@kfg 感觉这里是一个坑…… Windows 有个奇怪的限制：不允许 U 盘有多个分区。如果你用第三方分区软件创建了多个分区，那就只挂载第一个分区，后面的分区统统不让碰。使用 BOOTICE 时，分区管理里就有“设为可见”按钮，作用就是把选择的分区调到分区表里第一个位置。
你可以这么折腾一下：
1.使用 BOOTICE 、 DiskGenius 等第三方工具，使用 MBR 分区表，创建一个占用绝大多数空间的 exFAT 分区，再创建一个 100MB 的 FAT32 分区。
2.利用 BOOTICE 的这个“设为可见”功能，先将 exFAT 分区设为可见，拷入安装盘里的文件
3.再将 FAT32 分区设为可见，把安装盘中的 EFI 目录拷入
4.尝试是否可以通过 UEFI 启动。如果不行，尝试把 EFI 目录拷到硬盘上，使用 BOOTICE 的 BCD 编辑功能打开 EFI\Microsoft\Boot\BCD ，设置 Windows Boot Manager 和 Windows Setup 的 device 、 osdevice 值，指向 U 盘的 exFAT 分区然 5.关闭 BOOTICE 的 BCD 编辑功能，将 FAT32 分区设为可见
6.将修改 BCD 后的 EFI 目录拷入 FAT32 分区
7.重新将 exFAT 分区设为可见，尝试是否可以正常启动

还可以尝试将 FAT32 分区的分区 ID 设为 0xEF ，不过这样挂载分区、分配盘符会出现问题，需要调回 0x0B 才能正常分配盘符。

操作很繁琐，但我自己这样尝试还是很成功的，绝大多数电脑都可以通过 UEFI 启动我 U 盘里的 Windows Setup 和 WinPE ，而且也可以使用 exFAT 文件系统，避免 4GB 文件大小限制。

搜索了一下，感觉像是故意的限制，但也有可能是 Bug 。
似乎联想美国官网上有不受限制的 BIOS ：
http://blog.ich8.com/post/5127
不知道 LZ 尝试过没有。

@kfg 你关闭 SecureBoot 了么？

@xrlin 按住 SHIFT 点重启、 BOOTICE 试过没？

如果硬盘上还有 Windows 可以启动，按 SHIFT 再点开始菜单的重启，可以选择进入 UEFI 固件设置。也可以用 BOOTICE 设置下次重启时进入 UEFI 固件设置。

BIOS 有问题的话，可以先尝试一下恢复默认设置。
以前就碰到过一台联想 G 系列的，玄学问题，明明选择了 EFI 模式启动，却不能设置 EFI 启动项。恢复一下默认设置，就正常了。

LZ 只是想装 Win7 的话，可以把 Win8/10 安装盘里的 EFI 文件夹拷过来试试。
不过 UEFI 下启动 Win7 ，需要 BIOS 里开启 CSM （或者叫做 Legacy Support ），否则不能启动（实测在 Windows Logo 处卡住不动）

@mason961125 [email protected]

@mason961125
我还是觉得把文件数据放进注册表的行为太奇怪。
里面还有 svchost.exe 等内容。
看上去，好像是要用从这里释放 dll ，然后拉起 svchost.exe ，假冒正常系统服务干坏事。
驱动的数字签名证书也是被吊销的。

你有愿意逆向分析的朋友么？我从一台中招机上导出过那个注册表项。

貌似不少中招机上，那个注册表项里原本放着文件内容的 REG_BINARY 值都变成 1 字节了。这个键值在木马自我保护范围内，所以它被改应该是木马自己的行为。

@mason961125
哎……学生好欺负啊。

昨天 ClearVirus 都出 3.0 了，不知道现在是不是又更新了。

不过这个驱动的行为让人叹为观止，居然还在注册表里藏文件！？
电信这是要干啥？或者说，这破 rootkit 驱动果真是电信的杰作？

我去，还打错了一行路径：
C:\Windows\System32\drivers\dump?.sys
应该是
C:\Windows\System32\drivers\dump?.tmp

貌似这玩意还想自我清除……
感觉差不多快变无头案了。

求大神分析！

还在蓝屏的，可以用 WinRE 删掉:
C:\Windows\System32\drivers\dump_*.sys
C:\Windows\System32\drivers\dump?.sys
WinRE 挂掉、也没有其他恢复环境可用的，可用用 PCHunter 先还原内核中做的手脚：
内核-系统回调： CreateThread 、 Shutdown 两个项目，红色，未知模块
内核-文件系统：微端口过滤器， 4 条，红色，未知模块（看上去用来隐藏文件的）
内核钩子-FSD ：红色，未知模块，右键恢复（貌似是用来拒绝访问自身文件的）
内核钩子-Object 钩子：红色，未知模块， hhive （貌似是用来隐藏注册表键值的）
然后找到那两个文件，都移动出去，或改个名；然后进注册表 HKLM\SYSTEM\CurrentControlSet\services 下面找到对应的项目，把 Start 值改为 4 （禁止启动）。

蓝屏是一个 rootkit 驱动导致的，已经传 VirusTotal
https://www.virustotal.com/en/file/094921402ccddecfbf33791faf9b5514844e2e93c0e7da7cc3a99c699adaf773/analysis/

如果是 Android 的话：
1.adb shell 、 adb pull ……
2.Sigma-RT Total Control （需要 root ）
3.TeamViewer Host （貌似也是需要 root ）
还可以考虑 OTG （可以买支持 OTG 的 Hub 来用）接上鼠标键盘

暂时只想到这么多。

@easycloud
还是先明确概念吧……虽然我也不是很懂这块。

UEFI 有自己的“启动序列”，即使是同一块硬盘上，也可以用 N 个引导文件路径创建出 N 个引导项。
如果只装了 Windows ，可能 Windows Boot Manager 就是唯一的一项了，但并不代表一切都交由它处理。

BIOS 则只能简单地设定不同设备的启动顺序，同一个设备能有 N 个启动项在 BIOS 里是做不到的。没错，有办法实现类似的效果，比如给硬盘安装 grub2 ，这个引导器的功能很强大，可以 chainload 其他引导器，或者启动各种操作系统；但 BIOS 里能看到的，还是只有“某块硬盘”这一个项目。

使用 Legacy 写入？写入了也没用的。很多激活工具会写入活动分区的引导代码，好让修改过的 grub4dos 先完成伪造 SLIC 的目的，再 chainload bootmgr 。但 UEFI+GPT 环境里，并没有活动分区这个概念，引导代码也压根就不会被执行。
所以，使用 Legacy 写入不会在 UEFI 下触发 LZ 碰到的问题，顶多就是把 C 盘或 ESP 分区文件系统写残了（虽然 UEFI 还没普及时我也没听说过有这种事情）。

根据我的经验，激活工具干的事情如下：
1.拷贝 windslic.efi 到 ESP 分区
2.修改 UEFI 启动序列（保存在 NVRAM 里），添加一项 WindSLIC ，并把它调到最优先。
的确有一些主板，在设置了快速启动后，按 DEL 、 F12 等都无效了。所以，我觉得第一种可能是： UEFI 固件直接执行了启动序列第一位的 WindSLIC ，然后，正巧 WindSLIC 在这些主板上不工作，运行陷入了死循环，于是就有了卡在 LOGO 处，按什么键都没用的情况。
但也许是另一种情况？就是这个主板的 UEFI 固件在处理增加启动项目时有 Bug ，哪怕添加的不是 WindSLIC 而是别的什么东西，也会在重启时卡住不动。


https://forums.mydigitallife.info/threads/29740-WindSLIC-UEFI-SLIC-injector/page66
#660 这一楼有一个修改过的 WindSLIC （某些主板已经有一个 SLIC ，这个修改版 WindSLIC 会把已存在的 SLIC 改名为 OEMx ，避免重复）。
@lygmqkl 楼主如果还有折腾的兴趣，可以试试用它替换掉微软的 bootmgfw.efi ，这样可以避免修改 NVRAM 。也许对比直接运行激活工具的情况，就可以分析一下了？
替换步骤：
1.WIN+R 运行 diskpart 。
2.使用 list disk 命令列出磁盘。
3.一般内置硬盘是磁盘 0 ，所以用 sel disk 0 命令选中它。
4.使用 list part 命令列出分区。
5.找到系统分区，使用 sel part X 命令选中它(X 为系统分区的编号)
6.使用 assign letter S 命令分配盘符 S:
7.把 S:\EFI\Microsoft\Boot\bootmgfw.efi 重命名为 bootmgfw.bak ，然后用 windslic.efi 复制过来，重命名，顶替 bootmgfw.efi 。

@easycloud
UEFI 的确有“闪速启动”之类功能，导致来不及在开机时按键进入 UEFI 配置界面。不知道 @lygmqkl 有没有开启类似的选项？
这样的话，也许就可以解释为 UEFI 固件忽略了 F12 等按键，但启动到执行 EFI 文件时卡住了。

但是，我以前就有过使用激活工具后重启，按什么键都没反应的经历，当时并没有设置过快速开机之类的选项。而且，在用激活工具之前，可以按 F12 等键打开启动菜单、进入 UEFI 配置界面，用了以后就不行，我觉得这应该能叫做 Bug 了吧。

而且 LZ 用的是 Win7 ……不是 Win10 ，本来 Win7 就不是完全支持 UEFI 的，需要开启 CSM 才能正常完成启动。

@easycloud 这个应该是 UEFI 固件的 Bug ，楼主不是说了么， F12 菜单都出不来了。
其实，有点像三星启动 Linux 变砖那种情况。

建议 LZ 进 BIOS 调一下引导模式，从 UEFI 调回 Legacy BIOS （可能有不同的名字，比如 LEGACY 、 Legacy Support 、 Enable CSM 等等）。
如果无论怎么调都是插上 SSD 就不能动，就只能把 SSD 挂到别的机器上去了。
最新的傲梅分区助手可以在 WinPE 下把 GPT 转回 MBR 。转完后，设置一下活动分区和引导，启动 Win7 ，各种“软激活”就都能用了。

用了小马吧？
小马用的是 WindSLIC ，而且是在 NVRAM 里新加了一个启动项。
多数主板都没问题，少数主板就有楼主的问题：不拔硬盘，无法启动，甚至进不去 CMOS 。

Win7 专业版可以用 KMS ，旗舰版不行，必须模拟 SLIC ，再导入证书和 key 。
如果坚持用 UEFI 引导+GPT 分区表，就必须得用 WindSLIC ；要么就放弃 UEFI 引导，把分区表转回 MBR ，改用 Legacy BIOS 引导，然后各种“软激活”工具一般都比较靠谱。