彻底关闭WinPE的回收站功能,禁止写入System Volume Information目录(禁止对硬盘有写入操作,数据恢复必备)
2021-11-20 2519

WinPE启动时,会对本地硬盘所有分区建立回收站目录,这不利于数据恢复,所以有必要彻底关闭WinPE的回收站功能。

修改注册表

挂载default为HKLM\df,挂载software为HKLM\sf,导入下面的注册表

Windows Registry Editor Version 5.00

//可禁止写入System Volume Information目录
[HKEY_LOCAL_MACHINE\sf\Policies\Microsoft\Windows NT\systemrestore]
"DisableSR"=dword:00000001
"DisableConfig"=dword:00000001

[HKEY_LOCAL_MACHINE\df\Software\Policies\Microsoft\Windows NT\systemrestore]
"DisableSR"=dword:00000001
"DisableConfig"=dword:00000001

//隐藏桌面回收站图标
[HKEY_LOCAL_MACHINE\df\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{645FF040-5081-101B-9F08-00AA002F954E}"=dword:00000001

//关闭回收站
[HKEY_LOCAL_MACHINE\df\Software\Microsoft\Windows\CurrentVersion\Explorer]
[HKEY_LOCAL_MACHINE\df\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]
"LastEnum"=-
[-HKEY_LOCAL_MACHINE\df\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume]
//这项可能没有,手动建立
[HKEY_LOCAL_MACHINE\sf\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]

 

清空注册表权限

定位到注册表:[HKEY_LOCAL_MACHINE\df\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket],右键BitBucket,点击“权限”

点击“高级”

点击“禁用继承”

选择“从此对象中删除所有已继承的权限”

最后点击“确定”

相同的步骤,清空这里的权限:[HKEY_LOCAL_MACHINE\sf\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]

清理权限之后再看看权限,已经确认清空了

改完之后卸载已挂载的注册表。

验证是否对硬盘有写入

来让我们启动WinPE测试一下吧

挑选一个分区,删除回收站目录 $RECYCLE.BIN

重启WinPE再来看看这个分区,确实不会建立回收站目录了,System Volume Information目录的修改日期也没有变化

 

收藏
点赞
道具卡
分享
官方QQ群:872611894(人少,慎加😜)
最新回复 (10)
  • avatar image
    wxinchun92 2022-10-16

    厉害👍

  • avatar image
    sairen139 2022-10-17

    经离线挂载pe的两配置文件导入和修改上传实验验证,进pe三次验证了此方法有效,成功关闭了回收站也禁止写入了所有分区的system volume information系统级文件夹!

  • avatar image
    123 2023-4-18

    设置权限的那一步,有办法用命令行操作吗

    123
  • avatar image
    caocaofff 2023-4-18
    楼主   5
    123 设置权限的那一步,有办法用命令行操作吗

    可以用setacl修改注册表权限

    官方QQ群:872611894(人少,慎加😜)
  • avatar image
    123 2023-4-18
    caocaofff 可以用setacl修改注册表权限

    可以写一下具体的命令吗

    123
  • avatar image
    caocaofff 2023-4-18
    楼主   7
    123 可以写一下具体的命令吗

    我问了一下chatGPT,它给出了一个答案,你可以试试看。

     

    以下是使用setacl命令修改注册表权限,禁用继承以清空所有权限的完整命令:

    setacl.exe -on "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket" -ot reg -actn setprot -op "dacl:np;sacl:np" -rec cont_obj

    解释一下这个命令:

    `-on` 指定要设置权限的对象(本例中是注册表位置HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket)。
    `-ot` 指定目标类型为注册表。
    `-actn setprot` 指定要执行的操作为设置权限。
    `-op` 定义权限选项。在本例中,“dacl:np”表示禁用继承并清空所有权限,“sacl:np”表示保持系统访问控制列表为空。
    `-rec cont_obj` (可选项)指示setacl应递归地修改子对象的权限而不提示用户确认。

    请注意,使用setacl命令修改注册表时需要以管理员身份运行命令提示符或PowerShell控制台。

    官方QQ群:872611894(人少,慎加😜)
  • avatar image
    123 2023-4-18
    caocaofff 我问了一下chatGPT,它给出了一个答案,你可以试试看。   以下是使用setacl命令修改注册表权限,禁用继承以清空所有权限的完整命令: setacl.exe -on &q ...

    我也问了chatgpt,给了几个不同的答案,都不行,过会试试你这个

    123
  • avatar image
    123 2023-4-18
    caocaofff 我问了一下chatGPT,它给出了一个答案,你可以试试看。   以下是使用setacl命令修改注册表权限,禁用继承以清空所有权限的完整命令: setacl.exe -on &q ...

    你这个也不行

    123
  • avatar image
    123 2023-4-19
    caocaofff 我问了一下chatGPT,它给出了一个答案,你可以试试看。   以下是使用setacl命令修改注册表权限,禁用继承以清空所有权限的完整命令: setacl.exe -on &q ...

    解决了

    regini.exe regini.ini

    regini.ini内容为:注册表路径 []

    123
  • avatar image
    caocaofff 2023-4-19
    楼主   11
    123 解决了 regini.exe regini.ini regini.ini内容为:注册表路径 []

    嗯,看样子应该是先获取权限后再删除权限

    官方QQ群:872611894(人少,慎加😜)
返回