PE禁止回收站--修改注册表

fukystone · 发表于 2012-12-12 12:31:22

本帖最后由 fukystone 于 2013-7-12 11:35 编辑

应坛友要求，做个简单教程，高手就请飘过吧

先说明一下：
1、大多数PE在进入桌面后，会在硬盘建立回收站文件，类似$RECYCLE.BIN这样的文件。如果经常用PE，你会发现硬盘上会有2个“回收站”文件。
2、对于NTFS分区的硬盘，有一个System Volume Information目录，存储着ntfs的卷信息（包含一些链接、恢复文件、日志等内容），这个目录是NTFS卷的还原目录，不建议你动的。大多数PE在启动时也会向该目录写入一些信息，个人估计是PE读卷信息后的记录之类的，应该没什么大用。
以上2点如果是平常使用的话，没什么大碍。但是如果在做数据恢复工作的话，我们希望PE启动时尽量不要对硬盘有写操作，以免误伤数据。
综上所述，通过修改注册表的方法可以避免PE对硬盘写入以上内容。以Win7PE举例(备注：以下办法为win7和win8 PE通用)

1、不对System Volume Information目录写入信息
pecmd.ini中尽量往前，加下面2句：
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f
当然也可以直接挂载PE中的注册表文件修改，效果一样的。
还需更改mountpointmanagerremotedatabase文件的管理，这个文件是mountmgr服务产生的。该服务是系统级的，用于windows启动时读取卷信息并分配盘符，还有一个FltMgr（FS Filter Manager）服务也可能用到mountpointmanagerremotedatabase，这个服务我理解在PE中的作用是挂载某些第三方驱动。很可惜，这2个服务我都不敢动，那就只好在mountpointmanagerremotedatabase上动脑筋，实际做起来倒是很简单：
用ULTRAEDIT打开windows\system32\drivers\mountmgr.sys文件，查找“61 00 74 00 61 00 62 00 61 00 73 00 65”，共2处。注意看右边，就是mountpointmanagerremotedatabase，把左边对应部分全部改成00。然后保存，用PEditor校验和，重新打包。这就搞定了。

注意，仅仅为了不修改mountpointmanagerremotedatabase文件，就针对系统关键服务做修改，这种行为见仁见智--反正你要不做数据恢复的话我是不建议你改，以上仅做技术探讨。
附上修改的mountmgr文件（包括win7和win8PE），供参考。
2、不建立回收站文件
在注册表中挂载windows\system32\config\default文件，我挂成如下：
HKEY_LOCAL_MACHINE\w7_default\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket
右键选择权限，把你当前使用的用户如administrator添加为“完全控制”。
然后重新进入HKEY_LOCAL_MACHINE\w7_default\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket
把BitBucket项下的所有内容删掉
然后把该项的所有权限清空

当然，修改后在PE中删除文件就是真正的删除了，所以请慎重考虑。如果不是维护用PE，而是当做替代系统来用，不建议做以上修改。
天意兄提到，禁用回收站会造成直接删除，确实不太好。那么参照水老的办法，删除前加个确认吧，方法很简单：
在注册表中挂载windows\system32\config\default文件，我挂成如下：
HKEY_LOCAL_MACHINE\w7_default\Software\Microsoft\Windows\CurrentVersion\Explorer\
看右边的ShellState字段，将其中的37改为33（看附图容易明白）
效果也请看附图。删除时会有提示。

另附一个改好的win7PE，基于水老的19.11，可以看到全部效果。
嗯，说到水老的PE，再附2个文件（C_437.nls和C_20127.nls），用于在PE中使用FBINSTTOOL.EXE，水老原版的好像不行。建议水老也补一下。
百度网盘：http://pan.baidu.com/share/link?shareid=148247&uk=4211508820

[ 本帖最后由 fukystone 于 2012-12-25 17:49 编辑 ]

boaz199 · 发表于 2023-2-13 16:30:38

顶，谢谢楼主的劳动和分享！

GSWong · 发表于 2020-8-5 18:56:13

看起来好复杂

GSWong · 发表于 2020-7-27 17:43:09

学习了，正好需要。

qipinw · 发表于 2020-7-2 20:10:16

楼主禁用回收站的方法有效。

JCDN · 发表于 2017-5-30 20:55:34

这个有用

1400700226 · 发表于 2017-2-4 21:12:44

刚测试，NT6的PE，如果NTFS分区内没有NT6系统的话，System Volume Infomation文件夹是不会被创建的

1400700226 · 发表于 2017-1-31 19:09:17

测试了，跟03PE一样，原版WinXP系统也是只有在不按Shift的情况下Delete才会立即创建RECYCLER文件夹，

开机时不会自动创建

1400700226 · 发表于 2017-1-31 18:48:41

正常Win10x64，我在组策略里面禁用系统还原，然后重启，用DG DOS版删除System Volume Information里面的所有东西，然后再进入系统，然后再重启，再进入DG DOS，这三个文件就又有了

EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f
或者直接挂载PE中的注册表文件修改，

这应该是没有用的。

PE精简掉了系统还原，如果有的话，即使导入以上注册表也是没有效果的。tracking.log仍然会被创建、

以上在WinXP也一样

1400700226 · 发表于 2017-1-31 18:35:31

我尝试

EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f

或者直接挂载配置单元，

或者直接在组策略里面禁用系统还原，以及Windows Installer的创建系统还原相关的都关闭，

正常XP系统仍然会在System Volume Information创建tracking.log文件。

真郁闷！

1400700226 · 发表于 2017-1-31 18:35:27

我尝试

EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f

或者直接挂载配置单元，

或者直接在组策略里面禁用系统还原，以及Windows Installer的创建系统还原相关的都关闭，

正常XP系统仍然会在System Volume Information创建tracking.log文件。

真郁闷！

1400700226 · 发表于 2017-1-31 18:35:20

我尝试

EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f

或者直接挂载配置单元，

或者直接在组策略里面禁用系统还原，以及Windows Installer的创建系统还原相关的都关闭，

正常XP系统仍然会在System Volume Information创建tracking.log文件。

真郁闷！

1400700226 · 发表于 2017-1-31 18:35:16

我尝试

EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f

或者直接挂载配置单元，

或者直接在组策略里面禁用系统还原，以及Windows Installer的创建系统还原相关的都关闭，

正常XP系统仍然会在System Volume Information创建tracking.log文件。

真郁闷！

1400700226 · 发表于 2017-1-31 18:35:06

我尝试

EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableConfig /t reg_dword /d 1 /f
EXEC !reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\systemrestore" /v DisableSR /t reg_dword /d 1 /f

或者直接挂载配置单元，

或者直接在组策略里面禁用系统还原，以及Windows Installer的创建系统还原相关的都关闭，

正常XP系统仍然会在System Volume Information创建tracking.log文件。

真郁闷！

1400700226 · 发表于 2017-1-28 18:53:05

03PE直接Delete删除后还是会创建回收站文件夹，遗憾！

foxfirefox · 发表于 2017-1-2 20:22:07

sdwsszxh 发表于 2016-11-6 22:46
win10x64(10586)下可以，我使用的PE本身不带BitBucket这个注册项，新建后在权限—高级中禁用继承，就可以了

这样虽然不建立回收站，但是有的文件却删不了

sdwsszxh · 发表于 2016-11-6 22:46:55

win10x64(10586)下可以，我使用的PE本身不带BitBucket这个注册项，新建后在权限—高级中禁用继承，就可以了

红毛樱木 · 发表于 2016-11-6 21:08:13

本帖最后由红毛樱木于 2016-11-6 22:31 编辑

楼主，我看你的8x64的SYS改过的里面还有信息啊

mountpointmanagerremotedatabase
有啊。。。啥情况

另外
64位改完之后，BCD中测试模式之类都设置好了还是过不了签名认证，挂了

peihong998 · 发表于 2015-10-3 21:40:55

认真学习过了，好像还是没有好的办法啊

2011n5413 · 发表于 2014-1-15 04:39:08

回复收藏

2012peter2 · 发表于 2013-9-9 11:14:40

本帖最后由 2012peter2 于 2013-9-9 11:48 编辑

fukystone 发表于 2013-9-8 21:42
前几页中5大好像提供了一个啊，你找找

5大是提供了一个，但楼主没测试过，不知道效果怎样。另外，nt5 pe似乎是不会再创建新的回收站，我的电脑上就没发现两个回收站。

fukystone · 发表于 2013-9-8 21:42:01

2012peter2 发表于 2013-9-8 13:17
楼主能提供修改好的03PE的mountmgr文件吗？

前几页中5大好像提供了一个啊，你找找

fukystone · 发表于 2013-9-8 21:41:23

fukystone 发表于 2013-8-8 11:21
这几天改了个64位的8pe，测试回收站修改是没问题的，只要简单在注册表修改一下就可以完全禁止。
使用：R ...

按照教程修改就可以了。当然只是在PE中

2012peter2 · 发表于 2013-9-8 14:25:26

snoopy 发表于 2012-12-13 16:58
1.在pe的system32目录下加入与你pe同版本的regini.exe文件
2.在相同目录下建立 regini.ini 文件.内容 ...

您的方法在03PE下也可以用吗？

2012peter2 · 发表于 2013-9-8 13:17:12

楼主能提供修改好的03PE的mountmgr文件吗？

fukystone · 发表于 2013-8-8 11:21:40

527104427 发表于 2013-7-22 00:04
接下来的事情更神奇了，事先将虚拟机的回收站和System Volume Information删掉，再用没修改的mountmgr.sy ...

这几天改了个64位的8pe，测试回收站修改是没问题的，只要简单在注册表修改一下就可以完全禁止。
使用：REGI **16 HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ShellFolder\Attributes=@64 00 10 94
可以完全禁止回收站图标，不仅是桌面，包括资源管理器中的。
但是mountmgr确实是没办法的，签名怎么也绕不过去（即使在bcd中打开测试模式）。

2012doberman · 发表于 2013-7-22 18:02:41

I think that's enough:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecycleFiles"=dword:00000001

NicTense · 发表于 2013-7-22 00:58:40

527104427 发表于 2013-7-22 00:04
接下来的事情更神奇了，事先将虚拟机的回收站和System Volume Information删掉，再用没修改的mountmgr.sy ...

System Volume Information不是开机的时候建的，貌似是对磁盘进行某些操作了之后才建的，比如写操作，具体没仔细研究过

527104427 · 发表于 2013-7-22 00:04:20

fukystone 发表于 2013-7-21 23:27
这种情况下，按回车，回到选择画面，当然你可能什么也看不到，然后连续按7次“向下的箭头”，再回车，就可 ...

接下来的事情更神奇了，事先将虚拟机的回收站和System Volume Information删掉，再用没修改的mountmgr.sys替换回去，启动，三个分区居然都没有建立System Volume Information，反而是回收站还阴魂不散……

fukystone · 发表于 2013-7-21 23:27:58

527104427 发表于 2013-7-21 23:16
win8X64的mountmgr.sys改了就启动不了，用楼主的也一样，不能启动。

这种情况下，按回车，回到选择画面，当然你可能什么也看不到，然后连续按7次“向下的箭头”，再回车，就可以启动看效果了（具体看前面62楼）。
当然，没什么实际使用价值，呵呵。
64位对于内核和驱动要求很严，不但校验还要签名，现在找不到禁止签名的办法……

		自动登录	找回密码
密码			注册

PE禁止回收站--修改注册表

评分

点评

点评

点评

点评

点评

点评