» Windows Preinstallation Environment(WinPE) и BartPE LiveCD 6

SANIOK_AV
Цитата:

то есть при создании скриптом плагина тоже нужно имть каспера с установленным только сканером?

нет и еще раз нет! Главное изначально реестр плага собрать без хлама!
А инфа по базам при запуске с CD присутствувала сразу - это естественно. Смотри мое сообщение выше...

Для защиты от авторанов

; Отключение автостарта autorun.inf
[SetupReg.AddReg]
; параметр 0 отключает автостарт Cdrom, при клике на диске в эксплорере авторан не стартует (в базовом)
0x4, "ControlSet001\Services\Cdrom","AutoRun", 0x0
; отключение автозагрузки autorun.inf для всех типов устройств (в базовом)
0x4,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoDriveTypeAutoRun",0xff
; вторая защита от autorun.inf, вместо авторана читать ветку @SYS:DoesNotExist, которой не существует
0x1, "Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf","","@SYS:DoesNotExist"
; третья защита от autorun.inf - Отключить авторан если на диске есть хотя бы один файл
0x1, "Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files","*.*",""

[Default.AddReg]
0x4, "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","CDRAutoRun", 0x0

AZJIO, аналогичный рег +вкл.отображения скрытых файлов.
Надо б ещё батник сочинить для применения к удалённому реестру - для последующего безопасного втыкания флешек в заражённые системы.


Код: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

VV2006
Цитата:

Надо б ещё батник сочинить для применения к удалённому реестру

Это обычно решается по другому:
- файловая система NTFS
- запрещено для всех запись в корень
- на папки содержащиеся в корне наследование отключено
- в корне лежит скрытый системный файл с полным запретом(на уровне NTFS) для всех "System Volume Information"
- в корне создана скрытая системная папка с полным запретом(на уровне NTFS) для всех AUTORUN.INF. К тому же сожержащая хотя бы один файл с именем типа "prn", "lpt1", "copy" и так далее
- на все подвложенные папки и файлы(на уровне NTFS) не разрешить изменение для всех кроме текущей твоей учетки(можно нескольких учеток - например на рабочем и на домашнем компе)...

yurkesha
Не, форматить в NTFS флешку для этого не совсем то, тем более, на вирусинфо уже замечены случаи обхода такой защиты. А "prn", "lpt1" - если только от простейших, от авторанеров надёжнее пандовский вакцинатор.

VV2006

Цитата:

Надо б ещё батник сочинить для применения к удалённому реестру

да вроде не нужен батник, там ведь для reg-файлов есть в контекстном меню типа "Импорт в удалённый реестр".

VV2006
Ты для начала выполни полный комплекс мер, а потом будешь говорить что есть на вирусинфо и чего нет... Полный комплекс даже руками не всякий человек обойдет.

yurkesha

Цитата:

Ты ошибаешься...
Обрати внимание на кусок скрипта из плага avp9_cd.cmd(15 строка)
Код:IF NOT EXIST "%ALLUSERSPROFILE%\Application Data\Kaspersky Lab\AVP9\Report" MD "%ALLUSERSPROFILE%\Application Data\Kaspersky Lab\AVP9\Report" & XCOPY /e /i /q /h /r /y "Report\*" "%ALLUSERSPROFILE%\Application Data\Kaspersky Lab\AVP9\Report"

Это две команды а не одна...
А в 8 и в 9 каспере(обычном) инфа отражаемая в разделе обновлений читается из REPORT\08...

это да. эту строчку я перво наперво заметил и юзал. видимо в вкс 6.0.4 ее недостаточно оказалось.

кстати там в реестре есть еще переменная

0x1, "KasperskyLab\protected\AVP80\profiles\AVService\settings\def","TempDBFolder","%Bases%\Cache"

если базы на рам-диске - все понятно - там он и создается

а если базы на сд - то он вообще не создается? а если запускаем с флешки "базы-на сд" то создается на флешке в папке с базами - что наверняка замедляет работу.

может имеет смысл то же по у молчанию его создаватьв сегда на рамдиске?

Добавлено:
SANIOK_AV

Цитата:

то есть при создании скриптом плагина тоже нужно имть каспера с установленным только сканером?

не не не. это я о себе писал. что при создании куска реестра для плагина мне надо было сразу без лишнего поставить каспера. что я и сделал в конце концов.

вам плагин можно создавать при любых установленных компонентах. я так и делаю теперь. все работает.

разве что базы копируются ВСЕ (в том числе и антихакера и прочих - которые сканером наверняка не используются. но усложнять плагин выборочным копированием баз и подвергать опасности что не все нужные базы скопируются - я не думаю что оно того стоит.

yurkesha
Цитата:

нет и еще раз нет! Главное изначально реестр плага собрать без хлама!
А инфа по базам при запуске с CD присутствувала сразу - это естественно. Смотри мое сообщение выше...

Hrist
Цитата:

не не не. это я о себе писал. что при создании куска реестра для плагина мне надо было сразу без лишнего поставить каспера. что я и сделал в конце концов.

вам плагин можно создавать при любых установленных компонентах. я так и делаю теперь. все работает.

разве что базы копируются ВСЕ (в том числе и антихакера и прочих - которые сканером наверняка не используются. но усложнять плагин выборочным копированием баз и подвергать опасности что не все нужные базы скопируются - я не думаю что оно того стоит.

Понятненько!
Спасибо!

Hrist

Цитата:

кстати там в реестре есть еще переменная
0x1, "KasperskyLab\protected\AVP80\profiles\AVService\settings\def","TempDBFolder","%Bases%\Cache"

Эта строка является необязательной - кэш обновление не есть что-то такое животрепещущее.

Цитата:

это да. эту строчку я перво наперво заметил и юзал. видимо в вкс 6.0.4 ее недостаточно оказалось.

Ну я же уже говорил что скорей всего не \REPORT\08 а другие файлы которые лежат в корне \REPORT\

Цитата:

а если базы на сд - то он вообще не создается?

зачем он нужен если обновиться невозможно?!

yurkesha

Цитата:

Ну я же уже говорил что скорей всего не \REPORT\08 а другие файлы которые лежат в корне \REPORT\

да не... репорт у мя изначально ВЕСЬ копировался в плагин. ну да ладно. я сделал как описал выше и теперь ВСЕ работает и показывает и в вкс 6.0.4.

Hrist

Цитата:

домучал таки

плагин под BartPE для kav6.0.4.1212_winwksru

Сегодня тестировал!
Всё работает!
Спасибо большое!!!
Такой вопрос:
Чтоб настройки
1) Параметры\Отчёты и хранилища\Записывать некритические события
2)Проверка\Действие\Запросить по окончании проверки
были применены по умолчанию (при запуске плагина) это нужно скрипт и ини файл правит или при создании плагина чтоб на компе они были применены?

SANIOK_AV
можно только ини поправить

Добавлено:
записывать ВСЕ события
0x4, "KasperskyLab\protected\AVP80\settings","FullReport", 0x00000001

запрашивать действие ПОСЛЕ сканирования

0x4, "KasperskyLab\protected\AVP80\profiles\Scan_Startup\settings","ScanAction", 0x00000003

0x4, "KasperskyLab\protected\AVP80\profiles\Scan_Objects\settings","ScanAction", 0x00000003

0x4, "KasperskyLab\protected\AVP80\profiles\Scan_My_Computer\settings","ScanAction", 0x00000003

Hrist
Спасибо огромное!!!

Интересует такой вопрос :
Можно ли и как использовать в BartPE (WinXP) утилиту ntbackup.exe из состава WinXP ?
крайне нужно для создания бэкапа каталогов Vista (или win 7), кроме нее для этой цели не удалось найти ни одного бэкапщика - имеется вивду бэкап именно каталогов vista(или 7 ) с учетом NTFS Links, но не бэкап всего раздела.

yuniki
WinRAR и 7zip не подходят?

yuniki
Цитата:

ntbackup.exe из состава WinXP

так ведь она работает...

yurkesha 09:25 19-02-2010
Цитата:

yuniki
Цитата: ntbackup.exe из состава WinXP так ведь она работает...

Если Вы просто запустили ее там, то это еще не факт, что работает. У меня при нажатии последней кнопки для создания архива она просто изчезает с экрана - ничего не происходит далее.
Но, может, Вы расскажете, если она у Вас действительно работает, - как можно заставить ее работать ? Я пытался запускать ее из каталога Windows\System32 имеющейся на том же диске WinXP и из каталога, содержащей одну утилиту ntbackup.exe - не получается добиться работы! Может нужно ее как-то интегриовать ее в BartPE - как ?

AZJIO 03:12 19-02-2010
Цитата:

yuniki
WinRAR и 7zip не подходят?

они не умеют (может , я не знаю возможностей последних версий, но надежды - ноль) работать с NTFS Links

yuniki
зависимость - "Теневое копирование тома"
Надо добавить эту службу для полного счастья...

yuniki
Погуглил, в том числе и эту ссылку увидел, вопрос прояснился, надо было сразу на подробности ссылку дать. Тот же Ghost возможно тоже не поддерживает символические ссылки, ведь он копирует пофайлово и в конце прописывает загрузочный сектор, это можно понять по дефрагментированности восстановленного раздела и зависанию при прописке бутсектора в компах с картридером.
Тогда вопрос, если всё же содавать обычный архив, на много ли увеличится размер системы, если ссылки будут не символическими, небольшим процентом можно пренебречь.

yurkesha
хм... добавил - не помогло.
Но вот что, оказывается, помогло, так это поставить галку при бэкапе "отключить теневое копирование состояния тома". Впрочем, пока тренировался на Virtual PC.

А вот еще вопрос - как-то можно сделать BartPE плагин для Ocster Backup Pro 3.0.7 (сайт программы) ?

PS Offtop:
AZJIO 01:07 20-02-2010
Цитата:

Тогда вопрос, если всё же содавать обычный архив, на много ли увеличится размер системы, если ссылки будут не символическими, небольшим процентом можно пренебречь.

Так ведь не в том дело, что размер, а в том, что при архивации\восстановлении пофайлово каталогов Vista (7) все известные мне бэкапщики (кроме ntbackup и Ocster) просто поломают системную структуру Vista (7) .

Цитата:

Тем более как я почитал по ссылке в чем необходимость бэкапировать с каталогом "Sysytem Volume Information", он по моему все симлинки пятикратно перекроет своим размером.

Предполагалось, что Каталог этот перед бэкапом должен быть приведен в нужное состояние - оставить только нужные точки восстановления (впрочем, видимо в большинстве случаев этот каталог не нужен)

yuniki
Добавить нужно VSS и Volsnap, притом Volsnap должен быть внесен в качестве верхнего фильтра класса томов(HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} UpperFilters)

yurkesha
а как интегрировать это в BartPE, пока я только на уже работающем BartPe добавлял vss службу ?

yuniki
Код: [SetupReg.AddReg]
0x7,"ControlSet001\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}","UpperFilters", "VolSnap"

Уважаемый Yurkesha!

Внесите пожалуйста ясность при переносе созданного Вашим конструктором образа на USB.
Для того, чтобы убедиться, что моя флэшка работает как загрузочная, я провел небольшой эксперимент - форматировал ее с помощью утилиты HPUSBDisk с созданием DOS (от 98 взял три файлика...). Попробовал загрузиться - все успешно!
Создаю Вашим конструктором как обычно образ - также все успешно. А вот при использовании утилит PeToUSB из папки Tools, либо с командной строки pe2usb.cmd меня подстигает неудача - моя флэшка не загружается как загрузочная - несистемный диск.
Утилита PeToUsb отрабатывает без ошибок, а вот pe2usb.cmd все время останавливается с сообщением - Boot sector type is "RAW" Error:Boot sector inspection failed.
Когда я работал с базовым конструктором 7sh3, то там у меня проблем не возникает, ибо есть плагин для переноса созданного образа на USB - и все работает без ошибок.
По поводу PeToUSB - в папке есть readme, который гласит "Необходимым условием для того чтобы PETOUSB увидел загрузку в папке BARTPE
является наличие папки BARTPE\I386\SYSTEM32.
Поэтому в постобработке оставляется такая пустая папка." Однако внимательное рассмотрение данной папки явным образом видно, что она не пустая. И еще там же написано, что "Папка MININT в принципе является лишней и ее можно удалить." Однако такой папки я вообще не наблюдаю.
Заранее спасибо за Ваш труд и помощь!

Такой вопрос - есть мультимедийные сборки на основе BartPE+XPE для видеокарт Радеон серии 3ххх и 4ххх (у меня 4830 , ну или дрова для видео АТИ современных серий для live-сборок вообще?
Эх, больше мне ничего не надо... ))

ssnvit

Цитата:

Однако внимательное рассмотрение данной папки явным образом видно, что она не пустая

Значит что-то пошло не так как надо... Ибо:
Код: IF EXIST "%OUTDIR%\PROGRAMS" RMDIR /S /Q "%OUTDIR%\PROGRAMS"
IF NOT EXIST "%OUTDIR%\I386\SYSTEM32" MD "%OUTDIR%\I386\SYSTEM32"

ssnvit
Посмотри последнюю ссылку в шапке темы GRUB4DOS, в трёх этапа беспроблемная установка любой сборки.

mvlad_70
Можно скачать любую готовую сборку, доустановить дрова встроенными средствами уже в загруженной сборке и если при этом экран станет чёрным (или при смене разрешения экрана), то нет смысла добавлять эти дрова в сборку. Пока с драйверами ATI проблемы.

yurkesha
Есть возможность получить доступ к каталогам "Documents and Settings", System Volume Information\WindowsImageBackup", "ProgramData\Application Data" и т.д. в Win7? Я пробовал по описанию используя takeown и icacls (из каталога Win7), но они (takeown) вылетают с ошибкой.

AZJIO
ну вообще "Documents and Settings" это ссылка на "Users" нормально по ней перейти под XP не удастся... А вот "System Volume Information\WindowsImageBackup" и другие папки вполне доступны стандартными средствами - на уровне безопасности NTFS стать владельцем и по новой войдя в настройку безопасности можно дать себе права...

Добавлено:
совсем забыл - выложил новый SCSIRAID и новый плаг STORPORT(новая модель драйверов под Win2003+). Просьба всем потестить. Если бедут проблемы со SCSIRAID - убираем BROADCOM(с ним слишком много неясностей)...

yurkesha
спасибо за обнову, вижу что проведена большая работа


Цитата:

И ещё, как сделать, чтобы после определения сетевой карты и установки сети галка "При подключении вывести значок в области уведомлений" уже стояла?

для меня этот вопрос тоже остается открытым, может быть кто из гуру подскажет?