Создание образа диска Windows PE&uVS для сбора логов с неактивной системы.

[Severnyj]

Данный диск пригодится для сбора логов в ситуации, когда загрузиться в систему невозможно, например при заражениями различными видами винлоков.

Для создания диска нам понадобятся:

• Незараженный компьютер с установленной операционной системой не ниже Windows Vista SP1 или Windows 7.
• Пакет автоматической установки Windows® (AIK) для Windows® 7
• Universal Virus Sniffer (UVS)
• TDSSKiller

Все следующие операции производятся на чистом компьютере.

1. Скачайте Пакет автоматической установки Windows® (AIK) для Windows® 7, смонтируйте скачанный образ на любой виртуальный CD-дисковод, например с помощью Daemon Tools Lite.
2. Откройте смонтированный диск и запустите файл StartCD.exe
   
   
   
   
   
3. В появившемся окне установщика выберите пункт Установка Windows AIK.
   
   
   
   
   
4. По окончанию установки запустите Командную строку средств развертывания из меню Пуск - Microsoft Windows AIK.
   
   Запуск программы необходимо производить с правами администратора.
   
   
   

   
   
   

   
   
   
5. Введите в консоли команду:
   
   
   copype.cmd x86 c:\winpe
   
   Данный сценарий создает следующую структуру каталогов и скопирует все необходимые файлы для этой архитектуры.
   
   

   \winpe
   \winpe\ISO
   \winpe\mount

   
   Папка \ISO содержит все файлы, необходимые для создания ISO-файла с помощью средства Oscdimg, за исключением образа Windows PE (boot.wim). Необходимо создать свой особый образ boot.wim с помощью используемого по умолчанию образа Windows PE (winpe.wim) и скопировать boot.wim в папку \ISO\sources. Папка \mount используется для подключения образов Windows PE с помощью средства ImageX или DISM.
   
   
6. Подключим образ winpe.wim и смонтируем его в директорию C:\winpe\mount командой:
   
   
   Dism /Mount-Wim /WimFile:C:\winpe\winpe.wim /index:1 /MountDir:C:\winpe\mount
   
   
   
   
   
7. Теперь к подмонтированному образу нужно добавить необходимые нам утилиты.
   
8. Скачайте полную версию uvs_v377pack_ru.zip с этой страницы
9. Скачайте TDSSKiller
10. Создайте в директории C:\winpe\mount папку Utils
11. Распакуйте uVS и TDSSKiller с помощью любого архиватора (например 7-zip) в папки C:\winpe\mount\Utils\uvs и C:\winpe\mount\Utils\tdsskiller соответственно.
    
    
    

    
    
    

    

    
    
    

    
    
    
12. Перемещаемся в директорию C:\winpe\mount\Windows\System32 и находим там файл startnet.cmd
    
    
    
    
    
13. С помощью Блокнота, запущенного с правами Администратора, вносим в файл startnet.cmd следующие изменения:
    
    
    wpeinit
    %SYSTEMDRIVE%\Utils\uvs\FAR\Far.exe
    
    
    

    
    
    

    
    
    
14. Сохраняем измененный файл и закрываем Блокнот.
    
15. Теперь необходимо сохранить изменения в смонтированном образе и отключить его, в командной строке средств развертывания скомандуйте:
    
    
    Dism /Unmount-Wim /MountDir:C:\winpe\mount /Commit
    
    Примечание: Система DISM очень чувствительна к открытым окнам проводника внутри смонтированного образа, поэтому перед отключением закройте все папки внутри директории C:\winpe\mount
    
    
    
    
    
16. Дальнейшим действием будет подготовка файлов для создания образа, экспортируем полученный файл winpe.wim в директорию C:\winpe\ISO\sources командой:
    
    
    imagex /export c:\winpe\winpe.wim 1 c:\winpe\ISO\sources\boot.wim "Windows PE 3.0"
    
    
    
    
    
17. Создаем из полученных файлов образ диска в формате .iso для дальнейшей записи на CD командой:
    
    
    oscdimg -n -o -h -bC:\winpe\etfsboot.com C:\winpe\ISO C:\winpe\winpe_x86.iso
    
    
    
    
    
18. На этом работа с командной строкой завершена, введите команду
    
    
    Exit
19. Полученный образ C:\winpe\winpe_x86.iso запишите с помощью любой программы для записи дисков на CD или создайте загрузочный флеш-накопитель.
    
20. Live CD Windows PE&uVS для сбора логов с неактиной системы готов. При запуске с данного диска автоматически запустится файловый менеджер FAR:
    
    
    
    
    
    Для перезагрузки компьютера просто закройте FAR.

Полезная информация.

• По умолчанию для утилит отведено 32 MB оперативной памяти, если каким-то программам будет ее на хватать, при сборке образа можно задать другой размер фиксированной RAM. Для этого после пункта 6 изложенной выше инструкции, введите в командной строке:
  
  
  Dism /image:C:\winpe\mount /Set-ScratchSpace:128
  
  , где 128 - размер фиксированной RAM.
  
  
• В подключенный образ можно интегрировать пользовательские драйверы из .inf-файлов. Для этого после пункта 6 изложенной выше инструкции, введите в командной строке:
  
  
  Dism /image:C:\winpe\mount /Add-Driver /Driver:<путь_к_.inf-файлу>
  
  
• По умолчанию разрешение экрана в запущенной с LiveCD системы составляет 800x600 пикселей. Для задания своего разрешения после пункта 16 изложенной выше инструкции, поместите в директорию c:\winpe\ISO файл Unattend.xml следующего содержания:
  
  
  <?xml version="1.0" encoding="utf-8"?> 
   <unattend xmlns="urn:schemas-microsoft-com:unattend"> 
        <settings pass="windowsPE"> 
            <component name="Microsoft-Windows-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> 
                <Display> 
                    <ColorDepth>32</ColorDepth> 
                    <HorizontalResolution>1024</HorizontalResolution> 
                    <VerticalResolution>768</VerticalResolution> 
                </Display> 
            </component> 
        </settings> 
        <cpi:offlineImage cpi:source="" xmlns:cpi="urn:schemas-microsoft-com:cpi" /> 
   </unattend>
  
  , где ColorDepth - глубина цвета; HorizontalResolution - горизонтальное разрешение; VerticalResolution - вертикальное разрешение.
  
  
• Для задания индивидуального фона рабочего стола после пункта 6 изложенной выше инструкции, замените на собственный файл winpe.bmp в директории C:\winpe\mount\Windows\System32.

Ссылки:

• Как подготовить лог Universal Virus Sniffer (UVS) при загрузке с Windows PE
• Как выполнить скрипт Universal Virus Sniffer (UVS) при загрузке с Windows PE
• Как войти в среду восстановления Windows Vista/Seven
• Как подготовить лог Universal Virus Sniffer (UVS) из среды восстановления Windows Vista/Seven
• Создание базового загрузочного диска Windows PE
• Самый простой способ загрузиться в Windows PE и определить буквы дисков

Click to read more...

 

[Severnyj]

Создание образа диска Windows PE&uVS с помощью конструктора, встроенного в uVS

!!!Внимание Этот метод работает только на ОС Windows Vista / Seven и более старших.

В утилиту Universal Virus Sniffer входит простейший конструктор для создания образа диска Windows PE&uVS и записи данного образа на флеш-накопитель.

Для того чтобы создать образ Windows PE&uVS нам понадобятся следующие инструменты:

1. Собственно сама утилита Universal Virus Sniffer.
2. Пакет обновления Дополнительный компонент пакета автоматической установки Windows (AIK) для Windows 7 с пакетом обновления 1 (SP1).
3. Утилита oscdimg.exe, которая входит в Пакет автоматической установки Windows® (AIK) для Windows® 7.
   
   Universal Virus Sniffer скачивает oscdimg.exe с одного из зарубежных форумов.​
   Утилита oscdimg.exe не понадобится для создания загрузочного флеш-накопителя.​

Описание процесса создания образа диска или загрузочного флеш-накопителя.

!!! Внимание:​

Из-за того, что после запуска uVS в среде Windows PE происходит выгрузка процесса start.exe и вызов uVS из зашифрованного тела uvsz со случайным именем - произойдет перезагрузка среды Windows PE без возможности создания лога. Данная проблема происходит по причине неверной обработки файла winpeshl.ini, используемого автором uVS для автозапуска приложений в среде Windows PE. Для решения данной проблемы необходимо на пункте 2 следующей инструкции в подготовленную папку с uVS скачать и распаковать файловый менеджер FAR. Файлы FAR необходимо распаковать в подпапку FAR в директории с распакованной и подготовленной утилитой uVS.
Также можно использовать подготовленный и настроенный пакет uVS, скачав его по следующей ссылке (Полный пакет имеет имя uvs_v3xxpack_ru.zip, где 3xx - номер версии - всегда используйте последнюю версию).​

_________________________________________________________

1. Скачайте Дополнительный компонент пакета автоматической установки Windows (AIK) для Windows 7 с пакетом обновления 1 (SP1), смонтируйте образ .iso на любой виртуальный CD / DVD привод, например с помощью программы Daemon Tools Lite или распакуйте в любую папку с помощью архиватора, например 7-zip
2. Распакуйте Universal Virus Sniffer в отдельную папку и произведите необходимые настройки, например, добавление Базы проверенных файлов и редактирование файла settings.ini.
3. Снова распакуйте архив Universal Virus Sniffer в другую папку и запустите файл start.exe.
4. Нажмите кнопку Запустить под текущим пользователем
   
   
   
   
   
5. В меню Файл выберите пункт Создать загрузочную флешку/образ диска
   
   
   
   
   
6. В открывшемся окне по пунктам:
   
   
   • Укажите путь к смонтированному или распакованному образу Дополнительный компонент пакета автоматической установки Windows (AIK) для Windows 7 с пакетом обновления 1 (SP1)
     
   • Укажите путь к утилите oscdimg.exe (только если Вам необходим образ диска, а не создание загрузочной флешки).
     
     Например, при наличии установленного Пакета автоматической установки Windows® (AIK) для Windows® 7 в 32-битной системе путь будет таким:
     
     
     C:\Program Files\Windows AIK\Tools\x86\oscdimg.exe
     
     
   • Укажите путь к папке с распакованной и настроенной утилитой Universal Virus Sniffer.
     
   • Укажите путь к папке, в которой будет создан образ диска Windows PE&uVS, и его имя или путь к флеш-накопителю на который будет записан диск Windows PE&uVS.
     
   • Остальные пункты используйте по вашему усмотрению (можно добавить обои, включить дополнительные утилиты, например, TDSSKiller или BOOTICE и настроить размер файла подкачки, который будет создаваться на жестком диске при загрузке в среде Windows PE - рекомендуется при малом размере оперативной памяти, не рекомендуется если с системного диска необходимо восстанавливать потерянные и удаленные файлы).
     
   • Нажмите кнопку Создать ISO для создания образа загрузочного диска или кнопку Сделать загрузочной для создания загрузочного флеш-накопителя.
     
     
     
     
     
   • По окончанию работы образ диска или загрузочный флеш-накопитель будут готовы.
     
     
     

Ссылки по теме:

• Как записать образ диска на CD
• Создание загрузочной флешки USB-HDD
• Как подготовить лог Universal Virus Sniffer (UVS) при загрузке с Windows PE
• Настройка BIOS для загрузки с CD/DVD/USB