V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  acess  ›  全部回复第 101 页 / 共 113 页
回复总数  2245
1 ... 97  98  99  100  101  102  103  104  105  106 ... 113  
2016-12-17 18:09:29 +08:00
回复了 xrlin 创建的主题 问与答 有没有通过 uefi 启动的 win7 pe?
@kfg 感觉这里是一个坑…… Windows 有个奇怪的限制:不允许 U 盘有多个分区。如果你用第三方分区软件创建了多个分区,那就只挂载第一个分区,后面的分区统统不让碰。使用 BOOTICE 时,分区管理里就有“设为可见”按钮,作用就是把选择的分区调到分区表里第一个位置。
你可以这么折腾一下:
1.使用 BOOTICE 、 DiskGenius 等第三方工具,使用 MBR 分区表,创建一个占用绝大多数空间的 exFAT 分区,再创建一个 100MB 的 FAT32 分区。
2.利用 BOOTICE 的这个“设为可见”功能,先将 exFAT 分区设为可见,拷入安装盘里的文件
3.再将 FAT32 分区设为可见,把安装盘中的 EFI 目录拷入
4.尝试是否可以通过 UEFI 启动。如果不行,尝试把 EFI 目录拷到硬盘上,使用 BOOTICE 的 BCD 编辑功能打开 EFI\Microsoft\Boot\BCD ,设置 Windows Boot Manager 和 Windows Setup 的 device 、 osdevice 值,指向 U 盘的 exFAT 分区然 5.关闭 BOOTICE 的 BCD 编辑功能,将 FAT32 分区设为可见
6.将修改 BCD 后的 EFI 目录拷入 FAT32 分区
7.重新将 exFAT 分区设为可见,尝试是否可以正常启动

还可以尝试将 FAT32 分区的分区 ID 设为 0xEF ,不过这样挂载分区、分配盘符会出现问题,需要调回 0x0B 才能正常分配盘符。

操作很繁琐,但我自己这样尝试还是很成功的,绝大多数电脑都可以通过 UEFI 启动我 U 盘里的 Windows Setup 和 WinPE ,而且也可以使用 exFAT 文件系统,避免 4GB 文件大小限制。
2016-12-17 18:01:07 +08:00
回复了 xrlin 创建的主题 问与答 有没有通过 uefi 启动的 win7 pe?
搜索了一下,感觉像是故意的限制,但也有可能是 Bug 。
似乎联想美国官网上有不受限制的 BIOS :
http://blog.ich8.com/post/5127
不知道 LZ 尝试过没有。
2016-12-17 17:52:02 +08:00
回复了 xrlin 创建的主题 问与答 有没有通过 uefi 启动的 win7 pe?
@kfg 你关闭 SecureBoot 了么?
2016-12-17 14:59:44 +08:00
回复了 xrlin 创建的主题 问与答 有没有通过 uefi 启动的 win7 pe?
@xrlin 按住 SHIFT 点重启、 BOOTICE 试过没?
2016-12-17 14:50:03 +08:00
回复了 xrlin 创建的主题 问与答 有没有通过 uefi 启动的 win7 pe?
如果硬盘上还有 Windows 可以启动,按 SHIFT 再点开始菜单的重启,可以选择进入 UEFI 固件设置。也可以用 BOOTICE 设置下次重启时进入 UEFI 固件设置。
2016-12-17 14:48:43 +08:00
回复了 xrlin 创建的主题 问与答 有没有通过 uefi 启动的 win7 pe?
BIOS 有问题的话,可以先尝试一下恢复默认设置。
以前就碰到过一台联想 G 系列的,玄学问题,明明选择了 EFI 模式启动,却不能设置 EFI 启动项。恢复一下默认设置,就正常了。
2016-12-17 14:47:27 +08:00
回复了 xrlin 创建的主题 问与答 有没有通过 uefi 启动的 win7 pe?
LZ 只是想装 Win7 的话,可以把 Win8/10 安装盘里的 EFI 文件夹拷过来试试。
不过 UEFI 下启动 Win7 ,需要 BIOS 里开启 CSM (或者叫做 Legacy Support ),否则不能启动(实测在 Windows Logo 处卡住不动)
2016-12-10 21:41:20 +08:00
回复了 mason961125 创建的主题 问与答 电信天翼校园客户端导致 Windows 大面积蓝屏
2016-12-10 20:38:12 +08:00
回复了 mason961125 创建的主题 问与答 电信天翼校园客户端导致 Windows 大面积蓝屏
@mason961125
我还是觉得把文件数据放进注册表的行为太奇怪。
里面还有 svchost.exe 等内容。
看上去,好像是要用从这里释放 dll ,然后拉起 svchost.exe ,假冒正常系统服务干坏事。
驱动的数字签名证书也是被吊销的。

你有愿意逆向分析的朋友么?我从一台中招机上导出过那个注册表项。

貌似不少中招机上,那个注册表项里原本放着文件内容的 REG_BINARY 值都变成 1 字节了。这个键值在木马自我保护范围内,所以它被改应该是木马自己的行为。
2016-12-10 18:53:04 +08:00
回复了 mason961125 创建的主题 问与答 电信天翼校园客户端导致 Windows 大面积蓝屏
@mason961125
哎……学生好欺负啊。

昨天 ClearVirus 都出 3.0 了,不知道现在是不是又更新了。

不过这个驱动的行为让人叹为观止,居然还在注册表里藏文件!?
电信这是要干啥?或者说,这破 rootkit 驱动果真是电信的杰作?
2016-12-10 10:05:42 +08:00
回复了 mason961125 创建的主题 问与答 电信天翼校园客户端导致 Windows 大面积蓝屏
我去,还打错了一行路径:
C:\Windows\System32\drivers\dump?.sys
应该是
C:\Windows\System32\drivers\dump?.tmp
2016-12-10 10:04:40 +08:00
回复了 mason961125 创建的主题 问与答 电信天翼校园客户端导致 Windows 大面积蓝屏
貌似这玩意还想自我清除……
感觉差不多快变无头案了。

求大神分析!

还在蓝屏的,可以用 WinRE 删掉:
C:\Windows\System32\drivers\dump_*.sys
C:\Windows\System32\drivers\dump?.sys
WinRE 挂掉、也没有其他恢复环境可用的,可用用 PCHunter 先还原内核中做的手脚:
内核-系统回调: CreateThread 、 Shutdown 两个项目,红色,未知模块
内核-文件系统:微端口过滤器, 4 条,红色,未知模块(看上去用来隐藏文件的)
内核钩子-FSD :红色,未知模块,右键恢复(貌似是用来拒绝访问自身文件的)
内核钩子-Object 钩子:红色,未知模块, hhive (貌似是用来隐藏注册表键值的)
然后找到那两个文件,都移动出去,或改个名;然后进注册表 HKLM\SYSTEM\CurrentControlSet\services 下面找到对应的项目,把 Start 值改为 4 (禁止启动)。
2016-12-10 09:57:05 +08:00
回复了 mason961125 创建的主题 问与答 电信天翼校园客户端导致 Windows 大面积蓝屏
如果是 Android 的话:
1.adb shell 、 adb pull ……
2.Sigma-RT Total Control (需要 root )
3.TeamViewer Host (貌似也是需要 root )
还可以考虑 OTG (可以买支持 OTG 的 Hub 来用)接上鼠标键盘

暂时只想到这么多。
2016-11-17 00:29:25 +08:00
回复了 lygmqkl 创建的主题 硬件 开机卡在 bios 界面,按任何键盘都没用,高手帮忙支个招
@easycloud
还是先明确概念吧……虽然我也不是很懂这块。

UEFI 有自己的“启动序列”,即使是同一块硬盘上,也可以用 N 个引导文件路径创建出 N 个引导项。
如果只装了 Windows ,可能 Windows Boot Manager 就是唯一的一项了,但并不代表一切都交由它处理。

BIOS 则只能简单地设定不同设备的启动顺序,同一个设备能有 N 个启动项在 BIOS 里是做不到的。没错,有办法实现类似的效果,比如给硬盘安装 grub2 ,这个引导器的功能很强大,可以 chainload 其他引导器,或者启动各种操作系统;但 BIOS 里能看到的,还是只有“某块硬盘”这一个项目。

使用 Legacy 写入?写入了也没用的。很多激活工具会写入活动分区的引导代码,好让修改过的 grub4dos 先完成伪造 SLIC 的目的,再 chainload bootmgr 。但 UEFI+GPT 环境里,并没有活动分区这个概念,引导代码也压根就不会被执行。
所以,使用 Legacy 写入不会在 UEFI 下触发 LZ 碰到的问题,顶多就是把 C 盘或 ESP 分区文件系统写残了(虽然 UEFI 还没普及时我也没听说过有这种事情)。

根据我的经验,激活工具干的事情如下:
1.拷贝 windslic.efi 到 ESP 分区
2.修改 UEFI 启动序列(保存在 NVRAM 里),添加一项 WindSLIC ,并把它调到最优先。
的确有一些主板,在设置了快速启动后,按 DEL 、 F12 等都无效了。所以,我觉得第一种可能是: UEFI 固件直接执行了启动序列第一位的 WindSLIC ,然后,正巧 WindSLIC 在这些主板上不工作,运行陷入了死循环,于是就有了卡在 LOGO 处,按什么键都没用的情况。
但也许是另一种情况?就是这个主板的 UEFI 固件在处理增加启动项目时有 Bug ,哪怕添加的不是 WindSLIC 而是别的什么东西,也会在重启时卡住不动。


https://forums.mydigitallife.info/threads/29740-WindSLIC-UEFI-SLIC-injector/page66
#660 这一楼有一个修改过的 WindSLIC (某些主板已经有一个 SLIC ,这个修改版 WindSLIC 会把已存在的 SLIC 改名为 OEMx ,避免重复)。
@lygmqkl 楼主如果还有折腾的兴趣,可以试试用它替换掉微软的 bootmgfw.efi ,这样可以避免修改 NVRAM 。也许对比直接运行激活工具的情况,就可以分析一下了?
替换步骤:
1.WIN+R 运行 diskpart 。
2.使用 list disk 命令列出磁盘。
3.一般内置硬盘是磁盘 0 ,所以用 sel disk 0 命令选中它。
4.使用 list part 命令列出分区。
5.找到系统分区,使用 sel part X 命令选中它(X 为系统分区的编号)
6.使用 assign letter S 命令分配盘符 S:
7.把 S:\EFI\Microsoft\Boot\bootmgfw.efi 重命名为 bootmgfw.bak ,然后用 windslic.efi 复制过来,重命名,顶替 bootmgfw.efi 。
2016-11-16 23:31:38 +08:00
回复了 lygmqkl 创建的主题 硬件 开机卡在 bios 界面,按任何键盘都没用,高手帮忙支个招
@easycloud
UEFI 的确有“闪速启动”之类功能,导致来不及在开机时按键进入 UEFI 配置界面。不知道 @lygmqkl 有没有开启类似的选项?
这样的话,也许就可以解释为 UEFI 固件忽略了 F12 等按键,但启动到执行 EFI 文件时卡住了。

但是,我以前就有过使用激活工具后重启,按什么键都没反应的经历,当时并没有设置过快速开机之类的选项。而且,在用激活工具之前,可以按 F12 等键打开启动菜单、进入 UEFI 配置界面,用了以后就不行,我觉得这应该能叫做 Bug 了吧。

而且 LZ 用的是 Win7 ……不是 Win10 ,本来 Win7 就不是完全支持 UEFI 的,需要开启 CSM 才能正常完成启动。
2016-11-16 23:05:46 +08:00
回复了 lygmqkl 创建的主题 硬件 开机卡在 bios 界面,按任何键盘都没用,高手帮忙支个招
@easycloud 这个应该是 UEFI 固件的 Bug ,楼主不是说了么, F12 菜单都出不来了。
其实,有点像三星启动 Linux 变砖那种情况。
2016-11-16 20:18:40 +08:00
回复了 lygmqkl 创建的主题 硬件 开机卡在 bios 界面,按任何键盘都没用,高手帮忙支个招
建议 LZ 进 BIOS 调一下引导模式,从 UEFI 调回 Legacy BIOS (可能有不同的名字,比如 LEGACY 、 Legacy Support 、 Enable CSM 等等)。
如果无论怎么调都是插上 SSD 就不能动,就只能把 SSD 挂到别的机器上去了。
最新的傲梅分区助手可以在 WinPE 下把 GPT 转回 MBR 。转完后,设置一下活动分区和引导,启动 Win7 ,各种“软激活”就都能用了。
2016-11-16 20:14:07 +08:00
回复了 lygmqkl 创建的主题 硬件 开机卡在 bios 界面,按任何键盘都没用,高手帮忙支个招
用了小马吧?
小马用的是 WindSLIC ,而且是在 NVRAM 里新加了一个启动项。
多数主板都没问题,少数主板就有楼主的问题:不拔硬盘,无法启动,甚至进不去 CMOS 。

Win7 专业版可以用 KMS ,旗舰版不行,必须模拟 SLIC ,再导入证书和 key 。
如果坚持用 UEFI 引导+GPT 分区表,就必须得用 WindSLIC ;要么就放弃 UEFI 引导,把分区表转回 MBR ,改用 Legacy BIOS 引导,然后各种“软激活”工具一般都比较靠谱。
2016-10-26 04:20:09 +08:00
回复了 kfll 创建的主题 Linux CVE-2016-5195 (Dirty COW) Linux 内核提权漏洞 , Android 受影响
@acess 而且,似乎不能执行 owner (或者是 group ?)和当前进程 UID 不符的文件(系统自带的文件应该就除外了)
打错……
1 ... 97  98  99  100  101  102  103  104  105  106 ... 113  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2673 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 28ms · UTC 11:57 · PVG 19:57 · LAX 03:57 · JFK 06:57
Developed with CodeLauncher
♥ Do have faith in what you're doing.