无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站广告联系 微信:wuyouceo QQ:184822951
查看: 2657|回复: 10

禁用回收站的方案学习总结,个人存档,也给象我一样需要的人

  [复制链接]
发表于 2020-7-3 21:26:28 | 显示全部楼层 |阅读模式
本帖最后由 qipinw 于 2020-7-3 21:30 编辑

我最希望的是,让PE不使用回收站也不创建回收站文件夹,经确认,文件和文件夹直接删除。这样的PE,好处就是尽量少写本地磁盘,同时也减少了本地系统和PE系统在回收站上的混乱交叉。

到目前为止,WIN7及以上版本的PE,差不多圆满解决了;XP和03PE,删除文件虽然不进回收站但还是会创建一个空回收站文件夹,最后一步有一个变通方案,就是借助PECMD.EXE截获系统关机重启消息,使用关机脚本,在PE关机或重启时自动删除PE创建的回收站文件夹。

本帖参考了fukystone、xianfly等前辈的帖子,经实际验证后把方法总结如下:

一、在注册表中挂载PE的windows\system32\config\default文件,然后把挂载的PE的Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket“项”下全部内容删除。如果提示没有操作权限,自己添加权限后再删除;如果上面的注册表“项”缺失,就自己创建。
二、更改上面修改过的Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket注册表“项”的权限,把权限列表中的所有用户全部删除,让所有用户对这个项没有权限。
以上两步,可以让删除的文件和文件夹不进回收站:直接删除,适用于全系列PE系统。

三、修改上面挂载的PE的Software\Microsoft\Windows\CurrentVersion\Explorer注册表“项”,修改其下“值“”ShellState”的数据为下图所示:

01.jpg
转一张fukystone前辈的图
这一步是添加一个删除文件或文件夹的确认对话框,防止误删除

以上是参考fukystone前辈帖子整理的内容,原帖见http://bbs.wuyou.net/forum.php?mod=viewthread&tid=273196,在此向fukystone前辈致谢。

四、去除桌面回收站图标。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
找到PE这两个注册表“项”,修改其下“值”“{645FF040-5081-101B-9F08-00AA002F954E}”的数据,将数据修改为1即可。
如果对应位置注册表“项”或“值”缺失,自己创建即可,“值”“{645FF040-5081-101B-9F08-00AA002F954E}”的数据类型为DWORD。
这一步参考的是xianfly前辈帖子的内容,原帖见http://bbs.wuyou.net/forum.php?mod=viewthread&tid=274031,在此向xianfly前辈致谢。

经过以上四步修改,WIN7及以上版本的PE可以说完美禁用了回收站,本人实测了自用的32位WIN7,64位WIN8、两个64位WIN10,不仅启动时不再创建各分区根目录下的回收站文件夹,删除文件和文件夹时也不再创建当前分区根目录下的回收站,效果满意。

但是,对于NT5的XP和2003,效果差了一些,虽然XP和2003的PE系统启动中不在各分区创建回收站了,虽然删除文件和文件夹不进回收站了,但还是无法阻止删除操作时系统在当前分区根目录下创建空回收站文件夹(RECYCLER或RECYCLED)的行为。下面采取的一种不得已的变通方案,就是XP03PE关机或重启时,通过批处理脚本,把系统私自创建的空回收站文件夹(RECYCLER或RECYCLED)删除,当然,如果本地系统原就有XP或03系统,本地硬盘上原就有的回收站是不进行删除的。请见下面内容。

五、通过关机脚本自动删除XP03PE创建的空回收站文件夹,注意:PECMD.EXE版本至少是12才支持关机脚本。感谢红毛樱木前辈指导。
1、创建纯文本格式的脚本文件“OnShutdown.wcs”,内容如下:
ENVI^ EnviMode=1
SET &reason=%~1
FIND $[ %&reason%=shutdown | %&reason%=reboot | %&reason%=poweroff ],
{*
    EXEC =!%windir%\system32\AutoDelRecycleR.cmd
}

2、创建删除回收站的批处理文件“AutoDelRecycleR.cmd”,内容如下:
@echo off
FOR %%I IN (Z Y X W V U T S R Q P O N M L K J I H G F E D C) DO (
IF EXIST %%I:\RECYCLER (
IF EXIST %%I:\RECYCLER\S-1-5-18 (RD /S /Q %%I:\RECYCLER\S-1-5-18)
IF NOT EXIST %%I:\RECYCLER\????????-* (RD /S /Q %%I:\RECYCLER)
)
IF EXIST %%I:\RECYCLED (
IF EXIST %%I:\RECYCLED\S-1-5-18 (RD /S /Q %%I:\RECYCLED\S-1-5-18)
IF NOT EXIST %%I:\RECYCLED\????????-* (RD /S /Q %%I:\RECYCLED)
)
)
EXIT
3、修改PECMD.INI,在配置文件末尾添加如下一行语句:
EXEC --hook
保存PECMD.INI文件。
4、把1和2创建的两个文件拷贝到PE的system32文件夹内,重新打包PE。

本人的XPPE和03PE经上述改造运行正常,关机或重启时会自动查找PE创建的空回收站文件夹进行删除,而原有本地系统的回收站会被自动排除不予删除。

以上内容仅参考。
因为PE版本多,各类和数量更多,我也仅测试并使用了其中几款,不代表所有PE都有同样效果。
另外本人是个PE外行,原理不懂,哪里写错请见谅。
如果几位前辈对本帖引用自己的帖子内容有异议请回帖,我予删除相应内容。






点评

不错!!好方法!谢谢  发表于 2020-7-4 16:08
发表于 2020-7-4 09:07:31 | 显示全部楼层
回收站 改名 “后悔药 ”为妥。
回复

使用道具 举报

发表于 2020-7-4 12:14:06 | 显示全部楼层
不太认同楼主这种极端做法,只需对X:禁用回收站即可,不浪费内存空间,其它分区应当保留原样。
可用PECMD执行如下命令:
  1. recy x:,0
复制代码
回复

使用道具 举报

 楼主| 发表于 2020-7-4 14:01:16 | 显示全部楼层
本帖最后由 qipinw 于 2020-7-17 11:26 编辑

其它补遗
一、不对System Volume Information目录写入信息
参考fukystone前辈原帖http://bbs.wuyou.net/forum.php?mod=viewthread&tid=273196,在此向fukystone前辈致谢。
1.注册表:
项HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore,值DisableConfig(reg_dword /d型),数据1
项HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore,值DisableSR(reg_dword /d型),数据1
2.mountmgr.sys
用ULTRAEDIT打开文件windows\system32\drivers\mountmgr.sys,查找“61 00 74 00 61 00 62 00 61 00 73 00 65”,共2处。对照编辑软件窗口右侧内容,把右侧M.o.u.n.t.p.o.i.n.t.m.a.n.a.g.e.r.r.e.m.o.t.e.d.a.t.a.b.a.s.e对应的内容全部修改为00,然后保存,再用PEditor校验和,重新打包。
效果:xp和03pe没有测试。32位win7pe和win8pe完美解决问题,只是32位win7pe的mountmgr.sys修改后火绒提示木马,自己修改的和原帖提供的下载文件都是这样,也许应该只是误报但我无法确定,最终这个方案我没在win7pe中使用。64位win8pe修改文件后无法启动,应该是数字签名无法通过,方案失败。win10pe没有去测试,应该也是数字签名无法通过,因为64位系统比32位系统有更严格的安全限制。
二、欢迎界面背景颜色修改成黑色
注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,值Background(reg_sz型),数据0 0 0
启动界面背景颜色只能通过离线方式修改注册表才能实现,pecmd.ini中修改不启作用。
喜欢把所有PE的启动背景颜色(启动完成后的桌面背景颜色与之相同)改成纯黑,是为消除有些PE启动过程中的闪屏现象,改成黑色可有效减缓或清除这种闪屏。
三、隐藏桌面计算机图标REGI HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{20D04FE0-3AEA-1069-A2D8-08002B30309D}=#1
REGI HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{20D04FE0-3AEA-1069-A2D8-08002B30309D}=#1
四、任务栏托盘区取消折叠

REGI HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\EnableAutoTray=#0



回复

使用道具 举报

发表于 2020-7-4 14:26:46 | 显示全部楼层
recy是通用的,我用的就是新版,你的执行时机可能不是init之后。
PE自动创建回收站 不影响数据安全和使用,因为原本硬盘就存在回收站文件夹。
你说的混乱情况,我没遇到过,估计是你更改过多搞乱的吧。

点评

PE下删除的文件,在本机硬盘系统下看不到,进入其他pe系统也不一定看得到,再次进入删除文件的PE系统才能看到。 本机硬盘系统下删除的文件,在PE下能看到,但是文件名完全变了。以上这两点我使用时就这样,不知道别  详情 回复 发表于 2020-7-4 15:40
回复

使用道具 举报

 楼主| 发表于 2020-7-4 15:40:08 来自手机 | 显示全部楼层
2010hook 发表于 2020-7-4 14:26
recy是通用的,我用的就是新版,你的执行时机可能不是init之后。
PE自动创建回收站 不影响数据安全和使用 ...

PE下删除的文件,在本机硬盘系统下看不到,进入其他pe系统也不一定看得到,再次进入删除文件的PE系统才能看到。
本机硬盘系统下删除的文件,在PE下能看到,但是文件名完全变了。以上这两点我使用时就这样,不知道别人是不是一样。
回复

使用道具 举报

发表于 2020-7-5 10:19:25 | 显示全部楼层
楼主总结得很好。
回复

使用道具 举报

发表于 2022-4-2 12:29:16 | 显示全部楼层
本帖最后由 2010chenshuwy 于 2022-4-2 12:32 编辑

Software\Microsoft\Windows\CurrentVersion\Explorer里面的ShellState值,不管改为33或37,启动PE后发现都会变成3f,会弹出删除确认,我想要的是全程静默删除,可是实现不了
回复

使用道具 举报

发表于 2022-4-3 13:16:57 | 显示全部楼层
热爱美,传播美,学习中~~~
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-3-29 18:50

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表