Создание образа диска Windows PE&uVS для сбора логов с неактивной системы.

Статус
В этой теме нельзя размещать новые ответы.

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,729
Баллы
743
#1
Данный диск пригодится для сбора логов в ситуации, когда загрузиться в систему невозможно, например при заражениями различными видами винлоков.

Для создания диска нам понадобятся:


Все следующие операции производятся на чистом компьютере.
  1. Скачайте Пакет автоматической установки Windows® (AIK) для Windows® 7, смонтируйте скачанный образ на любой виртуальный CD-дисковод, например с помощью Daemon Tools Lite.
  2. Откройте смонтированный диск и запустите файл StartCD.exe

    proxy.php?image=http%3A%2F%2Fs56.radikal.ru%2Fi153%2F1111%2Fe7%2Fa61ab6518bfa.jpg&hash=7c335b756accfffa2aba29d9a0be75fb

  3. В появившемся окне установщика выберите пункт Установка Windows AIK.

    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi424%2F1111%2F24%2F2c2723765a0b.jpg&hash=608c2436328304db8df3f21b07420050

  4. По окончанию установки запустите Командную строку средств развертывания из меню Пуск - Microsoft Windows AIK.

    Запуск программы необходимо производить с правами администратора.

    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi443%2F1111%2Fe4%2F36db387f89ab.png&hash=3d2c5af6fc1910169452d97a986e9a5d


    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi435%2F1111%2F3b%2F59b89f0357e1.jpg&hash=8ea4dc0088925cf38cb32090332e8501

  5. Введите в консоли команду:

    Код:
    copype.cmd x86 c:\winpe
    Данный сценарий создает следующую структуру каталогов и скопирует все необходимые файлы для этой архитектуры.

    \winpe
    \winpe\ISO
    \winpe\mount
    Папка \ISO содержит все файлы, необходимые для создания ISO-файла с помощью средства Oscdimg, за исключением образа Windows PE (boot.wim). Необходимо создать свой особый образ boot.wim с помощью используемого по умолчанию образа Windows PE (winpe.wim) и скопировать boot.wim в папку \ISO\sources. Папка \mount используется для подключения образов Windows PE с помощью средства ImageX или DISM.

  6. Подключим образ winpe.wim и смонтируем его в директорию C:\winpe\mount командой:

    Код:
    Dism /Mount-Wim /WimFile:C:\winpe\winpe.wim /index:1 /MountDir:C:\winpe\mount
    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi423%2F1111%2F7c%2F3784abc1071b.jpg&hash=9ab6071ee6ab96bb4e55b25cf518473c

  7. Теперь к подмонтированному образу нужно добавить необходимые нам утилиты.
  8. Скачайте полную версию uvs_v377pack_ru.zip с этой страницы
  9. Скачайте TDSSKiller
  10. Создайте в директории C:\winpe\mount папку Utils
  11. Распакуйте uVS и TDSSKiller с помощью любого архиватора (например 7-zip) в папки C:\winpe\mount\Utils\uvs и C:\winpe\mount\Utils\tdsskiller соответственно.

    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi410%2F1111%2F40%2F7ac2e8bfa2c7.jpg&hash=bb52b6309898f9773a3197eb43b6df5e


    proxy.php?image=http%3A%2F%2Fs44.radikal.ru%2Fi103%2F1111%2Fcf%2F796a641c3a5e.jpg&hash=b92bd08a5cf948493168af7cf9da128b


    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi420%2F1111%2Fcf%2Fe386197c5e78.jpg&hash=26e66360d728e161df76f96ed70f7ad2

  12. Перемещаемся в директорию C:\winpe\mount\Windows\System32 и находим там файл startnet.cmd

    proxy.php?image=http%3A%2F%2Fi011.radikal.ru%2F1111%2Fa0%2F137febcb2680.jpg&hash=c0607ef23ed33815fc06569e603208ff

  13. С помощью Блокнота, запущенного с правами Администратора, вносим в файл startnet.cmd следующие изменения:

    Код:
    wpeinit
    %SYSTEMDRIVE%\Utils\uvs\FAR\Far.exe
    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi403%2F1111%2Ff1%2F59b8d76c0308.jpg&hash=20535fa756ee84c490f2cf9ee2d3a4e6


    proxy.php?image=http%3A%2F%2Fs40.radikal.ru%2Fi088%2F1111%2F83%2F89a4890697fd.jpg&hash=6d62ea447d697844024a70a13704c26a

  14. Сохраняем измененный файл и закрываем Блокнот.
  15. Теперь необходимо сохранить изменения в смонтированном образе и отключить его, в командной строке средств развертывания скомандуйте:

    Код:
    Dism /Unmount-Wim /MountDir:C:\winpe\mount /Commit
    Примечание: Система DISM очень чувствительна к открытым окнам проводника внутри смонтированного образа, поэтому перед отключением закройте все папки внутри директории C:\winpe\mount

    proxy.php?image=http%3A%2F%2Fs61.radikal.ru%2Fi174%2F1111%2F2a%2Fd2412299dfec.jpg&hash=4daebaf85cffe504a04abad6cacecd46

  16. Дальнейшим действием будет подготовка файлов для создания образа, экспортируем полученный файл winpe.wim в директорию C:\winpe\ISO\sources командой:

    Код:
    imagex /export c:\winpe\winpe.wim 1 c:\winpe\ISO\sources\boot.wim "Windows PE 3.0"
    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi419%2F1111%2F55%2F3ede52ae2108.jpg&hash=a886ace3254825188ce08ddfdef1af25

  17. Создаем из полученных файлов образ диска в формате .iso для дальнейшей записи на CD командой:

    Код:
    oscdimg -n -o -h -bC:\winpe\etfsboot.com C:\winpe\ISO C:\winpe\winpe_x86.iso
    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi402%2F1111%2F08%2F5be596d8ea66.jpg&hash=faeff219835df764c546071a933d65b2

  18. На этом работа с командной строкой завершена, введите команду

    Код:
    Exit
  19. Полученный образ C:\winpe\winpe_x86.iso запишите с помощью любой программы для записи дисков на CD или создайте загрузочный флеш-накопитель.
  20. Live CD Windows PE&uVS для сбора логов с неактиной системы готов. При запуске с данного диска автоматически запустится файловый менеджер FAR:

    proxy.php?image=http%3A%2F%2Fi057.radikal.ru%2F1111%2F58%2Fff84a997c419.jpg&hash=cc0f0cc191868930e03305bea514605e


    Для перезагрузки компьютера просто закройте FAR.

Полезная информация.

  • По умолчанию для утилит отведено 32 MB оперативной памяти, если каким-то программам будет ее на хватать, при сборке образа можно задать другой размер фиксированной RAM. Для этого после пункта 6 изложенной выше инструкции, введите в командной строке:

    Код:
    Dism /image:C:\winpe\mount /Set-ScratchSpace:128
    , где 128 - размер фиксированной RAM.

  • В подключенный образ можно интегрировать пользовательские драйверы из .inf-файлов. Для этого после пункта 6 изложенной выше инструкции, введите в командной строке:

    Код:
    Dism /image:C:\winpe\mount /Add-Driver /Driver:<путь_к_.inf-файлу>
  • По умолчанию разрешение экрана в запущенной с LiveCD системы составляет 800x600 пикселей. Для задания своего разрешения после пункта 16 изложенной выше инструкции, поместите в директорию c:\winpe\ISO файл Unattend.xml следующего содержания:

    Код:
    <?xml version="1.0" encoding="utf-8"?> 
     <unattend xmlns="urn:schemas-microsoft-com:unattend"> 
          <settings pass="windowsPE"> 
              <component name="Microsoft-Windows-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> 
                  <Display> 
                      <ColorDepth>32</ColorDepth> 
                      <HorizontalResolution>1024</HorizontalResolution> 
                      <VerticalResolution>768</VerticalResolution> 
                  </Display> 
              </component> 
          </settings> 
          <cpi:offlineImage cpi:source="" xmlns:cpi="urn:schemas-microsoft-com:cpi" /> 
     </unattend>
    , где ColorDepth - глубина цвета; HorizontalResolution - горизонтальное разрешение; VerticalResolution - вертикальное разрешение.

  • Для задания индивидуального фона рабочего стола после пункта 6 изложенной выше инструкции, замените на собственный файл winpe.bmp в директории C:\winpe\mount\Windows\System32.

Ссылки:
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,729
Баллы
743
#2
Создание образа диска Windows PE&uVS с помощью конструктора, встроенного в uVS

!!!Внимание Этот метод работает только на ОС Windows Vista / Seven и более старших.

В утилиту Universal Virus Sniffer входит простейший конструктор для создания образа диска Windows PE&uVS и записи данного образа на флеш-накопитель.

Для того чтобы создать образ Windows PE&uVS нам понадобятся следующие инструменты:

  1. Собственно сама утилита Universal Virus Sniffer.
  2. Пакет обновления Дополнительный компонент пакета автоматической установки Windows (AIK) для Windows 7 с пакетом обновления 1 (SP1).
  3. Утилита oscdimg.exe, которая входит в Пакет автоматической установки Windows® (AIK) для Windows® 7.
    Universal Virus Sniffer скачивает oscdimg.exe с одного из зарубежных форумов.​
    Утилита oscdimg.exe не понадобится для создания загрузочного флеш-накопителя.


Описание процесса создания образа диска или загрузочного флеш-накопителя.

!!! Внимание:

Из-за того, что после запуска uVS в среде Windows PE происходит выгрузка процесса start.exe и вызов uVS из зашифрованного тела uvsz со случайным именем - произойдет перезагрузка среды Windows PE без возможности создания лога. Данная проблема происходит по причине неверной обработки файла winpeshl.ini, используемого автором uVS для автозапуска приложений в среде Windows PE. Для решения данной проблемы необходимо на пункте 2 следующей инструкции в подготовленную папку с uVS скачать и распаковать файловый менеджер FAR. Файлы FAR необходимо распаковать в подпапку FAR в директории с распакованной и подготовленной утилитой uVS.
Также можно использовать подготовленный и настроенный пакет uVS, скачав его по следующей ссылке (Полный пакет имеет имя uvs_v3xxpack_ru.zip, где 3xx - номер версии - всегда используйте последнюю версию).

_________________________________________________________



  1. Скачайте Дополнительный компонент пакета автоматической установки Windows (AIK) для Windows 7 с пакетом обновления 1 (SP1), смонтируйте образ .iso на любой виртуальный CD / DVD привод, например с помощью программы Daemon Tools Lite или распакуйте в любую папку с помощью архиватора, например 7-zip
  2. Распакуйте Universal Virus Sniffer в отдельную папку и произведите необходимые настройки, например, добавление Базы проверенных файлов и редактирование файла settings.ini.
  3. Снова распакуйте архив Universal Virus Sniffer в другую папку и запустите файл start.exe.
  4. Нажмите кнопку Запустить под текущим пользователем

    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi416%2F1209%2F20%2F9f36d0c34bdc.jpg&hash=acff2088124cec88095d7c4e8bf77367

  5. В меню Файл выберите пункт Создать загрузочную флешку/образ диска

    proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi412%2F1209%2F00%2Fed5ecfdac78b.jpg&hash=27765f7ca946b1b747066547580d1c31

  6. В открывшемся окне по пунктам:

    • Укажите путь к смонтированному или распакованному образу Дополнительный компонент пакета автоматической установки Windows (AIK) для Windows 7 с пакетом обновления 1 (SP1)
    • Укажите путь к утилите oscdimg.exe (только если Вам необходим образ диска, а не создание загрузочной флешки).

      Например, при наличии установленного Пакета автоматической установки Windows® (AIK) для Windows® 7 в 32-битной системе путь будет таким:

      Код:
      C:\Program Files\Windows AIK\Tools\x86\oscdimg.exe
    • Укажите путь к папке с распакованной и настроенной утилитой Universal Virus Sniffer.
    • Укажите путь к папке, в которой будет создан образ диска Windows PE&uVS, и его имя или путь к флеш-накопителю на который будет записан диск Windows PE&uVS.
    • Остальные пункты используйте по вашему усмотрению (можно добавить обои, включить дополнительные утилиты, например, TDSSKiller или BOOTICE и настроить размер файла подкачки, который будет создаваться на жестком диске при загрузке в среде Windows PE - рекомендуется при малом размере оперативной памяти, не рекомендуется если с системного диска необходимо восстанавливать потерянные и удаленные файлы).
    • Нажмите кнопку Создать ISO для создания образа загрузочного диска или кнопку Сделать загрузочной для создания загрузочного флеш-накопителя.

      proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi407%2F1209%2F59%2F01a0924d9052.jpg&hash=95b0486e9698f1e850564e2cb85f4f41

    • По окончанию работы образ диска или загрузочный флеш-накопитель будут готовы.

      proxy.php?image=http%3A%2F%2Fs017.radikal.ru%2Fi416%2F1209%2F9f%2F391b224d6c89.png&hash=0564d8b0a24d0ca2257c881362ded693

Ссылки по теме:

 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу