无忧启动论坛

标题: 彻底关闭PE的回收站功能,禁止写入System Volume Information目录(禁止对硬盘写入) [打印本页]
作者: sairen139    时间: 2022-10-18 07:37
标题: 彻底关闭PE的回收站功能,禁止写入System Volume Information目录(禁止对硬盘写入)
本帖最后由 sairen139 于 2022-10-18 07:57 编辑

彻底关闭PE的回收站功能,禁止写入System Volume Information目录(禁止对硬盘写入)
挂载从PE里复制出来的DEFAULT注册表配置文件为pe-DEFAULT,然后接着继续挂载PE里的Software注册表配置文件为pe-software,离线导入下面的注册表片段:
Windows Registry Editor Version 5.00

//可禁止写入System Volume Information目录
[HKEY_LOCAL_MACHINE\pe-SOFTWARE\Policies\Microsoft\Windows NT\systemrestore]
"DisableSR"=dword:00000001
"DisableConfig"=dword:00000001

[HKEY_LOCAL_MACHINE\pe-DEFAULT\Software\Policies\Microsoft\Windows NT\systemrestore]
"DisableSR"=dword:00000001
"DisableConfig"=dword:00000001

//隐藏桌面回收站图标
[HKEY_LOCAL_MACHINE\pe-DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{645FF040-5081-101B-9F08-00AA002F954E}"=dword:00000001

//关闭回收站
[HKEY_LOCAL_MACHINE\pe-DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer]
[HKEY_LOCAL_MACHINE\pe-DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]
"LastEnum"=-
[-HKEY_LOCAL_MACHINE\pe-DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume]
//这项可能没有,手动建立
[HKEY_LOCAL_MACHINE\pe-SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]

清空注册表权限定位到注册表:[HKEY_LOCAL_MACHINE\pe-DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket],右键BitBucket,点击“权限”

点击“高级”

点击“禁用继承”

选择“从此对象中删除所有已继承的权限”


最后点击“确定”


接着按上述相同的步骤,清空下处的权限:[HKEY_LOCAL_MACHINE\pe-SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket]
清理权限之后再看看权限,已经确认清空了。
把上传配置的DEFAULT注册表配置文件和sofware注册表配置文件覆盖回PE的Windows目录System32目录下的config目录里即可重启几次pe测试效果!




关闭回收站禁止写入System Volume Information目录.reg.TXT

985 Bytes, 下载次数: 125, 下载积分: 无忧币 -2

作者: sairen139    时间: 2022-10-18 07:47
本帖最后由 sairen139 于 2022-10-18 07:48 编辑

这个方法是网上流传的彻底关闭PE的回收站功能,禁止写入System Volume Information目录(禁止对硬盘写入)

得空测试了下该方法的确成功的,适合专门有数据恢复需求的pe使用!

918FAFA5-16F9-4F10-AA7A-E69C027645A7.jpeg (3.56 MB, 下载次数: 131)

使用该方法后第一次进pe无回收站注意SVI文件夹修改时间

使用该方法后第一次进pe无回收站注意SVI文件夹修改时间

F6305F37-5400-4827-A09F-ABA60981AB20.jpeg (3.44 MB, 下载次数: 129)

第三次进pe还是没产生回收站且SVI文件夹修改时间没有变动!

第三次进pe还是没产生回收站且SVI文件夹修改时间没有变动!
作者: 2012andyle113    时间: 2022-10-18 08:03
感谢分享,也就数据恢复的时候,有那么变态的要求了
作者: zlzx01    时间: 2022-10-18 08:20
感谢分享感谢分享
作者: dkzzlf    时间: 2022-10-18 08:36
很感谢
作者: D_M_GuYing    时间: 2022-10-18 09:04
不懂就问,别见笑
在我的理解,.WIM内核的PE启动后,加载的.WIM和X:盘是不是都加载到内存中哇
如果是这样,那就不会对硬盘进行读写操作吧
作者: sairen139    时间: 2022-10-18 09:06
D_M_GuYing 发表于 2022-10-18 09:04
不懂就问,别见笑
在我的理解,.WIM内核的PE启动后,加载的.WIM和X:盘是不是都加载到内存中哇
如果是这样 ...

一般pe在进pe桌面会在每个分区里生成一个回收站和往每个分区SVI文件夹写入数据
作者: D_M_GuYing    时间: 2022-10-18 09:10
sairen139 发表于 2022-10-18 09:06
一般pe在进pe桌面会在每个分区里生成一个回收站和往每个分区SVI文件夹写入数据

哦,刚才是我理解错了。
那用了这个方法进入PE后,如果不是为了执行恢复操作,回收站功能还能正常使用吗?
作者: darkmoon781015    时间: 2022-10-18 09:14
#在这里快速回复#javascript:;
作者: D_M_GuYing    时间: 2022-10-18 09:37
在这的PE试了下,进PE后,回收站功能没有删除后直接彻底删除。把你的.REG加上这个就完美了,所有PE都可以加上这个功能
作者: D_M_GuYing    时间: 2022-10-18 09:51
修改了楼主的注册表后,在PE启动后,修改 删除文件时,直接彻底删除

是不是这样就行了

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecycleFiles"=dword:00000001



作者: liuyanjun    时间: 2022-10-18 10:57
感谢分享 很有用
作者: 进士小站    时间: 2022-10-18 11:20
谢谢分享
这个可以试一下
作者: minchengan    时间: 2022-10-18 11:35
要恢复数据的NTFS盘里,大多数情况下都已经有回收站了吧,另外如果只是增加一个回收站目录,应该也不会操作数据区,是否有往SVI目录中写数据,这就不太清楚了
作者: yjkl    时间: 2022-10-18 11:40
感谢分享
作者: sairen139    时间: 2022-10-18 11:47
2011wyy 发表于 2022-10-18 11:30
pe 启动时,加载到内存中的,PE桌面的回收站,也是写到内存盘的吧?

pe桌面那个回收站好像每个分区删了文件都会显示出来,感觉是个总管,哈哈哈哈😂
作者: sairen139    时间: 2022-10-18 11:49
minchengan 发表于 2022-10-18 11:35
要恢复数据的NTFS盘里,大多数情况下都已经有回收站了吧,另外如果只是增加一个回收站目录,应该也不会操作 ...

一般pe每启动一次都会增加一个新的回收站,和SVI一样怕想要恢复的文件刚好被这些新增数据覆盖了。其实这些都是针对数据恢复的,平常用不到。
作者: 旁观者清    时间: 2022-10-18 12:28
谢谢分享。
作者: sairen139    时间: 2022-10-18 12:36
2011wyy 发表于 2022-10-18 12:24
就算有产生新的回收站,那么这么丁点的数据写入,不会影响数据恢复。就算影响,也可忽略不计吧

确实,就是一点小瑕疵
作者: wxinchun92    时间: 2022-10-18 14:10
贴几张图呗
作者: ggl    时间: 2022-10-18 18:22
来学习一下了
作者: 9527sss    时间: 2022-10-18 19:37
谢谢楼主分享
作者: zhuzihongyu    时间: 2022-10-18 20:23
为啥要删除回收站
作者: supermen26    时间: 2022-10-18 20:36
谢谢楼主分享
作者: lemontea888    时间: 2022-10-19 03:18

多谢分享,收藏备用。
作者: Anson4    时间: 2022-10-21 07:11
2011wyy 发表于 2022-10-21 07:01
在楼主的应用场景下,那么是否也应该禁用 DrvIndex  这款软件呢(http://bbs.wuyou.net/forum.php?mod=view ...

不是 %Windir%\TEMP 吗?
作者: dkzzlf    时间: 2022-10-21 07:17
学习了
作者: 9zhmke    时间: 2022-10-23 16:35
在普通系统下试了下貌似比PE里要复杂一些,普通Windows能实现这个功能不?
作者: sairen139    时间: 2022-10-23 19:19
9zhmke 发表于 2022-10-23 16:35
在普通系统下试了下貌似比PE里要复杂一些,普通Windows能实现这个功能不?

正常系统为什么会有这样的需求?正常系统回收站我经常用
作者: dxhjh    时间: 2022-10-23 19:30
谢谢分享
作者: 9zhmke    时间: 2022-10-23 20:45
sairen139 发表于 2022-10-23 19:19
正常系统为什么会有这样的需求?正常系统回收站我经常用

我说错了,从你的注册表里尝试了想消除System Volume Information没成功。没讲清楚就发出来了
作者: fjice    时间: 2022-12-16 10:48

谢谢分享
作者: hhh333    时间: 2022-12-17 12:13
以前也加这些,后面发现对从sys切换到admin有一些微妙的影响,譬如输入法等(具体是哪一项影响哪一项没仔细测试),后面又恢复到习惯用法上来了
作者: vaf    时间: 2023-5-25 20:42
本帖最后由 vaf 于 2023-5-25 20:43 编辑

回收站的绝对反对派
自从谁谁谁发明了回收站, 一次也没用过.
看见回收站就烦!
作者: cuicongyuan    时间: 2023-5-31 18:02
搞得试一下
作者: 布特300    时间: 2023-6-2 20:36
2012andyle113 发表于 2022-10-18 08:03
感谢分享,也就数据恢复的时候,有那么变态的要求了

数据恢复,为何要关闭回收站功能?
作者: sairen139    时间: 2023-6-2 20:40
布特300 发表于 2023-6-2 20:36
数据恢复,为何要关闭回收站功能?

开机回收站会生成一些文件,如果这个文件恰好顶了想恢复的文件的位置那就。。。
作者: 布特300    时间: 2023-6-2 22:34
sairen139 发表于 2023-6-2 20:40
开机回收站会生成一些文件,如果这个文件恰好顶了想恢复的文件的位置那就。。。

开机什么也不干,也会在回收站写入东西么?
作者: sairen139    时间: 2023-6-2 23:01
布特300 发表于 2023-6-2 22:34
开机什么也不干,也会在回收站写入东西么?

没本文这样处理过的pe是会开机在回收站自动生成文件的
作者: martin313    时间: 2023-8-27 17:14
考虑非常周到
学习了
作者: 2010yuhongxi    时间: 2023-9-5 12:38
谢谢分享
作者: huang1987    时间: 2023-11-22 21:02
谢谢分享
作者: 181912068    时间: 2024-1-17 16:12
感谢分享



欢迎光临 无忧启动论坛 (http://wuyou.net./) Powered by Discuz! X3.3