[原创]可在PE直接运行的杀毒WIM映像：卡巴、江民、大蜘蛛、ESET、小红伞（12月21日）

lxl1638

原帖由 hxj 于 2009-3-16 15:39 发表
请问大家，PE中目前集成WIMNT的多还是集成WIMTOOL的多？（我原来用WimTool现在又改用WimNT了）

制作能自动运行的WIM包究竟能否做到在集成这二种工具的PE中都能正常运行而不会打开工具窗口？

晚上本人将集成"大蜘蛛.WIM"的PE作为WimTool的演示版WinPE上传给大家体验一下：
WimTool如何无进程实现"要用才挂、用完就卸，卸掉就删"的功能。

这个PE是从论坛下来的，已安装了 WimMount.SYS 驱动，这个PE是谁的，本人不必再说了，论坛目前唯一集成 WimMount 驱动的PE；
"大蜘蛛.WIM"也是从论坛下的，本人也改了一下，删了几个好象无用的文件，将"扫描引擎"改到了与"大蜘蛛"主程序下的子目录中，原版的"扫描引擎"是在"程序"目录下的，没有彻底"绿化"。

[ 本帖最后由 lxl1638 于 2009-3-16 17:10 编辑 ]

lxl1638

原帖由 yidawpf 于 2009-3-16 17:12 发表

我还是坚定的用wimtool。但是觉得现在许多wim文件好像是针对wimnt.exe来。
比如这个大蜘蛛我今天在pe下使用就出问题了（pe用的wimtool）。

看看晚上11点以后能否上传，今天还有值班，要11点以后才有空。
一个很简单的PE，主要目的是演示WIM在WimTool管理下的效果。
"外壳图标扩展功能、外壳菜单扩展功能和外壳执行扩展功能"，这些都是在Wimdows资源管理器中扩展出来的，所以无需第三方工具，可以无进程启动WIM。

lxl1638

原帖由 hxj 于 2009-3-16 17:32 发表
老大，大蜘蛛绿色版我试过将引擎放在主目录中，但在线更新时好像会出问题的，所以只能用默认的途径解压引擎文件。不知你修改的能否在线更新？也许是我当时没测试好，我再试试修改一下。

既然是WIM包，会使用WIM的人应该能自己更新，不会使用的人更新了也没有用，因为他不会更新WIM。

lxl1638

原帖由 hxj 于 2009-3-17 07:53 发表
我将用WimNT制作的这几个杀毒WIM包，在安装WimTool的PE中，只要重新用WimTool的“册卷和信息”中“修改映像信息”，加入“目标挂载目录”和“挂载之后执行”就能正常运行了，不必修改WIM包中的文件和运行批处理 ...

WimTool 早(去年３月份)就支持这样的功能了：
在"卸载之前执行"填入你要执行的批处理，若要隐藏执行批处理就加上前导符"!"，如：
!XXX.CMD

lxl1638

原帖由 hxj 于 2009-3-21 00:31 发表

制作经验在顶楼帖中大概提到了，再叙述一次：

对准杀毒软件目录（必须是绿色的运行其中批处理就能运行的）用右键菜单中“用WIMNT制作WIM文件”－》”制作”

对准制作好的WIM文件右键菜单中“发送到WIMN ...

初步发现，用新版 WimMount.SYS 驱动时，如果双击大块头的 WIM 文件(如那个金山)，WIMNT 也不能打开。

楼主使用的是旧版的 WimFltr.SYS 驱动吧？

lxl1638

原帖由 hxj 于 2009-3-21 09:09 发表
是用 WimFltr.SYS ，而新的WimMount.SYS下载了，但还 没测试过。

用 WimFltr.SYS 可以很快挂上文件，用 WimMount.SYS 挂一个大块头的 WIM 要很长时间，目前 WIMNT 也无法启动那个大块头的"金山.WIM"，晚上打算更新 WimTool.EXE ，可以在 WimFltr.SYS 和 WimMount.SYS 打开那些大块头的 WIM。

lxl1638

原帖由 hxj 于 2009-3-21 11:56 发表


我测试金山能在集成WimNT的PE中（如hhh333、我心如水）能打开运行的，似乎不一定是块头大原因，会否与杀毒软件启动占用内存或启动开启服务用PECMD的命令不被WimTool支持有关？同样瑞星也用到pecmd serv 命令 ...

不，你还没有全面测试，当然 WimTool 还有待完善。

象"金山.WIM"这样大块头的WIM，如果用 WimMount.SYS 驱动的话一样打不开。
更不用说接管打开的进程、自动卸载WIM、自动清除目录了。

lxl1638

原帖由 hxj 于 2009-3-24 10:46 发表

老九新版WIMTOOL.EXE我还没成功制作过，最近系统有问题没时间研究。

我做的WIM是在旧版WimTool中能打开的，而且主要是用WimNT制作（再用WimTool修改的），应当对WimNT支持较好

长枫的几个杀毒工具都是通过一个很小的CMD2EXE来初始化的(双击这些WIM，可以在任务管理器中看到CMD.EXE进程，且一直驻留到结束，如果启动几个这样的WIM，任务管理器中就有几个CMD.EXE)，这些EXE就是用本人的CMD2EXE做出来的，启动时在 %temp% 中有它的源码(要启动一个CMD.EXE，在CMD.EXE窗口中才能找到，资源管理器中看不到 %Temp% 中的这些批处理的)，好几个杀毒工具的病毒库都设置在C:或U盘，可以按实际需要设置到其它位置。

另，这几个“杀毒.WIM”也是针对 WIMNT 制作的，在这些CMD中调用了WIMNT的环境设置，这些环境设置不适用于WimTool，有些WIM不能用WimTool启动正是这个原因。

[ 本帖最后由 lxl1638 于 2009-3-24 17:31 编辑 ]

lxl1638

不要在 TFP 中建立目录，直接上传文件就可以的。

lxl1638

原帖由 hxj 于 2009-3-29 15:04 发表

email收到了，谢谢提供的批处理，有空我会研究改进我的杀毒WIM的。

建议初始化、启动主程序的 CMD 批处理不要转成 EXE ，或者在长枫和无忧提供这些 CMD 的源码给大家YY，
可以在帖子里设置一下权限，让无忧、长枫的用户才能看到，这样别从YY就容易些了。

lxl1638

原帖由 tkun520 于 2009-4-7 00:26 发表
eset 在几个PE里面都没有扫描功能
AVP2009 大蜘蛛 测试可用

瑞星2009在正常系统和PE中也没有扫描功能。

lxl1638

原帖由 hxj 于 2009-4-7 02:28 发表

瑞星杀毒，除开启服务，注册表正确外，还需要用户目录中配置文件的正确，否则即使能启动也不能激活扫描病毒的。
所以批处理、注册表中的途径以及patch中文件解压途径是瑞星能否正常启动使用的关键。另外还需 ...

本人不用 WimTool 测试的，直接用微软的 ImageX 挂到 Win2003 系统中C:\Rising 目录，再双击 Rav 目录中的 Rising.EXE ，界面是启动了，但扫描功能不能用。
如果说 PE 的文件和注册表不全可以理解，但这是硬盘正常系统啊，也不是用 WimTool 挂载的。

lxl1638

本人手头上有个大蜘蛛5.0的WIM，支持更新，更新后也可以使用，本人更新了两次都可使用，现在已经有19MB了(没有更新前是17MB多)。
本人刚更新完，已上传到 纵横逍遥的FTP，本人ID目录，文件名为"DRWEB5.0.WIM"，这个WIM是用WimTool设置的，如果想支持更新，必须把它放到硬盘或速度好的U盘中使用(不能放到量产的U盘分区中)，如果是使用WimMount驱动，必须把目录挂载目录设置到NTFS分区中，这个目录本人还没有设置，你可以设置到其它目录，默认挂载到WimTool的MountPath目录下，如果WimTool不在可写空间(如光盘)，这个目录必须设置。

[ 本帖最后由 lxl1638 于 2009-4-9 18:15 编辑 ]

lxl1638

原帖由 hxj 于 2009-4-9 23:38 发表


下载测试结果报告一下：

因为测试的PE的外置目录中WimTool目录中没有mountpath目录，所以在安装有WimTool　28F的PE中没能直接启动，

修改挂载目录为C:\DrWeb后就能运行了。

在线更新没问题，但不知 ...

这个WIM是本人今天下午刚更新完的，你今天再更新还是原来的病毒库，这很正常，因为你再在今天更新也没有更新的病毒库了。
你过几天再更新试试。
另从图中你可以看到，第一个病毒库drwtoday.vdb就显示是今天下午16:54分更新的。

[ 本帖最后由 lxl1638 于 2009-4-9 23:52 编辑 ]

lxl1638

这个WIM要用WimTool才支持更新WIM，可能WIMNT马上也会支持这样的功能，
你有没有安装WimTool？这个WIM文件放在哪里？如果是速度慢的U盘也可能更新不成功。
另外，WIM一定要在可写位置才能更新的。

lxl1638

1、你检查一下 WimShExt.DLL 的版本号，是不是1.09.03.28F版？
2、启动那个WIM后先不要关闭，再启动WimTool，看看是不是可写挂载？
3、看看U盘中那个WIM文件是不是只读属性。
4、或者将那个WIM文件复制到硬盘上再双击试试。