设为首页收藏本站
开启辅助访问 切换到宽版

无忧启动论坛

 找回密码
 注册
搜索
无忧启动论坛»论坛 ::启动制作:: PE讨论区 彻底关闭PE的回收站功能,禁止写入System Volume Inform ...
系统gho:最纯净好用系统下载站广告联系 微信:wuyouceo QQ:184822951
12下一页
返回列表 发新帖
查看: 6757|回复: 47
打印 上一主题 下一主题

[分享] 彻底关闭PE的回收站功能,禁止写入System Volume Information目录(禁止对硬盘写入)

    [复制链接]
跳转到指定楼层
1#
发表于 2022-10-18 07:37:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
加入VIP会员,获无忧币,赠积分,送勋章,下载无限制,获论坛最高级会员权限 !
本帖最后由 sairen139 于 2022-10-18 07:57 编辑

彻底关闭PE的回收站功能,禁止写入System Volume Information目录(禁止对硬盘写入)
挂载从PE里复制出来的DEFAULT注册表配置文件为pe-DEFAULT,然后接着继续挂载PE里的Software注册表配置文件为pe-software,离线导入下面的注册表片段:
Windows Registry Editor Version 5.00

//可禁止写入System Volume Information目录
[HKEY_LOCAL_MACHINE\pe-SOFTWARE\Policies\Microsoft\Windows NT\systemrestore]
"DisableSR"=dword:00000001
"DisableConfig"=dword:00000001

[HKEY_LOCAL_MACHINE\pe-DEFAULT\Software\Policies\Microsoft\Windows NT\systemrestore]
"DisableSR"=dword:00000001
"DisableConfig"=dword:00000001

//隐藏桌面回收站图标
[HKEY_LOCAL_MACHINE\pe-DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{645FF040-5081-101B-9F08-00AA002F954E}"=dword:00000001

//关闭回收站
[HKEY_LOCAL_MACHINE\pe-DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer]
[HKEY_LOCAL_MACHINE\pe-DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]
"LastEnum"=-
[-HKEY_LOCAL_MACHINE\pe-DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume]
//这项可能没有,手动建立
[HKEY_LOCAL_MACHINE\pe-SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]

清空注册表权限定位到注册表:[HKEY_LOCAL_MACHINE\pe-DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket],右键BitBucket,点击“权限”

点击“高级”

点击“禁用继承”

选择“从此对象中删除所有已继承的权限”


最后点击“确定”


接着按上述相同的步骤,清空下处的权限:[HKEY_LOCAL_MACHINE\pe-SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]
清理权限之后再看看权限,已经确认清空了。
把上传配置的DEFAULT注册表配置文件和sofware注册表配置文件覆盖回PE的Windows目录System32目录下的config目录里即可重启几次pe测试效果!




关闭回收站禁止写入System Volume Information目录.reg.TXT

985 Bytes, 下载次数: 121, 下载积分: 无忧币 -2

评分

参与人数 5无忧币 +25 收起 理由
dqpet + 5 很给力!
879792799 + 5 高产!赞
9zhmke + 5 赞一个!
纯脆entropy + 5 赞一个!
cuicongyuan + 5 赞一个!

查看全部评分

回复

使用道具 举报

2#
 楼主| 发表于 2022-10-18 07:47:11 | 只看该作者
本帖最后由 sairen139 于 2022-10-18 07:48 编辑

这个方法是网上流传的彻底关闭PE的回收站功能,禁止写入System Volume Information目录(禁止对硬盘写入)

得空测试了下该方法的确成功的,适合专门有数据恢复需求的pe使用!

918FAFA5-16F9-4F10-AA7A-E69C027645A7.jpeg (3.56 MB, 下载次数: 121)

使用该方法后第一次进pe无回收站注意SVI文件夹修改时间

使用该方法后第一次进pe无回收站注意SVI文件夹修改时间

F6305F37-5400-4827-A09F-ABA60981AB20.jpeg (3.44 MB, 下载次数: 113)

第三次进pe还是没产生回收站且SVI文件夹修改时间没有变动!

第三次进pe还是没产生回收站且SVI文件夹修改时间没有变动!
回复

使用道具 举报

3#
发表于 2022-10-18 08:03:19 | 只看该作者
感谢分享,也就数据恢复的时候,有那么变态的要求了
回复

使用道具 举报

zlzx01
4#
发表于 2022-10-18 08:20:00 | 只看该作者
感谢分享感谢分享
回复

使用道具 举报

dkzzlf
5#
发表于 2022-10-18 08:36:21 | 只看该作者
很感谢
回复

使用道具 举报

6#
发表于 2022-10-18 09:04:57 | 只看该作者
不懂就问,别见笑
在我的理解,.WIM内核的PE启动后,加载的.WIM和X:盘是不是都加载到内存中哇
如果是这样,那就不会对硬盘进行读写操作吧
回复

使用道具 举报

7#
 楼主| 发表于 2022-10-18 09:06:57 | 只看该作者
D_M_GuYing 发表于 2022-10-18 09:04
不懂就问,别见笑
在我的理解,.WIM内核的PE启动后,加载的.WIM和X:盘是不是都加载到内存中哇
如果是这样 ...

一般pe在进pe桌面会在每个分区里生成一个回收站和往每个分区SVI文件夹写入数据
回复

使用道具 举报

8#
发表于 2022-10-18 09:10:17 | 只看该作者
sairen139 发表于 2022-10-18 09:06
一般pe在进pe桌面会在每个分区里生成一个回收站和往每个分区SVI文件夹写入数据

哦,刚才是我理解错了。
那用了这个方法进入PE后,如果不是为了执行恢复操作,回收站功能还能正常使用吗?
回复

使用道具 举报

9#
发表于 2022-10-18 09:14:19 | 只看该作者
#在这里快速回复#javascript:;
回复

使用道具 举报

10#
发表于 2022-10-18 09:37:18 | 只看该作者
在这的PE试了下,进PE后,回收站功能没有删除后直接彻底删除。把你的.REG加上这个就完美了,所有PE都可以加上这个功能
回复

使用道具 举报

11#
发表于 2022-10-18 09:51:27 | 只看该作者
修改了楼主的注册表后,在PE启动后,修改 删除文件时,直接彻底删除

是不是这样就行了

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecycleFiles"=dword:00000001



回复

使用道具 举报

12#
发表于 2022-10-18 10:57:48 | 只看该作者
感谢分享 很有用
回复

使用道具 举报

13#
发表于 2022-10-18 11:20:41 | 只看该作者
谢谢分享
这个可以试一下
回复

使用道具 举报

2011wyy
14#
发表于 2022-10-18 11:30:04 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

15#
发表于 2022-10-18 11:35:03 | 只看该作者
要恢复数据的NTFS盘里,大多数情况下都已经有回收站了吧,另外如果只是增加一个回收站目录,应该也不会操作数据区,是否有往SVI目录中写数据,这就不太清楚了
回复

使用道具 举报

yjkl
16#
发表于 2022-10-18 11:40:05 | 只看该作者
感谢分享
回复

使用道具 举报

17#
 楼主| 发表于 2022-10-18 11:47:15 | 只看该作者
2011wyy 发表于 2022-10-18 11:30
pe 启动时,加载到内存中的,PE桌面的回收站,也是写到内存盘的吧?

pe桌面那个回收站好像每个分区删了文件都会显示出来,感觉是个总管,哈哈哈哈😂
回复

使用道具 举报

18#
 楼主| 发表于 2022-10-18 11:49:58 | 只看该作者
minchengan 发表于 2022-10-18 11:35
要恢复数据的NTFS盘里,大多数情况下都已经有回收站了吧,另外如果只是增加一个回收站目录,应该也不会操作 ...

一般pe每启动一次都会增加一个新的回收站,和SVI一样怕想要恢复的文件刚好被这些新增数据覆盖了。其实这些都是针对数据恢复的,平常用不到。
回复

使用道具 举报

2011wyy
19#
发表于 2022-10-18 12:24:04 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

20#
发表于 2022-10-18 12:28:34 | 只看该作者
谢谢分享。
回复

使用道具 举报

21#
 楼主| 发表于 2022-10-18 12:36:38 | 只看该作者
2011wyy 发表于 2022-10-18 12:24
就算有产生新的回收站,那么这么丁点的数据写入,不会影响数据恢复。就算影响,也可忽略不计吧

确实,就是一点小瑕疵
回复

使用道具 举报

22#
发表于 2022-10-18 14:10:23 | 只看该作者
贴几张图呗
回复

使用道具 举报

ggl
23#
发表于 2022-10-18 18:22:23 | 只看该作者
来学习一下了
回复

使用道具 举报

9527sss
24#
发表于 2022-10-18 19:37:23 | 只看该作者
谢谢楼主分享
回复

使用道具 举报

25#
发表于 2022-10-18 20:23:55 | 只看该作者
为啥要删除回收站
回复

使用道具 举报

26#
发表于 2022-10-18 20:36:57 | 只看该作者
谢谢楼主分享
回复

使用道具 举报

27#
发表于 2022-10-19 03:18:46 | 只看该作者

多谢分享,收藏备用。
回复

使用道具 举报

2011wyy
28#
发表于 2022-10-21 07:01:31 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

Anson4
29#
发表于 2022-10-21 07:11:33 | 只看该作者
2011wyy 发表于 2022-10-21 07:01
在楼主的应用场景下,那么是否也应该禁用 DrvIndex  这款软件呢(http://bbs.wuyou.net/forum.php?mod=view ...

不是 %Windir%\TEMP 吗?
回复

使用道具 举报

dkzzlf
30#
发表于 2022-10-21 07:17:48 | 只看该作者
学习了
回复

使用道具 举报

12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-5-18 09:48

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表