Создание диска Windows PE для сбора логов с неактивной системы

Severnyj · 4 Ноя 2011

Данный диск пригодится для сбора логов в ситуации, когда загрузиться в систему невозможно, например при заражении различными видами винлокеров.

Если вы желаете собрать собственный LiveCD для удобства, а не использовать нашу сборку.

Для создания диска нам понадобятся:

Незаражённый компьютер с установленной операционной системой не ниже Windows 8..
Пакет автоматической установки Windows 10 2004 ADK + Windows надстройка PE для ADK версии 2004 (Это последний пакет поддерживающий Windows PE x86, всё, что старше, — это x64, в котором запуск 32-битных приложений невозможен.
Universal Virus Sniffer (UVS)
FRST - используйте х86 версию.
WinXShell x86 — портативная программа, которая предлагает альтернативный интерфейс для Windows (PE), для удобства.
Установленный Notepad ++ — необязательно, можно внести правки при помощи блокнота

Все следующие операции производятся на чистом компьютере.

Скачайте пакеты Windows 10 2004 ADK + Windows надстройка PE для ADK версии 2004 и установите их. Для успешной установки достаточно компонентов:
По окончанию установки запустите Командную строку средств развертывания из меню Пуск => Microsoft Kits => Среда средств развертывания и работы с образами.

Запуск программы необходимо производить с правами администратора.
Введите в консоли команду:
Код:
```
copype.cmd x86 c:\winpe
```
Данный сценарий создаст следующую структуру каталогов и скопирует все необходимые файлы для этой архитектуры.
Код:
```
\winpe
\winpe\fwfiles
\winpe\media
\winpe\mount
```
Папка \media содержит все файлы, необходимые для создания ISO-файла с помощью средства ADK, за исключением образа Windows PE (boot.wim). Необходимо создать свой особый образ boot.wim с помощью используемого по умолчанию образа Windows PE (winpe.wim) и скопировать boot.wim в папку \media\sources. Папка \mount используется для подключения образов Windows PE с помощью средства ImageX или DISM.

Подключим образ winpe.wim и смонтируем его в директорию C:\winpe\mount командой:

Код:

Dism /Mount-Image /ImageFile:"C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\x86\en-us\winpe.wim" /index:1 /MountDir:"C:\winpe\mount"

Теперь в подмонтированный образ нужно добавить необходимые утилиты.*
* Набор утилит ограничивается только вашей фантазией и возможностями WinPE
Скачайте полную версию uvs
Скачайте 32х битную версию FRST
Скачайте WinXShell_x86
Создайте в директории C:\winpe\mount папку Utils
Распакуйте uVS и WinXShell_x86 с помощью любого архиватора (например 7-zip) в папки C:\winpe\mount\Utils\uvs и C:\winpe\mount\Utils\WinXShell_x86 соответственно. FRST достаточно скопировать в папку
Перемещаемся в директорию C:\winpe\mount\Windows\System32 и находим там файл startnet.cmd
С помощью Notepad ++, запущенного с правами Администратора, вносим в файл startnet.cmd следующие изменения:
Код:
```
wpeinit
%SYSTEMDRIVE%\Utils\WinXShell_X86\WinXShell.exe
```
Сохраняем измененный файл и закрываем Notepad ++
Теперь необходимо сохранить изменения в смонтированном образе и отключить его, в командной строке средств развертывания скомандуйте:
Код:
```
Dism /Unmount-Image /MountDir:"C:\winpe\mount" /commit
```
Примечание: Система DISM очень чувствительна к открытым окнам проводника внутри смонтированного образа, поэтому перед отключением закройте все папки внутри директории C:\winpe\mount
Дальнейшим действием будет подготовка файлов для создания образа, экспортируем полученный файл winpe.wim в директорию C:\winpe\ISO\sources командой:
Код:
```
del C:\winpe\media\sources\boot.wim & imagex /export "C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\x86\en-us\winpe.wim" 1 "C:\winpe\media\sources\boot.wim" "Microsoft Windows PE (x86)"
```
*Это довольно спорное решение, но работает
Создаем из полученных файлов образ диска в формате .iso для дальнейшей записи на CD командой:
Код:
```
MakeWinPEMedia /ISO C:\winpe C:\winpe\WinPE_X86.iso
```
[
На этом работа с командной строкой завершена, введите команду
Код:
```
Exit
```
Полученный образ C:\winpe\WinPE_X86.iso запишите с помощью любой программы для записи дисков на CD или создайте загрузочный флеш-накопитель.
Live CD Windows PE&uVS для сбора логов с неактивной системы готов. При запуске с данного диска автоматически запустится Explorer++, который идёт в наборе с WinXShell.

Полезная информация.

По умолчанию для утилит отведено 32 MB оперативной памяти, если каким-то программам будет ее на хватать, при сборке образа можно задать другой размер фиксированной RAM. Для этого после пункта 5 изложенной выше инструкции, введите в командной строке:
Код:
```
Dism /image:C:\winpe\mount /Set-ScratchSpace:128
```
, где 128 - размер фиксированной RAM.
В подключенный образ можно интегрировать пользовательские драйверы из .inf-файлов. Для этого после пункта 5 изложенной выше инструкции, введите в командной строке:
Код:
```
Dism /image:C:\winpe\mount /Add-Driver /Driver:<путь_к_.inf-файлу>
```

По умолчанию разрешение экрана в запущенной с LiveCD системы составляет 800x600 пикселей. Для задания своего разрешения после пункта 16 изложенной выше инструкции поместите в директорию C:\winpe\ISO файл Unattend.xml следующего содержания:

Код:

<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
      <settings pass="windowsPE">
          <component name="Microsoft-Windows-Setup" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
              <Display>
                  <ColorDepth>32</ColorDepth>
                  <HorizontalResolution>1024</HorizontalResolution>
                  <VerticalResolution>768</VerticalResolution>
              </Display>
          </component>
      </settings>
      <cpi:offlineImage cpi:source="" xmlns:cpi="urn:schemas-microsoft-com:cpi" />
</unattend>

, где ColorDepth - глубина цвета; HorizontalResolution - горизонтальное разрешение; VerticalResolution - вертикальное разрешение.

Для задания индивидуального фона рабочего стола после пункта 6 изложенной выше инструкции замените файл winpe.bmp в директории C:\winpe\mount\Windows\System32 на собственный.

Ссылки:

Severnyj · 21 Сен 2012

Создание образа диска Windows PE&uVS с помощью конструктора, встроенного в Universal Virus Sniffer

!!!Внимание: Этот метод работает только на ОС Windows Vista / Seven и более старших.

В утилиту Universal Virus Sniffer входит простейший конструктор для создания образа диска Windows PE&uVS и записи данного образа на флеш-накопитель.

Начиная с версии 4.99.0 uVS стал полностью 64-х битным, поэтому можно собрать образ как для x64, так и для x86.

Для того чтобы создать образ Windows PE&uVS нам понадобятся следующие инструменты:

Собственно сама утилита Universal Virus Sniffer.
Пакет автоматической установки Windows 10 2004 ADK + Windows надстройка PE для ADK версии 2004 для (x86 + 64) сборки или Новейший ADK только для x64.

Описание процесса создания образа диска или загрузочного флеш-накопителя.

!!! Внимание:

Из-за того, что после запуска uVS в среде Windows PE происходит выгрузка процесса start.exe и вызов uVS из зашифрованного тела uvsz со случайным именем - произойдёт перезагрузка среды Windows PE без возможности создания лога. Данная проблема происходит по причине неверной обработки файла winpeshl.ini, используемого автором uVS для автозапуска приложений в среде Windows PE. Для решения данной проблемы необходимо на пункте 2 следующей инструкции в подготовленную папку с uVS скачать и распаковать файловый менеджер FAR (x86). Файлы FAR необходимо распаковать в подпапку FAR в директории с распакованной и подготовленной утилитой uVS.

_________________________________________________________

Скачайте и установите пакет автоматической установки Windows 10 2004 ADK + Windows надстройка PE для ADK версии 2004 или Новейший ADK (только x64 версия)
Распакуйте Universal Virus Sniffer в отдельную папку и произведите необходимые настройки, например, добавление б азы проверенных файлов и редактирование файла settings.ini.
Снова распакуйте архив Universal Virus Sniffer в другую папку и запустите файл start.exe.
Нажмите кнопку Запустить под текущим пользователем
В меню Файл выберите пункт Создать загрузочную флешку/образ диска
Выберите какой разрядности необходимо создать образ (обычно требуется образ x64).
В открывшемся окне по пунктам:
- После установки пакета ADK и дополнения PE достаточно нажать на кнопку "определить путь"
  Например, при наличии установленных пакетов путь будет таким:
  
  C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit
  C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\x86\Oscdimg\oscdimg.exe
- Укажите путь к папке с распакованной и настроенной утилитой Universal Virus Sniffer.
- Укажите путь к папке, в которой будет создан образ диска Windows PE&uVS, и его имя или путь к флеш-накопителю на который будет записан диск Windows PE&uVS.
- Остальные пункты используйте по вашему усмотрению (можно добавить обои, включить дополнительные утилиты, например, TDSSKiller или BOOTICE, и настроить размер файла подкачки, который будет создаваться на жестком диске при загрузке в среде Windows PE. Это рекомендуется при малом размере оперативной памяти, но не рекомендуется, если с системного диска необходимо восстанавливать потерянные и удалённые файлы.
- Нажмите кнопку Создать ISO для создания образа загрузочного диска или кнопку Сделать загрузочной для создания загрузочного флеш-накопителя.
- По окончании работы образ диска или загрузочный флеш-накопитель будут готовы.