无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站广告联系 微信:wuyouceo QQ:184822951
查看: 38526|回复: 141

PE禁止回收站--修改注册表

    [复制链接]
发表于 2012-12-12 12:31:22 | 显示全部楼层 |阅读模式
本帖最后由 fukystone 于 2013-7-12 11:35 编辑

应坛友要求,做个简单教程,高手就请飘过吧

    先说明一下:
1、大多数PE在进入桌面后,会在硬盘建立回收站文件,类似$RECYCLE.BIN这样的文件。如果经常用PE,你会发现硬盘上会有2个“回收站”文件。
2、对于NTFS分区的硬盘,有一个System Volume Information目录,存储着ntfs的卷信息(包含一些链接、恢复文件、日志等内容),这个目录是NTFS卷的还原目录,不建议你动的。大多数PE在启动时也会向该目录写入一些信息,个人估计是PE读卷信息后的记录之类的,应该没什么大用。
    以上2点如果是平常使用的话,没什么大碍。但是如果在做数据恢复工作的话,我们希望PE启动时尽量不要对硬盘有写操作,以免误伤数据。
综上所述,通过修改注册表的方法可以避免PE对硬盘写入以上内容。以Win7PE举例(备注:以下办法为win7和win8 PE通用)

1、不对System Volume Information目录写入信息
pecmd.ini中尽量往前,加下面2句:
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f
当然也可以直接挂载PE中的注册表文件修改,效果一样的。
还需更改mountpointmanagerremotedatabase文件的管理,这个文件是mountmgr服务产生的。该服务是系统级的,用于windows启动时读取卷信息并分配盘符,还有一个FltMgr(FS Filter Manager)服务也可能用到mountpointmanagerremotedatabase,这个服务我理解在PE中的作用是挂载某些第三方驱动。很可惜,这2个服务我都不敢动,那就只好在mountpointmanagerremotedatabase上动脑筋,实际做起来倒是很简单:
用ULTRAEDIT打开windows\system32\drivers\mountmgr.sys文件,查找“61 00 74 00 61 00 62 00 61 00 73 00 65”,共2处。注意看右边,就是mountpointmanagerremotedatabase,把左边对应部分全部改成00。然后保存,用PEditor校验和,重新打包。这就搞定了。
QQ截图20121214212702.jpg
QQ截图20121214212758.jpg
QQ截图20121214222428.jpg
注意,仅仅为了不修改mountpointmanagerremotedatabase文件,就针对系统关键服务做修改,这种行为见仁见智--反正你要不做数据恢复的话我是不建议你改,以上仅做技术探讨。
附上修改的mountmgr文件(包括win7和win8PE),供参考。
2、不建立回收站文件
在注册表中挂载windows\system32\config\default文件,我挂成如下:
HKEY_LOCAL_MACHINE\w7_default\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket
右键选择权限,把你当前使用的用户如administrator添加为“完全控制”。
然后重新进入HKEY_LOCAL_MACHINE\w7_default\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket
把BitBucket项下的所有内容删掉
然后把该项的所有权限清空

挂载

挂载


QQ截图20121212144105.jpg

权限

权限

QQ截图20121212121155.jpg
当然,修改后在PE中删除文件就是真正的删除了,所以请慎重考虑。如果不是维护用PE,而是当做替代系统来用,不建议做以上修改。
天意兄提到,禁用回收站会造成直接删除,确实不太好。那么参照水老的办法,删除前加个确认吧,方法很简单:
在注册表中挂载windows\system32\config\default文件,我挂成如下:
HKEY_LOCAL_MACHINE\w7_default\Software\Microsoft\Windows\CurrentVersion\Explorer\
看右边的ShellState字段,将其中的37改为33(看附图容易明白)
效果也请看附图。删除时会有提示。
QQ截图20121215221559.jpg
QQ截图20121215221832.jpg


另附一个改好的win7PE,基于水老的19.11,可以看到全部效果。
嗯,说到水老的PE,再附2个文件(C_437.nls和C_20127.nls),用于在PE中使用FBINSTTOOL.EXE,水老原版的好像不行。建议水老也补一下。
百度网盘:http://pan.baidu.com/share/link?shareid=148247&uk=4211508820

[ 本帖最后由 fukystone 于 2012-12-25 17:49 编辑 ]

mountmgr.7z

34.86 KB, 下载次数: 189, 下载积分: 无忧币 -2

C_437.7z

1.31 KB, 下载次数: 104, 下载积分: 无忧币 -2

C_20127.7z

731 Bytes, 下载次数: 103, 下载积分: 无忧币 -2

mountmgr4win8.7z

36.09 KB, 下载次数: 177, 下载积分: 无忧币 -2

mountmgr4win864.7z

41.98 KB, 下载次数: 136, 下载积分: 无忧币 -2

评分

参与人数 9无忧币 +100 收起 理由
1400700226 + 5 03PE删除时仍会创建回收站是遗憾
不知 + 5 很给力!
zmac2007 + 5
zhxy9804 + 5 很给力!
527104427 + 5 很给力!
无垠 + 5 赞一个!
zhs509 + 10 精品文章
66369 + 50 原创内容.请继续...
2011YEH + 10 精品文章

查看全部评分

发表于 2012-12-12 13:04:26 | 显示全部楼层
BitBucket 这个 是xp 的 。。。 windows 7 是  BitLocker

楼主  你确定 吗? win7 我改了 BitBucket  还是无效! 还是一进pe就给我每个磁盘根创建回收站
BitBucket   与   BitLocker  不一样啊!xp 的不能拿来套用到win7
再说,xp一般都有BitBucket,  而win7 就找不到BitBucket ,只有个BitLocker

[ 本帖最后由 2012fan 于 2012-12-12 13:05 编辑 ]

点评

微信怎么截图wxgzpt.cc/weixinshiyongjiaocheng/387.html  发表于 2014-11-18 23:07
回复

使用道具 举报

发表于 2012-12-12 13:50:10 | 显示全部楼层
这个方法还是很不错的额支持楼主啦 。
回复

使用道具 举报

 楼主| 发表于 2012-12-12 14:08:13 | 显示全部楼层
原帖由 2012fan 于 2012-12-12 13:04 发表
BitBucket 这个 是xp 的 。。。 windows 7 是  BitLocker

楼主  你确定 吗? win7 我改了 BitBucket  还是无效! 还是一进pe就给我每个磁盘根创建回收站
BitBucket   与   BitLocker  不一样啊!xp 的不能拿 ...


http://bbs.wuyou.net/forum.php?mod=viewthread&tid=270370这里有我改的2个win7pe,你下载试试就知道了

评分

参与人数 1无忧币 +50 收起 理由
66369 + 50 原创内容

查看全部评分

回复

使用道具 举报

发表于 2012-12-12 14:11:42 | 显示全部楼层
原帖由 fukystone 于 2012-12-12 12:31 发表
应坛友要求,做个简单教程,高手就请飘过吧

先说明一下,大多数PE在进入桌面后,会在硬盘建立回收站文件,类似$RECYCLE.BIN这样的文件。如果经常用PE,你会发现硬盘上会有2个“回收站”。
对于NTFS分区的硬 ...


我这win8pe本身就有BitBucket项,但是在注册表中删除BitBucket下所有子项后,系统又会重新建立.问题是在注册表中怎么给BitBucket权限,不让系统在BitBucket下建立子项.
怎么给它 HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket  加权限


sshot-1.png
回复

使用道具 举报

 楼主| 发表于 2012-12-12 14:20:06 | 显示全部楼层
原帖由 2012yangjining 于 2012-12-12 14:11 发表


我这win8pe本身就有BitBucket项,但是在注册表中删除BitBucket下所有子项后,系统又会重新建立.问题是在注册表中怎么给BitBucket权限,不让系统在BitBucket下建立子项.
怎么给它 HKEY_USERS\S-1-5-18\Softwar ...



兄弟,win8我没试。不过关键不在这。开这个帖子就是为你。
看我帖子里的截图。
你不能在pe里修改。
你需要把pe的wim文件解开(用7-zip就行),然后按我上面写的挂载注册表文件。
回复

使用道具 举报

发表于 2012-12-12 15:20:33 | 显示全部楼层
原帖由 fukystone 于 2012-12-12 14:20 发表



兄弟,win8我没试。不过关键不在这。开这个帖子就是为你。
看我帖子里的截图。
你不能在pe里修改。
你需要把pe的wim文件解开(用7-zip就行),然后按我上面写的挂载注册表文件。


在注册表中挂载不了
回复

使用道具 举报

发表于 2012-12-12 15:25:04 | 显示全部楼层
原帖由 fukystone 于 2012-12-12 14:20 发表



兄弟,win8我没试。不过关键不在这。开这个帖子就是为你。
看我帖子里的截图。
你不能在pe里修改。
你需要把pe的wim文件解开(用7-zip就行),然后按我上面写的挂载注册表文件。

捕获q.JPG
回复

使用道具 举报

发表于 2012-12-12 15:28:18 | 显示全部楼层
禁止回收站的话,PECMD 有个RECY 命令
回复

使用道具 举报

 楼主| 发表于 2012-12-12 16:22:07 | 显示全部楼层
原帖由 2012yangjining 于 2012-12-12 15:25 发表

152559

F盘需要可写。挂载时会在同一目录下生成log文件。另外,要保证你的当前用户有管理员权限,最好就是administrator
回复

使用道具 举报

发表于 2012-12-12 17:37:52 | 显示全部楼层
原帖由 2012yangjining 于 2012-12-12 15:25 发表

152559


你这是要 卸载 吗? ( “上载” 意思就是 "卸载")
看图 是你不能卸载把~ 这是注册表的毛病 ,不知道MS 是不是故意的。。你关闭注册表再 重新打开 就能卸载了。试试看
回复

使用道具 举报

发表于 2012-12-12 17:46:38 | 显示全部楼层
原帖由 2012yangjining 于 2012-12-12 14:11 发表


我这win8pe本身就有BitBucket项,但是在注册表中删除BitBucket下所有子项后,系统又会重新建立.问题是在注册表中怎么给BitBucket权限,不让系统在BitBucket下建立子项.
怎么给它 HKEY_USERS\S-1-5-18\Softwar ...


BitBucket 只删除是没用的,因为删了登陆PE时也会重新建立,所以只要去掉所有权限即可。当然最好先要 把BitBucket下的子项全清空
回复

使用道具 举报

发表于 2012-12-12 18:21:15 | 显示全部楼层
原帖由 fukystone 于 2012-12-12 14:20 发表



兄弟,win8我没试。不过关键不在这。开这个帖子就是为你。
看我帖子里的截图。
你不能在pe里修改。
你需要把pe的wim文件解开(用7-zip就行),然后按我上面写的挂载注册表文件。


谢谢你了.你的方法虽然我操作不成功.但启发我找到另一种方法.用regini 限制注册表项权限 ,现己成功禁止向硬盘写回收站文件了.
回复

使用道具 举报

发表于 2012-12-13 10:30:34 | 显示全部楼层
好教程,WIN7PE在硬盘建立回收站终于完美解决了,但是那个向目录写入信息好像没有成功,看我的图片,前面是正常系统里System Volume Information目录的文件的时间,后面是启动WIN7PE里System Volume Information目录的文件里的时间,时间改变了,是不是代表重新写入了信息了呢?

[ 本帖最后由 zhuyoucheng 于 2012-12-13 10:32 编辑 ]
360截图20121213101211391.jpg
TT截图未命名.jpg
回复

使用道具 举报

发表于 2012-12-13 11:26:53 | 显示全部楼层

a

a
a.png
原帖由 zhuyoucheng 于 2012-12-13 10:30 发表
好教程,WIN7PE在硬盘建立回收站终于完美解决了,但是那个向目录写入信息好像没有成功,看我的图片,前面是正常系统里System Volume Information目录的文件的时间,后面是启动WIN7PE里System Volume Informatio ...



我这也是这样,禁止了写回收站,但还是修改了c盘svi目录文件
回复

使用道具 举报

发表于 2012-12-13 14:08:58 | 显示全部楼层
原帖由 andos 于 2012-12-12 15:28 发表
禁止回收站的话,PECMD 有个RECY 命令

这个命令不是禁止建立回收站的吧?看说明是删除文件不会进回收站。改注册表是可行的,我的PE改好了。
回复

使用道具 举报

发表于 2012-12-13 14:10:46 | 显示全部楼层
楼主的不建立回收站的方法是有效的。Win7PE试验成功。

[ 本帖最后由 eyinhe 于 2012-12-13 14:15 编辑 ]
回复

使用道具 举报

发表于 2012-12-13 14:43:27 | 显示全部楼层
原帖由 2012yangjining 于 2012-12-12 18:21 发表


谢谢你了.你的方法虽然我操作不成功.但启发我找到另一种方法.用regini 限制注册表项权限 ,现己成功禁止向硬盘写回收站文件了.

请问,regini 又应该怎样写?
回复

使用道具 举报

发表于 2012-12-13 14:44:35 | 显示全部楼层
原帖由 eyinhe 于 2012-12-13 14:08 发表

这个命令不是禁止建立回收站的吧?看说明是删除文件不会进回收站。改注册表是可行的,我的PE改好了。

原来是没禁止功能的啊...还以为有呢
看来我搞错了
回复

使用道具 举报

 楼主| 发表于 2012-12-13 16:43:12 | 显示全部楼层
原帖由 zhuyoucheng 于 2012-12-13 10:30 发表
好教程,WIN7PE在硬盘建立回收站终于完美解决了,但是那个向目录写入信息好像没有成功,看我的图片,前面是正常系统里System Volume Information目录的文件的时间,后面是启动WIN7PE里System Volume Informatio ...



这个我是测试过的。
首先,那2句reg需要在pecmd.ini中尽量靠前,前面不要有其他语句。
其次,请参考http://bbs.wuyou.net/forum.php?mod=viewthread&tid=270370这里的2个win7PE中pecmd.ini。
附图是在水老的19.16基础上改的。
QQ截图20121213163934.jpg
回复

使用道具 举报

发表于 2012-12-13 16:58:27 | 显示全部楼层
原帖由 andos 于 2012-12-13 14:43 发表

请问,regini 又应该怎样写?



1.在pe的system32目录下加入与你pe同版本的regini.exe文件
2.在相同目录下建立 regini.ini 文件.内容为:  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket[2 8 19]
3.在cmd文件中加入:
reg delete "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume" /f
regini.exe regini.ini
两条命令.

win7pe,win8pe 都测试可行

[ 本帖最后由 2012yangjining 于 2012-12-13 17:03 编辑 ]

点评

您的方法在03PE下也可以用吗?  详情 回复 发表于 2013-9-8 14:25
回复

使用道具 举报

发表于 2012-12-13 17:00:05 | 显示全部楼层

回复 #20 fukystone 的帖子

C盘是没有问题。你找个有d盘的看看。d盘还是被修改了。
回复

使用道具 举报

 楼主| 发表于 2012-12-13 17:12:25 | 显示全部楼层
原帖由 yidawpf 于 2012-12-13 17:00 发表
C盘是没有问题。你找个有d盘的看看。d盘还是被修改了。



老大,D盘我也试过的啊……
QQ截图20121213171128.jpg
回复

使用道具 举报

发表于 2012-12-13 17:17:04 | 显示全部楼层
2.jpg
注册表已经加进去了

1.jpg
c盘没有改

7.jpg
d盘却被修改了
回复

使用道具 举报

发表于 2012-12-13 18:10:25 | 显示全部楼层
原帖由 2012yangjining 于 2012-12-13 16:58 发表



1.在pe的system32目录下加入与你pe同版本的regini.exe文件
2.在相同目录下建立 regini.ini 文件.内容为:  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket[2 8 19]
...

用了这个,是否就不需要再用PECMD的RECY命令了?(RECY命令是用作删除文件不会进回收站)
回复

使用道具 举报

发表于 2012-12-13 18:11:55 | 显示全部楼层

回复 #25 andos 的帖子

好像用recy命令可以禁止启动时写入回收站。但是pe下删除文件还是可以到回收站。
回复

使用道具 举报

发表于 2012-12-13 18:12:35 | 显示全部楼层

回复 #23 fukystone 的帖子

奇怪,实机测试没有问题。
虚拟机测试有写入。
回复

使用道具 举报

发表于 2012-12-13 18:22:07 | 显示全部楼层
原帖由 yidawpf 于 2012-12-13 18:11 发表
好像用recy命令可以禁止启动时写入回收站。但是pe下删除文件还是可以到回收站。

RECY 功能是 当数值为0时表示禁用指定分区的回收筒功能,被删除的档案将不会移到回收筒中

也就是直接删除文件的意思吧

而禁止回收站 是不是连带直接删除文件的意思呢?!
回复

使用道具 举报

发表于 2012-12-13 18:28:20 | 显示全部楼层
原帖由 yidawpf 于 2012-12-13 18:12 发表
奇怪,实机测试没有问题。
虚拟机测试有写入。

试试加多一个HKEY_CURRENT_USER的值
regini.ini:
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket[2 8 19]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket[2 8 19]


reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume" /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume" /f
regini.exe regini.ini

[ 本帖最后由 andos 于 2012-12-13 18:32 编辑 ]
回复

使用道具 举报

发表于 2012-12-13 18:38:05 | 显示全部楼层
原帖由 andos 于 2012-12-13 18:10 发表

用了这个,是否就不需要再用PECMD的RECY命令了?(RECY命令是用作删除文件不会进回收站)



还要用这个设置回收站的值.它们两个作用不同
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-3-29 09:06

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表