无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站广告联系 微信:wuyouceo QQ:184822951
查看: 9009|回复: 11
打印 上一主题 下一主题

[原创] wes7x64通用ramos-克隆附体改造

[复制链接]
跳转到指定楼层
1#
发表于 2013-5-21 21:31:37 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 2012wuzhong 于 2013-5-21 22:26 编辑

通用ramos来自于11ydy,http://bbs.wuyou.net/forum.php?mod=viewthread&tid=273255
原理参考:基于primo克隆附体win7-ramos,http://bbs.wuyou.net/forum.php?mod=viewthread&tid=307900
wes7x64通用ramos-克隆附体改造.7z,http://pan.baidu.com/share/link?shareid=651720&uk=1126095979

关键步骤:
1、配置两个内存盘:
primo内存盘://io模式,盘符为"b",已共享一个3g大小智能镜像文件:wes7x64.vdf
├─init
│   │userinit.bat //最终用以取代"\windows\system32\userinit.exe"
└─c_junc  //该目录将虚拟成"C",用于覆盖系统盘
          ├─ProgramData                      ╮
          ├─users                                   │
          ├─Program Files                        > 5大目录从wim文件中解出拷贝到此,建议ntfs压缩,节约内存空间
          ├─Program Files (x86)             │
          ├─win[windows需要改名]        ╯          <-------┐
          ├─temp[junction到"x:\temp"]                          ┆最终指向
          ├─c_win[junction到"c:\win"]----------------------┘
          └─windows[junction到"x:\windows"]----------------┐
                                                                                         ┆
wim内存盘://最初盘符为"c",克隆虚拟后为"x"                 ┆最终指向
└─windows                                                          <-------┘
           │fbwf.cfg //fbwf配置文件
           ├─fonts
           ├─Globalization
           ├─inf
           ├─Resources
           ├─SysWOW64
           ├─winsxs
           ├─L2Schemas
           └─system32
                       ├─CodeIntegrity
                       ├─config
                       ├─drivers  
                       ├─zh-CN
                       ├─CatRoot
                       ├─Microsoft
                       ├─wdi
                       └─其它所有的文件(可以精简,已共享我的文件列表:wes7x64_list_dll.txt)


2、注册表设置://已共享bat文件:wes7x64_reg.bat
rem 克隆"b:\c_junc"为"c"
reg add "hklm\system\ControlSet001\Control\Session Manager\DOS Devices" /v C: /d \??\B:\c_junc /f >nul 2>nul
rem 克隆wim内存盘为"x"
reg add "hklm\system\ControlSet001\Control\Session Manager\DOS Devices" /v X: /d \Device\Ramdisk{d9b257fc-684e-4dcb-ab79-03cfa2f6b750} /f >nul 2>nul
rem 用"b:\init\userinit.bat"取代"\windows\system32\userinit.exe"
reg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /d b:\init\userinit.bat, /f >nul 2>nul

3、system32文件精简
>在所有文件的基础上进行删除操作,留下不能删除的;另外还有一些仅启动所需,这部分比较麻烦...可参考我的文件列表
>对于输入法,需要拷入相应的ime文件,如:"SogouPY.ime"

其它:
1、有些处于“自动”启动类型的服务可能无法启动,运行services.msc进行查看,如:Wlansvc,请在"b:\init\userinit.bat"中添加:
net start Wlansvc
2#
发表于 2013-5-21 21:36:01 | 只看该作者
大神,SOS。。。 按照你空间的非SCSI模式XP V3  启动后还是有些文件调用C盘,导致无法更改C盘,一改就错误开不了机。手动把相关的文件放入启动盘也不行。
回复

使用道具 举报

3#
 楼主| 发表于 2013-5-21 21:43:31 | 只看该作者
2013kankan 发表于 2013-5-21 21:36
大神,SOS。。。 按照你空间的非SCSI模式XP V3  启动后还是有些文件调用C盘,导致无法更改C盘,一改就错误开 ...

有些文件可能使用了绝对路径“c”,比如360之类的,\??\C:\WINDOWS\system32\drivers\360netmon.sys,这个你得加载system,进行一一排查。
回复

使用道具 举报

4#
发表于 2013-5-21 21:52:13 | 只看该作者
2012wuzhong 发表于 2013-5-21 21:43
有些文件可能使用了绝对路径“c”,比如360之类的,\??\C:\WINDOWS\system32\drivers\360netmon.sys,这个 ...

没有安装软件,基本是完全干净的系统``` 不是driver下的sys文件,是system32下的DLL文件。
进入RAMXP中我用PCHUNTER(原Xuetr)查看进程中加载的模块 部分是用的C盘的 。 不应该是绝对路径的问题,因为就两个文件有一个ctfmon,一个svchost ,有多个svchsot进程,但只有一个是调用原C盘下的DLL文件。  最后看了下加载的驱动全都是启动盘的文件。
回复

使用道具 举报

5#
发表于 2013-5-21 21:55:58 | 只看该作者
回复

使用道具 举报

6#
 楼主| 发表于 2013-5-21 21:56:21 | 只看该作者
2013kankan 发表于 2013-5-21 21:52
没有安装软件,基本是完全干净的系统``` 不是driver下的sys文件,是system32下的DLL文件。
进入RAMXP中我 ...

v3版有可能会存在这些问题,看来通过修改系统变量来实现系统文件的转移不是很彻底
回复

使用道具 举报

7#
发表于 2013-5-21 22:01:31 | 只看该作者
..  我手动把那些加载C盘的DLL文件防进启动盘也不行,会未知错误蓝屏。  绝大多数是X盘。  Program files 是被junction 了的。但打开IE还是调用的c盘的(里面有部分C盘DLL文件)。
回复

使用道具 举报

8#
 楼主| 发表于 2013-5-21 22:06:15 | 只看该作者
2013kankan 发表于 2013-5-21 22:01
..  我手动把那些加载C盘的DLL文件防进启动盘也不行,会未知错误蓝屏。  绝大多数是X盘。  Program files 是 ...

ctfmon.exe可能在“HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run”中调用了绝对路径:C:\WINDOWS\system32\CTFMON.EXE
svchost也有可能在“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services”中使用了绝对路径
回复

使用道具 举报

9#
发表于 2013-5-21 22:10:29 | 只看该作者
2012wuzhong 发表于 2013-5-21 22:06
ctfmon.exe可能在“HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run”中调用了绝对路 ...

那个svchost 的服务被我找到了。停止那个服务的,调用C盘就不存在了。COM+ Even System
回复

使用道具 举报

10#
发表于 2013-5-21 22:14:17 | 只看该作者
2012wuzhong 发表于 2013-5-21 22:06
ctfmon.exe可能在“HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run”中调用了绝对路 ...

  果然如你所料 ```  com+ 那个服务写了绝对路径,但ctfmon 我搜了整个注册表都没找到有写绝对路径。
回复

使用道具 举报

11#
发表于 2020-8-3 00:52:27 | 只看该作者
水一贴
回复

使用道具 举报

12#
发表于 2020-8-3 00:53:24 | 只看该作者
水一贴
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-4-26 09:13

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表