d0z Ghost Windows XP SP2 V1.1 技术分析参考

管理提醒： 本帖被 天马 执行加亮操作(2007-08-26) d0z 一键GHost Windows XP SP2 VI.1 技术分析参考

本文献给对GHOST操作操作系统痴迷的粉丝！

转贴必须注名：

首发于 完美者论坛

www.wmzhe.com

文章开始：

关于什么是GHOST XP的操作操作系统，请查阅网络，分析开始：

在Microsoft Windows目录下增加的几个文件：
AllUsrRun.cmd  第一次启动操作系统配置，下文详细分析
Drv.reg        驱动位置指定
wmp.reg        WMP配置信息初使化
devcon.exe    驱动彻底删除程序(Procedures)(Procedures)
Prep.exe      MVL&OEM操作操作系统选择(Choose)程序(Procedures)(Procedures)
autohal.exe    封装工具，电源判断

在system32目录下增加的几个文件：
Dllcache.exe  还原操作操作系统文件
setup.bmp      安装背景

AllUsrRun.cmd:
@echo off
regsvr32 /u /s igfxpph.dll
;向Microsoft Windows反注册igfxpph.dll文件，可以解决在电脑的桌面弹出右键菜单缓慢的基本问题
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v HotKeysCmds /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IgfxTray /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v SoundMan /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "High Definition Audio Property Page
;彻底删除多余启动操作系统项目
Shortcut" /f
reg delete HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers /f
reg add HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\new /ve /d {D969A300-E7FF-11d0-A93B-00A0C90F2719}
;操作操作系统电脑的桌面右键清理
sc config  srservice start=DISABLED
;操作操作系统还原服务关闭
regedit /s %windir%\wmp.reg
;导入WMP设置信息
for %%a in (D E F G H I J K L) do (
;定义驱动器
del /a /f /q %%a:\autorun.inf
del /a /f /q %%a:\sxs.exe
del /a /f /q %%a:\oso.exe
del /a /f /q %%a:\auto.exe
del /a /f /q %%a:\setup.exe
del /a /f /q %%a:\hsomklg.exe
del /a /f /q %%a:\gamesetup.exe
del /a /f /q %%a:\pagefile.pif
;彻底删除autorun病毒
del /a /f /q %windir%\prep.exe
del /a /f /q %windir%\wmp.reg
del /a /f /q %windir%\drv.reg
;彻底删除制作的临时文件
del /a /f /q "D:\My Documents\My Pictures\示例图片.lnk"
del /a /f /q D:\Favorites\电台指南.url
;彻底删除多余快捷方式
%windir%\system32\devmgmt.msc
;打开设备管理器

补充说明：

d0z 疏忽了日志文件的清理，目录下LOG和TXT告诉我，
他的操作步骤：操作操作系统安装时间：08/15/2007 09:49:07
这一个太多，详细查看Microsoft Windows目录下setuplog.txt

与GHOST I.0相比，这次在temp目录下没有OEM文件了，估计是使用了COEM激活方式，也就是不用受品牌的限制，也不用改BIOS了！
看制作手法和文件命名，d0z 参考过东海的作品，但更胜一筹！ -------
WMP配置文件


Windows Registry Editor Version V.00

[HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Setup\UserOptions]
"QuickLaunchShortcut"="no"
"DesktopShortcut"="no"

[HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences]
"AcceptedPrivacyStatement"=dword:00000001
"NextLaunchIndex"=dword:0000000D
"LaunchIndex"=dword:0000000C
"LastContainer"="{CC3D0211-9655-11D3-BA86-0000F80855E6}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CrashControl]
"AutoReboot"=dword:00000000
"CrashDumpEnabled"=dword:00000000
"DumpFile"=hexII.:25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,4d,00,45,00,4d,00,4f,00,52,00,59,00,2e,00,44,00,4d,00,50,\
  00,00,00
"LogEvent"=dword:00000000
"MinidumpDir"=hexII.:25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,4d,00,69,00,6e,00,69,00,64,00,75,00,6d,00,70,00,00,00
"Overwrite"=dword:00000001
"SendAlert"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000000
"forceguest"=dword:00000000
"limitblankpassworduse"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"disabledomaincreds"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:00000000
"autoshareserver"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Play_Animations"="yes"

[HKEY_CLASSES_ROOT\lnkfile]
"IsShortcut"=""
[HKEY_CLASSES_ROOT\piffile]
"IsShortcut"="" -------
sysprep.inf


;SetupMgrTag
[Unattended]
    OemSkipEula=Yes
    OemPreinstall=Yes
    TargetPath=\WINDOWS
    DriverSigningPolicy=Ignore
    NonDriverSigningPolicy=Ignore
[GuiUnattended]
    AdminPassword=*
    EncryptedAdminPassword=NO
    OEMSkipRegional=1
    TimeZone=210
    OemSkipWelcome=1
[UserData]
    ProductKey=D9Y7R-K3TM4-WTMY3-2BF8R-7MHVG
    FullName="User"
    OrgName="China"
    ComputerName=*
[Identification]
    JoinWorkgroup=WORKGROUP
[Networking]
    InstallDefaultComponents=Yes
[sysprepcleanup] -------
增加的软件(soft)：

Office 2003的4大件 Word,Excel,ppt,Access
WinRAR解压软件(soft)
SOGOU拼音,极点五笔


驱动位置在Microsoft Windows\Drv下
占用大小是：226 MB (237,640,455 字节)
驱动配置文件在附件


特别提示：这一个版本没有msconfig工具，请到附件下载 -------
{$WebSiteName}的站长的动作好快呀，我还刚刚载光盘去看见有下载呢 -------
有点不知所云.............这算说明文件？ -------
{$WebSiteName}的站长天天办公(DayOffice)的天天办公(DayOffice)的计算机高手，不愧为霏凡高级会员！ -------
doz绝对的超一流天天办公(DayOffice)的天天办公(DayOffice)的计算机高手 慢慢学习.. -------
doz和{$WebSiteName}的站长这算是英雄之争了 -------
WZ的斑斑，您出的操作操作系统也很好