在使用WinPE的過程中難免遇到這樣那樣的問題,我們收集了其中一些典型“癥狀”及其解決方式,希望能對大家的使用有所幫助。
● winPE下找不到硬盤
一般來講,應該是PC打開了AHCI模式,現在很多版本的WinPE是不支持AHCI的,啟動會找不到硬盤或者無法進入。進BIOS把SATA硬盤模式改成IDE或者兼容模式(Compatible)就行了。如果要安裝的是Windows XP操作系統,那么必須使用IDE模式,否則轉為硬盤啟動模式后,也識別硬盤而造成引導失敗。
如果希望使用較低版本的WinPE處理更高端SATA模式的硬盤,就必須具備SATA驅動或者版本較新的WinPE系統。一般來講我們不能用XP內核的PE安裝6.x系統的Windows(Vista/7),如果需要安裝較新的系統,最好采用PE2.0或者PE3.0,也就是6.x內核的PE。
● winpe下找不到USB存儲設備
使用WinPE時有時需要連接其他的USB存儲設備,但插上U盤,在資源管理器中卻可能看不到U盤盤符,而在桌面的右下角卻可能有USB設備的圖標,這有可能是WinPE的即插即用能力不足造成的問題,解決方法也很多
1.在WinPE系統的桌面上,鼠標右擊“我的電腦”,依次選擇“管理”,“磁盤管理”,可以看到右側窗口出現了磁盤1,這表明WINPE其實已經識別到了USB存儲設備,只是沒有給它分配盤符而已。那么給它分配盤否即可,在磁盤1的分區上鼠標右擊“更改驅動器名和路徑”,選擇“添加”-“確定”,給它分配一個盤符。接著按下鍵盤上的Ctrl+Alt+Del,打開Windows任務管理器,在“進程”里選中EXPLORER.EXE,接下來點“結束進程”,U盤會自動重新啟動,并且在“我的電腦”中也出現新的存儲盤符。
2.在WinPE系統中打開WinPM工具軟件,同樣可以看到WinPE系統已經認出了USB存儲設備(磁盤1),只是沒有給它分配盤符而已。在移動硬盤分區上鼠標右擊“裝載”,“確定”,“關閉”,就給它分配了一個盤符。這樣在“我的電腦”或“資源管理器”里面都出現了U盤盤符。
3.如果用方法1在磁盤管理中給移動硬盤分配好盤符后,在磁盤管理中無法打開,而是彈出分區不存在的警告,一般只要重做一次就行了。
4.遇到方法3的問題,也可以直接在IE瀏覽器的地址欄輸入你剛才分配的盤符如e:,并且回車,就會發現進入了這塊硬盤的界面,可以正常使用其中的數據。
5.如果遇到方法3的問題,也可以使用WinPE中經常附贈的強力的文件管理工具Total Commander,用Total Commander一般都能正常訪問和使用其中的數據。
● WinPE下生成的X盤
在使用WinPE時會發現系統中多出了一個數百MB的分區X盤,而使用硬盤啟動后,在硬盤上卻看不到這個分區,有些人會懷疑WinPE占用并隱藏了硬盤空間。其實這一分區是為了安放WinPE系統文件和一些功能,而在內存中虛擬出來的存儲空間,系統重啟后就會從內存中釋放,并不會占用硬盤空間。
● UEFI引導問題
在使用WinPE安裝win7系統時,可能會發現efi part有個紅叉造成無法安裝,這很可能是在BIOS中使用的UEFI模式硬盤引導的問題,這在一些新的設備中已經是默認的硬盤引導方式了,我們可以將其改成MBR,或者使用安裝的系統盤重新分區,就能進行安裝了。
● 硬盤分區知識
在使用WinPE進行系統維護的時候,會頻繁接觸到新的硬盤分區和引導問題,UEFI、MBR、GPT是其中最重要的概念。
UEFI,全稱(Unified Extensible Firmware Interface統一的可擴展固件接口),是一種用于電腦的標準固件接口,旨在代替BIOS(基本輸入/輸出系統),旨在提高軟件互操作性和解決BIOS的局限性,前面提到的EFI其實就是UEFI的早期/簡化版本。UEFI擁有BIOS所不具備的諸多功能,比如圖形化界面、多種多樣的操作方式、允許植入硬件驅動等等。這些特性讓UEFI相比于傳統BIOS更加易用、更加多功能、更加方便。UEFI拋去了傳統BIOS需要長時間自檢的問題,讓硬件初始化以及引導系統變得簡潔快速。換種方式說,UEFI已經把電腦的BIOS變得不像是BIOS,而是一個小型固化在主板上的操作系統一樣,加上UEFI本身的開發語言已經從匯編轉變成C語言,高級語言的加入讓廠商深度開發UEFI變為可能。
Windows 8開始全面支持UEFI,促使了主板廠商紛紛開始支持UEFI,使其逐漸成為主板的標準配置。UEFI帶來的一個變化就是GPT(Globally Unique Identifier Partition Table Format,全局唯一標識分區列表)分區方式開始引入Windows系統,在Windows 8及更新的操作系統中設置新磁盤時,系統會詢問想要使用MBR(Master Boot Record,主引導記錄)還是GPT分區。
MBR和GPT是在磁盤上存儲分區信息的兩種不同方式。這些分區信息包含了分區從哪里開始的信息,這樣操作系統才知道哪個扇區是屬于哪個分區的,以及哪個分區是可以啟動的。MBR曾經作為Windows系統的分區標準,它最早在1983年在IBM PC DOS 2.0中提出,一直使用到了最近版本的Windows,所以擁有最好的兼容性,已經成為磁盤分區和啟動的工業標準。MBR支持最大2TB磁盤,它無法處理大于2TB容量的磁盤。MBR還只支持最多4個主分區,如果需要更多分區,就要創建所謂“擴展分區”,并在其中創建邏輯分區。
GPT和UEFI是相輔相成的兩個技術標準,它會為每個分區分配一個全球唯一的標識符(Globally Unique Identifier,簡稱GUID)——這是一個隨機生成的字符串。它支持最大128PB(1PB=1024TB)硬盤,可劃分幾乎無限個分區數量,卻無需創建擴展分區,其分區數量限制只在于操作系統,因為Windows只支持最多128個GPT分區。
MBR磁盤將分區和啟動信息是保存在一起,如果這部分數據被覆蓋或破壞,將造成災難性的后果,而GPT在整個磁盤上保存多個這部分信息的副本,因此它更為“健壯”,一旦有副本遭到破壞可以恢復信息。GPT還為這些信息保存了循環冗余校驗碼(CRC)以保證其完整和正確,所以GPT可以主動發現數據被破壞,并從磁盤上的其他地方進行恢復。
使用GPT的驅動器會包含一個“保護性MBR”信息,以MBR標準識別時會認為GPT驅動器有一個占據了整個磁盤的分區,這樣可以避免老式的MBR磁盤工具把GPT磁盤當作空白磁盤,進行誤操作。
在基于UEFI的計算機系統上,64位版本的Windows Vista/7/8/8.1/10,以及其對應的服務器版本,都只能從GPT分區啟動,而且包括32位版本的所有Windows Vista/7/8/8.1/10都可以讀取和使用GPT分區,理論上講基于這些版本的WinPE也可使用GPT分區標準。它并非Windows操作系統專享的標準,Linux和蘋果公司基于Intel芯片的操作系統公司Mac電腦也支持這一分區標準。
在有些情況下,我們可能會需要轉換硬盤的分區標準,最基本的方式當然是使用微軟自己的命令提示方式,使用過DOS操作系統的資深用戶可能會感到這一過程非常眼熟。
1.打開Windows的命令提示模式,其實就是使用我們上文提到的CMD.exe,輸入diskpart 進入diskpart界面。Win10/7/Vista用戶直接在開始菜單的搜索框中輸入diskpart回車(圖1),也可打開diskpart界面(圖2)。
2.在diskpart的提示符下輸入list volume列出所有分區(卷),使用select volume將焦點移動到硬盤上對應的分區,如: select volume f即可選擇f分區,然后執行delete volume即可將當前選中的分區刪除,重復選擇分區與刪除分區的操作,直至刪除需轉換硬盤上的所有分區。(一定注意不要誤刪分區,特別是主硬盤和主分區)
3.需轉化的硬盤上所有分區都刪除之后使用list disk列出計算機中的所有磁盤,然后使用select disk命令選中硬盤,最后執行convert gpt或convert MBR即可。
4.在轉換過程結束后,用exit命令退出DiskPart
另外,我們也可以使用硬盤分區工具例如DiskGenius進行轉換,相對于命令行模式,轉換工具更加直觀便捷,例如在DiskGenius中,我們只要選擇“硬盤”-“轉換分區表類型為GUID格式”(圖3)或“轉換分區表類型為MBR格式”即可實現分區格式的互轉。
需要注意的是,在針對硬盤分區的各種操作中,即使使用宣稱可以保全數據的第三方工具,也一定要對重要數據做好備份,做好備份,做好備份,重要的事情說三遍。
研究人員最近發現一枚Windows內核0day漏洞,影響Windows2000到Windows10所有版本。惡意軟件可利用該漏洞躲過安全軟件的檢測,但該漏洞利用難度較大。
攻擊者利用該漏洞可以繞過病毒查殺系統,運行惡意軟件。該漏洞影響安全解決方案中的PsSetLoadImageNotifyRoutine機制,該機制用來識別代碼何時進入內核或用戶空間。
因為PsSetLoadImageNotifyRoutine會返回一個無效的模塊名,因此攻擊者可以利用將惡意應用偽裝成合法的操作。
該漏洞影響過去17年發布的所有Windows版本。enSilo的研究人員在分析Windows內核代碼時發現了該漏洞。并稱該漏洞影響Windows 2000之后的所有Windows版本(包括Windows 10最新發布的版本)。
PsSetLoadImageNotifyRoutine是微軟引入的一個通知機制,用來通知應用開著新注冊的驅動。當PE鏡像進入虛擬內存時,系統同樣可以檢測到,因此該反病毒軟件也利用該機制來檢測惡意軟件的惡意行為。
研究人員Misgav 與Microsoft Security Response Center確認過,但微軟并不認為這是一個安全問題,問題的關鍵是一些安全軟件依賴該機制檢測軟件的惡意行為。這項研究目前仍在繼續,后期或會發布更多研究成果。