无忧启动论坛

标题: native环境中如何挂载wim镜像？ [打印本页]

作者: wintoflash 时间: 2022-2-1 10:43
标题: native环境中如何挂载wim镜像？
最近在研究 native 程序的开发。
论坛里面的修改版 nativeshell 挂载 wim 好像是链接了 laotouwim.lib 这个静态库，请问有没有相关的资料？或者有没有 wimgapi 逆向方面的资料？
native 下挂载 wim 是不是要用到 fltmgr.sys 或者 wimfltr.sys 之类的驱动？

自己写的简单 shell，实现了挂载 iso 等简单的功能：

作者: 826773297 时间: 2022-2-1 11:07
http://bbs.wuyou.net/forum.php?m ... p;extra=&page=5
127楼貌似有源码

作者: wintoflash 时间: 2022-2-1 11:20

826773297 发表于 2022-2-1 11:07
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=188616&extra=&page=5
127楼貌似有源码

那个是编译好的静态库，不是源码，而且只有32位版本。

作者: gailium 时间: 2022-2-1 16:11

wintoflash 发表于 2022-2-1 11:20
那个是编译好的静态库，不是源码，而且只有32位版本。

自己动手配合ida重写一遍

作者: wintoflash 时间: 2022-2-1 16:48

gailium 发表于 2022-2-1 16:11
自己动手配合ida重写一遍

我的汇编水平不行，也不了解wim挂载机制。我要是自己能搞定，就不会发帖求助了。

作者: wuming520 时间: 2022-2-1 23:56
楼主想问下Windows系统下有挂载WIM系统的批处理吗发一下谢谢~！

作者: Bluebells 时间: 2022-2-2 10:52
native shell 我记得只有 32 位的版本可以挂载 WIM 映像，而且仅支持最大压缩率(max)的 WIM 映像
是否依赖 fltmgr.sys 这个驱动不知道，但必须要有 wimfltr.sys 驱动的支持

作者: wintoflash 时间: 2022-2-2 16:23

wuming520 发表于 2022-2-1 23:56
楼主想问下Windows系统下有挂载WIM系统的批处理吗发一下谢谢~！

你应该在"脚本讨论区"单独发帖求助吧。
我不熟悉批处理。dism 命令行应该可以吧，或者用 pecmd。

作者: wintoflash 时间: 2022-2-2 16:25

Bluebells 发表于 2022-2-2 10:52
native shell 我记得只有 32 位的版本可以挂载 WIM 映像，而且仅支持最大压缩率(max)的 WIM 映像
是否依赖 ...

感谢回复！
请问 wimgapi.dll 调用的是哪个 sys 文件?

作者: nianyueriPE 时间: 2022-2-2 16:50

wintoflash 发表于 2022-2-2 16:25
感谢回复！
请问 wimgapi.dll 调用的是哪个 sys 文件?

根据足迹的帖子，wimgapi.dll是调用fltmgr向wimfltr.sys发送消息。

作者: wuming520 时间: 2022-2-2 16:57

wintoflash 发表于 2022-2-2 16:23
你应该在"脚本讨论区"单独发帖求助吧。
我不熟悉批处理。dism 命令行应该可以吧，或者用 pecmd。

好的

作者: wintoflash 时间: 2022-2-2 18:14

nianyueriPE 发表于 2022-2-2 16:50
根据足迹的帖子，wimgapi.dll是调用fltmgr向wimfltr.sys发送消息。

感谢回复！
和我猜的差不多。不过我在很多PE里面找不到wimfltr.sys这个文件？不知道在这些PE里面wimgapi.dll是如何挂载wim的？

作者: wintoflash 时间: 2022-2-3 07:48

nianyueriPE 发表于 2022-2-2 23:29
它们用的是wimmount驱动，挂载过程一样，wimgapi.dll有切换驱动的函数。这个驱动不适合nativepe，因为它 ...

感谢

作者: 红毛樱木 时间: 2022-2-3 08:33

nianyueriPE 发表于 2022-2-2 23:29
它们用的是wimmount驱动，挂载过程一样，wimgapi.dll有切换驱动的函数。这个驱动不适合nativepe，因为它 ...

wimgapi.dll有切换驱动的函数

请教是哪个函数或者api

作者: 2011whp 时间: 2022-2-6 18:12
native 是否会更小呢，能否先发个关机 wim呢（win10的）

——————————————————————
目前为了 bcd菜单能有关机菜单用的是骨头win10 90多MB
（pecmd位加的： WPEUTIL Shutdown）

作者: wintoflash 时间: 2022-2-6 19:08
本帖最后由 wintoflash 于 2022-2-6 19:09 编辑

2011whp 发表于 2022-2-6 18:12
native 是否会更小呢，能否先发个关机 wim呢（win10的）

exe大小肯定没什么区别。做成只带native环境的wim可能会小很多，
你弄这个纯属脱裤子放屁，不如直接按电源键。

作者: 2011whp 时间: 2022-2-7 18:54

犯强迫症，bcd菜单要有

作者: Bluebells 时间: 2022-2-7 19:38
朱玛12345678 版主的【XP到Win10系统全兼容】通用ISO WIM VHD挂载驱动分享帖子里有通用的 WimFltr 驱动, 里面有 wimgapi.h, wimgapi.lib, wimgapi.pdb 这些文件, 好像类似于源码文件(不懂编程), 不知道是否有参考价值

作者: 黑中见白 时间: 2022-2-7 20:21

作者: 窄口牛 时间: 2022-2-8 07:56
bcd关机重启可以用grldr（legacy下），efi下试试shell下的命令能不能想办法调用？

作者: nianyueriPE 时间: 2022-2-8 22:21

窄口牛发表于 2022-2-8 07:56
bcd关机重启可以用grldr（legacy下），efi下试试shell下的命令能不能想办法调用？

不能，Windows启动管理器只能调用特殊的Windows boot程序，一般efi文件无法加载

作者: 窄口牛 时间: 2022-2-9 07:41
那它的内存检测有没有重启选项？

作者: 2011whp 时间: 2022-2-9 11:55
bcd 不是只认文件名（要弹 7b错）

作者: wintoflash 时间: 2022-2-9 20:47

2011whp 发表于 2022-2-7 18:54
犯强迫症，bcd菜单要有

blshim.zip (679 Bytes, 下载次数: 9)
试试用这个关机。必须关闭安全启动。
注意BCD要这样写菜单：

先创建一个 "内存诊断器"，改路径，然后在这个条目里面添加 "DisableIntegrityChecks" 这个项目，值为 "true"。
要用 bootice 的 "高级编辑模式"，"智能编辑模式" 不行。

作者: 2011whp 时间: 2022-2-10 17:11
本帖最后由 2011whp 于 2022-2-10 17:27 编辑

qemu 可以的，

（实体机：uefi ，表现为黑屏（正常关机会提示无信号的）电脑在运行）

blshim.efi 的目录是可调的

作者: 2011whp 时间: 2022-2-13 13:39
本帖最后由 2011whp 于 2022-2-19 10:50 编辑

网上提供一个先例，说 winload.efi 有第三方的

https://www.upantool.com/qidong/qtqd/12339.html
@朱玛12345678 @liuzhaoyzz 这个也能玩签名？

作者: liuzhaoyzz 时间: 2022-2-13 13:58

2011whp 发表于 2022-2-13 13:39
群友提供一个先例，说 winload.efi 有第三方的

https://www.upantool.com/qidong/qtqd/12339.html

winload.efi本身就是自带微软官方的签名的啊，除非修改过的winload.efi，可能签名会失效。

作者: 2011whp 时间: 2022-2-13 15:23
估计，是个搬运（系统里复制出来的）

作者: 朱玛12345678 时间: 2022-2-13 22:21

nianyueriPE 发表于 2022-2-2 23:29
它们用的是wimmount驱动，挂载过程一样，wimgapi.dll有切换驱动的函数。这个驱动不适合nativepe，因为它 ...

这是因为wimfltr.sys和wimmount.sys挂载WIM映像的原理不一样，前者采用的是文件重定向，后者采用的是NTFS符号链接，所以它们对使用环境的要求就有很大差别。

欢迎光临无忧启动论坛 (http://bbs.c3.wuyou.net/)