IT天空

 找回密码
 加入我们

手机号码,快捷登录

搜索

[有疑问] 在PE中离线注入驱动到Win10,离线系统注册表RunOnce下原有的启动项被破坏。

[复制链接]
anson4 发表于 2020-11-17 15:58:53 | 显示全部楼层 |阅读模式

IT天空 定制版高速U盘 64G/128G/256G | 固态U盘 256G Pro/512G Pro
万能驱动反馈
计算机类型: 其他
计算机型号: -
系统类型: Windows 10
系统位宽: -
系统完整性: 官方完整系统
驱动版本: 7.20.1009.1
主程序版本: 7.20.511.3819
运行时机: PE
驱动安装方式: 全新安装
硬件型号: Intel B85主板
硬件ID: -
发生问题时是否在虚拟机中: 不是
问题描述: 在PE中离线注入驱动到Win10,万能驱动会将离线系统注册表RunOnce下原本存在的启动项修改成安装推广包的启动项,而不是自己新建一个。
比如将
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce]
"IPK"="\\"C:\\\\Windows\\\\Temp\\\\Inject.vbs\\""
改成
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\\\RunOnce]
"IPK"="\\"C:\\\\Ot46L9B\\\\otLU7Aa.vbs\\""
本帖最后由 anson4 于 2020-11-17 16:03 编辑


Skyfree 发表于 2020-11-17 18:03:31 | 显示全部楼层

活跃 273376| 技术 1420| 互助 1819| 钻石 31024

并不会,程序上是新建一个KEY

点评

又有新的测试结果: 1. 当已经存在的启动项指向vbs脚本时,会被修改。 2. 当已经存在的启动项指向exe程序时,会被删除,然后新建一个指向vbs脚本的启动项。  详情 回复 发表于 2020-11-17 19:36
按理说我是应该相信开发者的,可是我多次测试就是这么一个结果。 当RunOnce下面是空的时候,程序自建一个启动项。 可是当下面存在有条目时,就会直接修改该条目。收到你这条回复之后,我又测试了一次,结果依然是  详情 回复 发表于 2020-11-17 19:27
 楼主| anson4 发表于 2020-11-17 19:27:10 | 显示全部楼层

活跃 3475| 技术 0| 互助 0| 钻石 0

Skyfree 发表于 2020-11-17 18:03
并不会,程序上是新建一个KEY

按理说我是应该相信开发者的,可是我多次测试就是这么一个结果。
当RunOnce下面是空的时候,程序自建一个启动项。
可是当下面存在有条目时,就会直接修改该条目。收到你这条回复之后,我又测试了一次,结果依然是这样。
IMG_8984_resize.JPG


 楼主| anson4 发表于 2020-11-17 19:36:00 | 显示全部楼层

活跃 3475| 技术 0| 互助 0| 钻石 0

Skyfree 发表于 2020-11-17 18:03
并不会,程序上是新建一个KEY

又有新的测试结果:
1. 当已经存在的启动项指向vbs脚本时,会被修改。
2. 当已经存在的启动项指向exe程序时,会被删除,然后新建一个指向vbs脚本的启动项。
 楼主| anson4 发表于 2020-11-18 09:47:22 | 显示全部楼层

活跃 3475| 技术 0| 互助 0| 钻石 0

好吧,那我就曲线救国,先备份runonce,然后运行万能驱动,完了再恢复。

点评

看一看有没有其他东西影响了这个。代码上只是往RunOnce里加了个项目,并没有删除。除非你有什么其他的执行了删除。  详情 回复 发表于 2020-11-18 11:27
Skyfree 发表于 2020-11-18 11:27:33 | 显示全部楼层

活跃 273376| 技术 1420| 互助 1819| 钻石 31024

anson4 发表于 2020-11-18 09:47
好吧,那我就曲线救国,先备份runonce,然后运行万能驱动,完了再恢复。

看一看有没有其他东西影响了这个。代码上只是往RunOnce里加了个项目,并没有删除。除非你有什么其他的执行了删除。

点评

这个我是能够确定是没有其他删除的操作的,我的测试包括以下几种情况: 1. 在运行驱动助理之前的一刻,写入一个指向vbs脚本的启动项,然后运行驱动助理,完成后就结束全部的操作了,此时挂载SOFTWARE查看Runonce。  详情 回复 发表于 2020-11-18 13:41
 楼主| anson4 发表于 2020-11-18 13:41:32 | 显示全部楼层

活跃 3475| 技术 0| 互助 0| 钻石 0

Skyfree 发表于 2020-11-18 11:27
看一看有没有其他东西影响了这个。代码上只是往RunOnce里加了个项目,并没有删除。除非你有什么其他的执 ...

这个我是能够确定是没有其他删除的操作:
1. 在运行驱动助理之前的一刻,写入一个指向vbs脚本的启动项,然后运行驱动助理,完成后就结束全部的操作了,此时挂载SOFTWARE查看Runonce。
2. 在运行驱动助理之前的一刻,写入一个指向exe文件的启动项,然后运行驱动助理,完成后就结束全部的操作了,此时挂载SOFTWARE查看Runonce。
上面两种情况的测试结果如之前所描述的。
3. 写入一个指向vbs脚本或者exe文件的启动项,然后结束全部操作,此时没有什么问题。

运行万能驱动是最后的一个操作,之后不再有什么其他的操作了。
然而,将上面的写入启动项与运行万能驱动助理的顺序对调的话,一切正常。
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

anson4

3475

活跃

0

技术

0

互助
签到任务
最火的业界新闻
  • RTX3060Ti官方宣传片 新显卡加持让游戏体验
  • [图]2020年Windows 10 20H1/20H2最后的可选
  • RTX 3060Ti显卡IGN 9分:玩家首选性价比产
  • 骁龙888于2020骁龙技术峰会正式亮相 多家手
  • 走到骁龙888 高通已经花了660亿美元研发经
  • 内存、SSD存储芯片价格跌至冰点 反弹在即?
  • iPad 9、iPad Pro 5齐曝光:主要升级处理器
  • 男子为家庭7年不玩游戏 妻女送PS5/XSX当节
  • 开发者现身说法 苹果M1芯片为何比高端英特
  • 联想发布拯救者Y9000X/R9000X 2021游戏本:
炫酷的硬件Show
  • 振华SUPER FLOWER 铜皇450W 铜牌电源
  • 比小更小,Mini-STX装机
  • 华擎X99E-ITX + 银欣ML06 装机记
  • 最强双路泰坦硬管水冷 制作流程
  • 银欣FT02,双路E5工作站
  • 迟到的定制机箱小钢炮清理灰尘
  • 乔思伯UMX1 Plus,小巧的家用综合主机
  • 分体水冷第二弹-Inwin 805 infinity
  • 第一次DIY硬管水冷~~
  • 樱桃MX6.0 青轴 机械键盘 开箱
有趣的美图分享
  • 用边牧干这事简直暴殄天物
  • 当单身狗看到了写在雪上的爱情祝福
  • 美丽就在眼前
  • 现代别墅
  • 我怀疑这也是人类的未来
  • 没错这是东北的冬天
  • 大金链子,这事儿太完美了
  • 真是这样啊
  • 赤裸裸的报复
  • 啊这..一副假发都要做出来了
关注官方微信
快速回复 返回顶部 返回列表