Создание диска Windows PE для сбора логов с неактивной системы

Статус
В этой теме нельзя размещать новые ответы.

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,425
Реакции
5,442
Данный диск пригодится для сбора логов в ситуации, когда загрузиться в систему невозможно, например при заражениями различными видами винлоков.

Если желаете собрать собственный LiveCD для удобства, а не использовать нашу сборку

Для создания диска нам понадобятся:


Все следующие операции производятся на чистом компьютере.
  1. Скачайте пакеты Windows 10 2004 ADK + Windows надстройка PE для ADK версии 2004 и установите их. Для успешной установки достаточно компонентов:

    Список устанавливаемых компонентов
  2. По окончанию установки запустите Командную строку средств развертывания из меню Пуск => Microsoft Kits => Среда средств развертывания и работы с образами.

    Запуск программы необходимо производить с правами администратора.

    1693583529902.png
  3. Введите в консоли команду:

    Код:
    copype.cmd x86 c:\winpe

    1693583906588.png

    Данный сценарий создает следующую структуру каталогов и скопирует все необходимые файлы для этой архитектуры.

  4. Код:
    \winpe
    \winpe\fwfiles
    \winpe\media
    \winpe\mount

    Папка \media содержит все файлы, необходимые для создания ISO-файла с помощью средства ADK, за исключением образа Windows PE (boot.wim). Необходимо создать свой особый образ boot.wim с помощью используемого по умолчанию образа Windows PE (winpe.wim) и скопировать boot.wim в папку \media\sources. Папка \mount используется для подключения образов Windows PE с помощью средства ImageX или DISM.
  5. Подключим образ winpe.wim и смонтируем его в директорию C:\winpe\mount командой:

    Код:
    Dism /Mount-Image /ImageFile:"C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\x86\en-us\winpe.wim" /index:1 /MountDir:"C:\winpe\mount"

    1693584202531.png

  6. Теперь к подмонтированному образу нужно добавить необходимые нам утилиты.*
    * Набор утилит ограничивается только вашими фантазиями и возможностями WinPE
  7. Скачайте полную версию uvs
  8. Скачайте 32х битную версию FRST
  9. Скачайте WinXShell_x86
  10. Создайте в директории C:\winpe\mount папку Utils
  11. Распакуйте uVS и WinXShell_x86 с помощью любого архиватора (например 7-zip) в папки C:\winpe\mount\Utils\uvs и C:\winpe\mount\Utils\WinXShell_x86 соответственно. FRST достаточно скопировать в папку

    1693584794540.png

  12. Перемещаемся в директорию C:\winpe\mount\Windows\System32 и находим там файл startnet.cmd
    1693584941902.png

  13. С помощью Notepad ++, запущенного с правами Администратора, вносим в файл startnet.cmd следующие изменения:

    Код:
    wpeinit
    %SYSTEMDRIVE%\Utils\WinXShell_X86\WinXShell.exe
    1693585171325.png

  14. Сохраняем измененный файл и закрываем Notepad ++
  15. Теперь необходимо сохранить изменения в смонтированном образе и отключить его, в командной строке средств развертывания скомандуйте:

    Код:
    Dism /Unmount-Image /MountDir:"C:\winpe\mount" /commit
    Примечание: Система DISM очень чувствительна к открытым окнам проводника внутри смонтированного образа, поэтому перед отключением закройте все папки внутри директории C:\winpe\mount

    1693585267325.png

  16. Дальнейшим действием будет подготовка файлов для создания образа, экспортируем полученный файл winpe.wim в директорию C:\winpe\ISO\sources командой:

    Код:
    del C:\winpe\media\sources\boot.wim & imagex /export "C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\x86\en-us\winpe.wim" 1 "C:\winpe\media\sources\boot.wim" "Microsoft Windows PE (x86)"
    *Это довольно спорное решение, но работает
    1693585483351.png

  17. Создаем из полученных файлов образ диска в формате .iso для дальнейшей записи на CD командой:

    Код:
    MakeWinPEMedia /ISO C:\winpe C:\winpe\WinPE_X86.iso

    1693585531918.png
    [

  18. На этом работа с командной строкой завершена, введите команду

    Код:
    Exit
  19. Полученный образ C:\winpe\WinPE_X86.iso запишите с помощью любой программы для записи дисков на CD или создайте загрузочный флеш-накопитель.
  20. Live CD Windows PE&uVS для сбора логов с неактиной системы готов. При запуске с данного диска автоматически запустится Explorer++ который идет в наборе с WinXShell:

Полезная информация.

  • По умолчанию для утилит отведено 32 MB оперативной памяти, если каким-то программам будет ее на хватать, при сборке образа можно задать другой размер фиксированной RAM. Для этого после пункта 5 изложенной выше инструкции, введите в командной строке:

    Код:
    Dism /image:C:\winpe\mount /Set-ScratchSpace:128

    , где 128 - размер фиксированной RAM.

  • В подключенный образ можно интегрировать пользовательские драйверы из .inf-файлов. Для этого после пункта 5 изложенной выше инструкции, введите в командной строке:

    Код:
    Dism /image:C:\winpe\mount /Add-Driver /Driver:<путь_к_.inf-файлу>

  • По умолчанию разрешение экрана в запущенной с LiveCD системы составляет 800x600 пикселей. Для задания своего разрешения после пункта 16 изложенной выше инструкции, поместите в директорию c:\winpe\ISO файл Unattend.xml следующего содержания:

    Код:
    <?xml version="1.0" encoding="utf-8"?>
    <unattend xmlns="urn:schemas-microsoft-com:unattend">
          <settings pass="windowsPE">
              <component name="Microsoft-Windows-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
                  <Display>
                      <ColorDepth>32</ColorDepth>
                      <HorizontalResolution>1024</HorizontalResolution>
                      <VerticalResolution>768</VerticalResolution>
                  </Display>
              </component>
          </settings>
          <cpi:offlineImage cpi:source="" xmlns:cpi="urn:schemas-microsoft-com:cpi" />
    </unattend>

    , где ColorDepth - глубина цвета; HorizontalResolution - горизонтальное разрешение; VerticalResolution - вертикальное разрешение.

  • Для задания индивидуального фона рабочего стола после пункта 6 изложенной выше инструкции, замените на собственный файл winpe.bmp в директории C:\winpe\mount\Windows\System32.

Ссылки:
 
Последнее редактирование модератором:
Создание образа диска Windows PE&uVS с помощью конструктора, встроенного в uVS

!!!Внимание
Этот метод работает только на ОС Windows Vista / Seven и более старших.

В утилиту Universal Virus Sniffer входит простейший конструктор для создания образа диска Windows PE&uVS и записи данного образа на флеш-накопитель.

Для того чтобы создать образ Windows PE&uVS нам понадобятся следующие инструменты:

  1. Собственно сама утилита Universal Virus Sniffer.
  2. Пакет автоматической установки Windows 10 2004 ADK + Windows надстройка PE для ADK версии 2004 (Это последний пакет поддерживающий Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен и собственно UVS тоже)


Описание процесса создания образа диска или загрузочного флеш-накопителя.
!!! Внимание:
Из-за того, что после запуска uVS в среде Windows PE происходит выгрузка процесса start.exe и вызов uVS из зашифрованного тела uvsz со случайным именем - произойдет перезагрузка среды Windows PE без возможности создания лога. Данная проблема происходит по причине неверной обработки файла winpeshl.ini, используемого автором uVS для автозапуска приложений в среде Windows PE. Для решения данной проблемы необходимо на пункте 2 следующей инструкции в подготовленную папку с uVS скачать и распаковать файловый менеджер FAR (х86). Файлы FAR необходимо распаковать в подпапку FAR в директории с распакованной и подготовленной утилитой uVS.
Также можно использовать подготовленный и настроенный пакет uVS, скачав его по следующей ссылке (Полный пакет имеет имя uvs_v414pack_ru.zip, где 4xx - номер версии - всегда используйте последнюю версию).


_________________________________________________________



  1. Скачайте и установите пакет автоматической установки Windows 10 2004 ADK + Windows надстройка PE для ADK версии 2004.
    1693587283119.png
  2. Распакуйте Universal Virus Sniffer в отдельную папку и произведите необходимые настройки, например, добавление Базы проверенных файлов и редактирование файла settings.ini.
  3. Снова распакуйте архив Universal Virus Sniffer в другую папку и запустите файл start.exe.
  4. Нажмите кнопку Запустить под текущим пользователем

    1693587445070.png

  5. В меню Файл выберите пункт Создать загрузочную флешку/образ диска

    1693587525491.png

  6. В открывшемся окне по пунктам:
    • После установки пакета ADK и дополнения PE, достаточно нажать на кнопку "определить путь"
      Например, при наличии установленных пакетов путь будет таким:

      C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit
      C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\x86\Oscdimg\oscdimg.exe

    • Укажите путь к папке с распакованной и настроенной утилитой Universal Virus Sniffer.
    • Укажите путь к папке, в которой будет создан образ диска Windows PE&uVS, и его имя или путь к флеш-накопителю на который будет записан диск Windows PE&uVS.
    • Остальные пункты используйте по вашему усмотрению (можно добавить обои, включить дополнительные утилиты, например, TDSSKiller или BOOTICE и настроить размер файла подкачки, который будет создаваться на жестком диске при загрузке в среде Windows PE - рекомендуется при малом размере оперативной памяти, не рекомендуется если с системного диска необходимо восстанавливать потерянные и удаленные файлы).
    • Нажмите кнопку Создать ISO для создания образа загрузочного диска или кнопку Сделать загрузочной для создания загрузочного флеш-накопителя.

      1693587915702.png

    • По окончанию работы образ диска или загрузочный флеш-накопитель будут готовы.

      1693588047620.png

Ссылки по теме:

 
Последнее редактирование модератором:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу