毒的。

可能原因是OPE（OpwZIP扩展版二合一090331)中虚拟内存默认设置太小造成的（因为启动江民时有虚拟内存不足的提示）

建议杀毒前，在“G盘工具”－“系统工具”中重新设置虚拟内存的盘符和大小），不过测试发现此PE无法重新设置虚拟内存。

当然也有可能是此PE系统中缺少什么造成无法注册engsafe.dll文件的。

hxj

原帖由 canmao 于 2009-4-26 13:36 发表
我的090331版可以设置虚拟内存，设置到本地C、D盘均没有问题；设完后首次启动kv，不再提示虚拟内存不足，但仍会出现加载engface.dll 出错。好像在准PE、我水的PE下也有这种状况；但查杀病毒没问题。

（我发现 ...

OPE090331可以设置虚拟内存吗，我的只能设置无法保存，重新设置发现仍然是默认的E盘。

我手动注册Engface.dll还是提示无法找到模块，可能与PE核心中缺少什么文件有关。但在我测试用的长枫三剑客PE中不会出现。

金山因为文件较大（挂载目录有100多M）杀毒时退出估计还是与虚拟内存不足有关，因为目前PE设置的虚拟内存都设置在RAM盘中，大小也都有限，所以建议杀毒前重新设置虚拟内存到硬盘。
我将挂载目录设置到C盘（而不是X盘）也是出于杀毒时不之于因虚拟内存空间不足而造成杀毒失败退出程序。

hxj

更新到５月１日病毒库

hxj

驱逐舰和NOD32（v2.7)体积都很小，但杀毒效果不是太好，集成PE中使用还可以，但放在U盘中使用体积大些无所谓，还是选用杀毒效果比它们好的DrWeb和ESET-NOD32-AV比较好。

hxj

病毒库更新到5月8日

hxj

原帖由 lbz198 于 2009-5-9 17:32 发表
楼主辛苦了，这么多一次更新不容易。请问楼主：在你的长枫下载站为何找不到这样的WIM文件下载？要如何找？请指点。

卡巴09、江民09、大蜘蛛5.0、ESET4.0、小红伞、金山09、瑞星09 等 WIM 映像)(5月8日)
http://bbs.cf91.com/read.php?tid=19244&fpage=2

hxj

原帖由 xxm710226 于 2009-5-14 15:55 发表
卡巴不能用了，怎么回事啊？

卡巴KEY被封了，请等今天晚上重新更新时再更换KEY。

hxj

今天下的两个卡巴也许是我已更换KEY的，或者你没在线所以仍能扫描也没有提示KEY已列入黑名单。

瑞星无法扫描可能与虚拟内存设置太小有关，比如在虚拟机中测试时虚拟机内存设置在256M以下，或你的电脑内存太小，请试试将PE的虚拟内存设置到硬盘（默认是X盘可用空间太小）后再扫描，另外杀毒时尽量不要运行其它程序尤其是开启IE，这有时往往会使杀毒扫描时因虚拟内存不足而退出杀毒。

另外瑞星暂时不支持WimTool只支持WimNT（帖中有提到的）

[ 本帖最后由 hxj 于 2009-5-15 21:19 编辑 ]