[psac]

Ghost Windows整合S&R&S驅動、常用驅動、longhorn封裝方法介紹及工具使用
制成品.....
Ghost.Windows.XP.Pro.SP2.VOL.TW.整合S&R&S及常用驅動.Longhorn封裝方法及配套工具/
Ghost.Windows.XP.Pro.SP2.VOL.ENG.整合S&R&S及常用驅動.Longhorn封裝方法及配套工具/
.Ghost.Windows.2000.Pro.SP4.CHS.整合S&R&S及常用驅動.Longhorn封裝方法及配套工具/ 內含375M驅動包
.Ghost.Windows.XP.Pro.SP2.Vol.CHS整合S&R&S驅動、常用驅動、Longhorn方法配套工具/


同下原理論工具配合與相關說明...




●本方法所附文件(.Ghost.Windows.XP.Pro.SP2.Vol.CHS整合S&R&S驅動、常用驅動、Longhorn方法配套工具)只適合VRMPVOL躊N進行封裝，其它版本會陸續提供
一、系統安裝及軟體安裝
　　1、系統安裝：在VM或者高組態的電腦上安裝XP，關閉系統還原（系統恢復後會自動開啟的）。然後安裝你需要的軟體、修正檔及最佳化設定、必要的減肥（一般是移除WINDOWS目錄下的$開頭的目錄）。
　　建議的減肥項目：
　　1）移除WINDOWS目錄下所有的修正檔反安裝文件即$uninstall...目錄，移除後就無法卸載修正檔了。同時也移除WINDOWS\$hf_mig$目錄。
　　2）移除WINDOWS\SoftwareDistribution\Download目錄下的所有文件，這些是在線昇級時自動下載的修正檔安裝文件。
　　3）移除C:\Documents and Settings\Administrator\Local Settings\History目錄下所有文件。
　　4）移除C:\Documents and Settings\Administrator\Local Settings\Temp目錄下所有文件。
　　5）移除C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files目錄下所有文件。
　　6）移除C:\WINDOWS\Prefetch目錄下的所有文件。
　　2、更改電源模式為Standrad PC，同時卸載網路卡，重新啟動後更改IDE 控制器為標準IDE控制器，卸載其中的一個Standrad PC，並卸載網路卡，然後再重新啟動
　　3、避免出現本機連接2的方法： 有時做出來的GHO映射，恢復到只有一塊網路卡的電腦上時，會出現本機連接2，卻沒發現本機連接，很不爽也！處理方法如下： 開始-執行-REGEDIT，然後編輯-尋找，輸入「本機連接」，找著後，把它的上一級分支一併移除。按F3繼續尋找………
　　4、注意事項：
　　●使用NTFS系統製作，恢復速度快些，使用FAT32系統製作GHO映射會小些，自己選項吧。我是NTFS的堅定支持者。
　　●重新封裝的系統恢復安裝時系統將把輸入法的相關設定還原到系統預設狀態，封裝前新安裝的輸入法將不在語言欄的列表裡顯示。解決方法：開啟控制台→「地區和語言選項」→「進階」→「預設用戶帳戶設定」 →選「將所有設定套用於當前用戶帳戶和預設使用者設定檔」。
　　●安裝OFFICE2003時注意，更新全部修正檔後一定要執行一次，如執行WORD。
　　●安裝ACAD2002、2004、2005、2006版本請不要註冊，恢復後才用註冊機註冊。
　　●安裝WINDVD7時，不要啟動，因為即使你已經註冊了，恢復到新機後會要求重新啟動。
　　●ACDSEE7.0以上版本，不要預先安裝，否則恢復到新機後，執行時會提示註冊表已經更改，需要重新安裝，但即使你卸載了也安裝不了，需要仔細清理註冊表，好麻煩啊。
　　●Alcohol 120%不可以預先安裝註冊，恢復後會有問題。

●到了這一步，建議制作備份以上所有的工作（用GHOST製作制作備份映射）。

二、整合S&R&S驅動及AMD64驅動
　　●利用S&R&SV5.5_1030整合S&R&S驅動，安裝S&R&SV5.5_1030.exe，這樣就把S&R&S驅動所需要的文件COPY到了相應目錄，同時也注入了註冊表。執行CL_551030.CMD，清除不需要的文件。，
.README.txt/viasrs.exe/S&R&SV5.5_1030.exe是原版檔案。
1、安裝S&R&SV5.5_1030.exe的目的是安裝S&R&S驅動，其它功能不需要
2、安裝S&R&SV5.5_1030.exe，這樣就把S&R&S驅動所需要的文件COPY到了相應目錄，同時也注入了註冊表。
3、執行CL_551030_w2k.CMD，清除不需要的文件(S&R&SV5.5_1030.exe產生的）。

　　●利用DrvInf.exe自己DIY適合自己的S&R&S驅動，方法是：
　　　.把驅動程式放在同一個目錄
　　　.使用DrvInf.exe產生註冊表文件，然後
　　　.把inf文件COPY到windows\inf目錄，
　　　.sys文件COPY到WINDOWS\SYSTEM32\Drivers目錄
　　　.其餘文件（一般是.dll文件）COPY到WINDOWS\SYSTEM32目錄。
　　●AMD64支持：
　　把AMD_WINDOWS_WINNT目錄下的INF及SYSTEM32目錄中的相應文件COPY到系統對應目錄
　　執行AMD_DRV.REG，匯入註冊表。


Windows Registry Editor Version 5.00

; ====================================================================================
; FileName : Amd8131.inf
; Provider: AMD
; Class: System
; Driver Version: 09/02/2004, 1.3.9.0
; ====================================================================================

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\PCI#VEN_1022&DEV_7450&CC_0604]
"Service"="AmdPCI"
"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"

; ***********************************
; Below is service settings
; ***********************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AmdPCI]
"DisplayName"="AmdPCI Compatible Device"
"ServiceType"=DWORD:00000001
"StartType"=DWORD:00000000
"ErrorControl"=DWORD:00000001
"ImagePath"="System32\\Drivers\\AmdPci32.sys"

; ====================================================================================
; FileName : Amdagp8x.inf
; Provider: "AMD"
; Class: System
; Driver Version: 08/21/2003, 8.1.2
; ====================================================================================

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\PCI#VEN_1022&DEV_7455]
"Service"="amdagp8p"
; 與此相關的服務有多個，自動尋找選項了第一個找到的服務，但不一定是正確的，請你檢查核對
; amdagp8p,pci
"ClassGUID"="{4d36e97d-e325-11ce-bfc1-08002be10318}"

; ***********************************
; Below is service settings
; ***********************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\amdagp8p]
"DisplayName"="amdagp8p Compatible Device"
"ServiceType"=DWORD:00000001
"StartType"=DWORD:00000000
"ErrorControl"=DWORD:00000001
"ImagePath"="System32\\Drivers\\amdagp8p.sys"
"Group"="PnP Filter"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pci]
"DisplayName"="pci Compatible Device"
"ServiceType"=DWORD:00000001
"StartType"=DWORD:00000000
"ErrorControl"=DWORD:00000001
"ImagePath"="System32\\Drivers\\pci.sys"
"Group"=""Boot Bus Extender""

; ====================================================================================
; FileName : Amdhpet.inf
; Provider: AMD
; Class: System
; Driver Version: 02/28/2003, 1.0.0.0
; ====================================================================================

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\*PNP0103]
"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"

; ====================================================================================
; FileName : amdioapic.inf
; Provider: "AMD"
; Class: System
; Driver Version: 05/08/2002, 1.80.0.0
; ====================================================================================

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\PCI#VEN_1022&DEV_7451]
"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"

; ====================================================================================
; FileName : amdk8.inf
; Provider: Advanced Micro Devices
; Class: Processor
; Driver Version: 10/26/2004, 1.2.2.0
; ====================================================================================

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\ACPI\AuthenticAMD_-_x86_Family_15]
"Service"="AmdK8"
"ClassGUID"="{50127DC3-0F36-415e-A6CC-4CB3BE910B65}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\ACPI\AuthenticAMD_-_AMD64_Family_15]
"Service"="AmdK8"
"ClassGUID"="{50127DC3-0F36-415e-A6CC-4CB3BE910B65}"

; ***********************************
; Below is service settings
; ***********************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AmdK8]
"DisplayName"="AmdK8 Compatible Device"
"ServiceType"=DWORD:00000001
"StartType"=DWORD:00000000
"ErrorControl"=DWORD:00000001
"ImagePath"="System32\\Drivers\\AmdK8.sys"
"Group"="Extended Base"

; ====================================================================================
; FileName : AmdShpc.inf
; Provider: AMD
; Class: System
; Driver Version: 09/02/2004, 1.3.9.0
; ====================================================================================

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\PCI#VEN_1022&DEV_7450&CC_0604]
"Service"="AmdPCI"
; 與此相關的服務有多個，自動尋找選項了第一個找到的服務，但不一定是正確的，請你檢查核對
; AmdPCI,AmdShpcSrv
"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\PCI#VEN_1022&DEV_7458&CC_0604]
"Service"="AmdPCI"
; 與此相關的服務有多個，自動尋找選項了第一個找到的服務，但不一定是正確的，請你檢查核對
; AmdPCI,AmdShpcSrv
"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"

; ***********************************
; Below is service settings
; ***********************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AmdPCI]
"DisplayName"="AmdPCI Compatible Device"
"ServiceType"=DWORD:00000001
"StartType"=DWORD:00000000
"ErrorControl"=DWORD:00000001
"ImagePath"="System32\\Drivers\\AmdPci32.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AmdShpcSrv]
"DisplayName"="AmdShpcSrv Compatible Device"
"ServiceType"=DWORD:00000001
"StartType"=DWORD:00000000
"ErrorControl"=DWORD:00000001
"ImagePath"="System32\\AmdHpSrv.exe"

; ====================================================================================
; FileName : amdsmb2.inf
; Provider: AMD
; Class: System
; Driver Version: 08/27/2002, 1.0.1.0
; ====================================================================================

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\PCI#VEN_1022&DEV_746A]
"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"

; ====================================================================================
; FileName : amdsmw2k.inf
; Provider: "AMD"
; Class: System
; Driver Version: 08/27/2002, 1.8.1.0
; ====================================================================================

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\PCI#VEN_1022&DEV_7413]
"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\PCI#VEN_1022&DEV_7443]
"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\PCI#VEN_1022&DEV_746B]
"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"



三、封裝文件準備：COPY整個sysprep目錄到C:\


第三步中改為自動分配IP位址應該怎麼改$ncsp$.inf，不填參數就可以了嗎？
不填也可以。最好移除這個文件

　　如果想修改進入系統後的IP自動設定，請修改$ncsp$.inf文件！
四、常用驅動整合

7-Zip 功能強大的壓縮軟體
將軟體壓縮方便攜帶傳送已經是大家的習慣，而 7-zip 是一套很好的壓縮軟體，不僅壓縮比高、支援很多格式而且還支援中文喔。


既然要去壓縮檔案，當然我們就要去找壓縮軟體，而隨著技術的進步，一些以前研發出來的壓縮格式已經被更新的技術超越。而 7-Zip 就是在新技術中的軟體。而 7-Zip 也支援了很多的壓縮格式，它可以把壓縮、解壓縮 7z、ZIP、GZIP、TAR、BZIP2 這些壓縮格式，另外也可以解壓縮 RAR、CAB、ARJ、cpio、rpm 這些壓縮格式。

對國內的使用者來說 7-Zip 的一大好處就是它支援中文。安裝完 7-Zip 後，我們可以在開始功能表中找到 7-Zip Configuration。到 Language 那一頁，你可以在下拉式選單中找到 Chinese Traditional﹝繁體中文﹞，選擇後按確定，你就擁有了親切熟悉的中文介面。而 7-Zip 的使用也非常的方便，要壓縮檔案只要選取了要壓縮的檔案，按右鍵，選擇 7-Zip → 加入到壓縮檔 就好了。而如果想要把壓縮檔解壓縮，也只要從右鍵選單中選擇 7-Zip → 解壓縮檔案 就可以了。
http://www.7-zip.org/

　　利用7-Zip 文件管理器製作適合自己的常用驅動壓縮包Drivers.7z，注意修改sysprep.inf中的OemPnPDriversPath=路徑，然後取代sysprep\Drivers.7z

五、開始longhorn封裝
　　1、複製devcon.exe文件到windows目錄，開始－執行－CMD－輸入指令"devcon remove *"，清理硬體。
　　2、根據你的情況，修改sysprep.inf文件（也可以不改）
　　3、執行sysprep.exe,選項－最小化安裝、封裝完成後結束及重新產生SID。
　　4、執行DllcacheManager.exe，制作備份Dllcache資料夾，選項制作備份時移除自己。
　　5、進入longhorn_cn目錄
　　執行Clear_HAL.CMD，移除註冊表中的ACPI_HAL及PCI_HAL
2000版本製作工具的文件Clear_HAL.CMD命令如下:


setacl MACHINE\SYSTEM\ControlSet001\Enum\ACPI_HAL /registry /grant everyone /full
setacl MACHINE\SYSTEM\ControlSet001\Enum\PCI_HAL /registry /grant everyone /full
setacl MACHINE\SYSTEM\ControlSet001\Enum\Root\PCI_HAL /registry /grant everyone /full
setacl MACHINE\SYSTEM\ControlSet002\Enum\ACPI_HAL /registry /grant everyone /full
setacl MACHINE\SYSTEM\ControlSet002\Enum\PCI_HAL /registry /grant everyone /full
setacl MACHINE\SYSTEM\ControlSet002\Enum\Root\PCI_HAL /registry /grant everyone /full
setacl MACHINE\SYSTEM\ControlSet003\Enum\ACPI_HAL /registry /grant everyone /full
setacl MACHINE\SYSTEM\ControlSet003\Enum\PCI_HAL /registry /grant everyone /full
setacl MACHINE\SYSTEM\ControlSet003\Enum\Root\PCI_HAL /registry /grant everyone /full
setacl MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI_HAL /registry /grant everyone /full
setacl MACHINE\SYSTEM\CurrentControlSet\Enum\PCI_HAL /registry /grant everyone /full
setacl MACHINE\SYSTEM\CurrentControlSet\Enum\Root\PCI_HAL /registry /grant everyone /full

reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\ACPI_HAL /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\PCI_HAL /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\PCI_HAL /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\ACPI_HAL /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCI_HAL /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\PCI_HAL /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\ACPI_HAL /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\PCI_HAL /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\PCI_HAL /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI_HAL /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCI_HAL /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\PCI_HAL /f

　　執行PRE_longhorn.CMD，完成所有封裝文件準備工作。
　　6、移除longhorn_cn目錄。
六、製作萬能恢復映射GHO
　　重新啟動電腦後你先不要進入系統，進入DOS啟動GHOST，複製剛才製作系統的分區。形成的GHO映射就是系統萬能恢復映射了。
　　一般在DOS下按如下指令操作：GHOST -Z9 -SPLIT=XXX，其中－Z9代表最高度壓縮率，XXX代表每個映射文件是多少M，如寫成-SPLIT=650代表每個映射文件是650M。根據自己製作的啟動光碟容量，自己選項需要分割壓縮製作映射的容量。如果形成分割映射，則第一個文件是後面是GHO，其它則是GHS。　　
七、啟動光碟ISO的製作
　　最簡單的方法是仿照我的那些ISO結構，把ISO解壓到一個目錄下，使用EasyBoot，取代其中的energy.bmp（背景）為你自己的背景。GHO取代為你自己的。然後利用EasyBoot的製作ISO功能！
八、需要說明的一些問題：
　　1、sysprep目錄內的文件，只適合VRMPVOL躊N進行封裝。
　　2、如果改變安裝系列號，需要在執行sysprep.exe文件後，把註冊表的內容匯出到longhorn.reg（具體匯出部分可參閱longhorn.reg的內容）
　　3、使用其它版本的XP，需要相應修改sysprep目錄、longhorn_cn目錄下的的內容（以後會陸續提供，也可自己DIY）
　　4、第二、第四步不是必須的，如果不想整合驅動，可以不執行。但製作GHO前，需要先執行longhorn.reg，否則恢復程序中會去解壓驅動。當然你也可修改有關CMD的內容，避免出現提前解壓驅動的情況。
教學寫的很詳細啊,:更改電源模式為Standrad PC，同時卸載網路卡，重新啟動後更改IDE 控制器為標準IDE控制器，卸載其中的一個Standrad PC，並卸載網路卡，然後再重新啟動..要重新啟動。不卸載它會出現網路卡2＃，你會更加麻煩...新安裝2000版本，每次卸載網路卡後，本機連接也不會出現2#驅動，網路卡當然也不出現2了，不需要去處理註冊表刪除它
longhorn封裝到底會不會引起啟動時ntfs.sys找不到？
不會。整合驅動不當有可能會。 可以學習「修改sysprep目錄、longhorn_cn目錄下的的內容」
這個東西比較有趣
改成standrad pc後是否一定要重啟呢,不重啟應該也可以的吧
進行SYSPREP後電腦硬體抽像層HAL(電源模式)的完美解決
http://www.slime2.com.tw/forums/showthread.php?t=164878


Windows 啟動方式總結歸納

首先先說說最簡單的檢視啟動項目的方法吧.[開始]---[執行]---輸入: 「Msconfig」,不包括引號---[Enter鍵開啟]---選項[啟動]---便可檢視啟動項目.
一.自啟動項目:
開始---程序---啟動,裡面增加一些應用程式或者建立捷逕.
這是Windows 裡面最一般,以及套用最簡單的啟動方式,如果想一些文件開機時候啟動,那麼也可以將他拖入裡面或者建立建立捷逕拖入裡面.現在一般的病毒不會採取這樣的啟動手法.也有個別會.

二. 第二自啟動項目:
這個是很明顯卻被人們所忽略的一個,使用方法和第一自啟動目錄是完全一樣的, 只要找到該目錄，將所需要啟動的文件拖放進去就可以達到啟動的目的.
路徑:
C:\Documents and Settings\User\「開始」表單\程序\啟動

三. 系統組態文件啟動:
對於系統組態文件,許多人一定很陌生,許多病毒都是以這種方式啟動.

1)WIN.INI啟動:
啟動位置(xxx.exe為要啟動的檔案名稱):
攆windows]
殯oad=xxx.exe[這種方法文件會在後台執行]
run=xxx.exe[這種方法文件會在預設狀態下被執行]

2)SYSTEM.INI啟動:
啟動位置(xxx.exe為要啟動的檔案名稱)：
繒w設為:
攆boot]
壘hell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows檔案總管,屬於正常]
瞼i啟動檔案後為:
攆boot]
壘hell= Explorer.exe xxx.exe [現在許多病毒會採用此啟動方式,隨著Explorer啟動, 隱蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的啟動只能啟動一個指定文件,不要把Shell=Explorer.exe xxx.exe換為Shell=xxx.exe,這樣會使Windows癱瘓!

3) WININIT.INI啟動:
WinInit即為Windows Setup Initialization Utility, 中文:Windows安裝啟始化工具.
它會在系統安裝載入Windows之前讓系統執行一些指令，包括複製，移除，重新命名等，以完成更新文件的目的.
文件格式:
攆rename]
獷xx1=xxx2
繚N思是把xxx2文件複製為檔案名為xxx1的文件，相當於覆蓋xxx1文件
如果要把某文件移除,則可以用以下指令:
[rename]
瀋ul=xxx2
以上檔案名都必須包含完整路徑.

4) WINSTART.BAT啟動:
這是系統啟動的批次處理文件,主要用來複製和移除文件.如一些軟體卸載後會剩餘一些殘留物在系統,這時它的作用就來了.
如：
癒u@if exist C:\WINDOWS\TEMPxxxx.BAT call C:\WINDOWS\TEMPxxxx.BAT」
這裡是執行xxxx.BAT文件的意思

5) USERINIT.INI啟動[2/2補充]:
這種啟動方式也會被一些病毒作為啟動方式,與SYSTEM.INI相同.

6) AUTOEXEC.BAT啟動:
這個是常用的啟動方式.病毒會通過它來做一些動作. 在AUTOEXEC.BAT文件中會包含有惡意程式碼。如format c: /y 等等其它.

四. 註冊表啟動:
通過註冊表來啟動,是WINDOWS中使用最頻繁的一種.
-----------------------------------------------------------------------------------------------------------------
其中%xxx%為任意路徑,xxx.exe為要執行的程序. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Anything\"=\"%xxx%xxx.exe\]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
\"Anything\"=\"%xxx%xxx.exe\"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
\"Anything\"=\"%xxx%xxx.exe\"
[HKEY_LOCAL_MACHINE\Software\Microsof\tWindows\CurrentVersion\RunOnce]
\"Anything\"=\"%xxx%xxx.exe\"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
\"Whatever\"=\"c:runfolderprogram.exe\"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
\"Whatever\"=\"c:runfolderprogram.exe\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\[基預設值為Explorer.exe,也可以被某些木馬改寫]
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\xxx[xxx為某服務項目]
HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\BootExecute[XP預設值為:autocheck autochk *,是系統啟動自我檢驗查,具有很高優先等級.以上是Windows XP的路徑]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\BootExecute[預設值為autocheck autochk *,這是Windows XP以下版本操作系統的路徑]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本機User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run[這個是原則組載入程序,即用戶登入Windows時候所啟動的程序]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[這個是瀏覽器載入項目]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\裡面的AppInit_DLLs[會把DLL插入一些有用的工作,如"木馬剋星"]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify[一些廣告程序,惡意程序會用到它.正常的程序也會用到它,例如Arcavir和TPF]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx[RunOnceEx的基本功能和RunOnce類似,即執行程序一次,但語法和使用上略有不同,可以參考微軟的Knowledge Base的文章:「Q232509 yntax for the RunOnceEx Registry Key」[http://support.microsoft.com/support...��的Knowledge Base的文章:「Q232487 escription of RunOnceEx and RunEx Registry Keys」[http://support.microsoft.com/support/kb/articles/Q232/4/87.asp].而RunServices是為了使用後台執行的服務程序的，它們可以在登入前執行。但不是所有程式都可以作為服務程序執行.]
注意:
1.如果要執行.dll文件,則需要特殊的指令:
xxx.exe C:WINDOWSxxx.DLL,xxx
2. 如果只想不啟動而保留鍵值,只需在該鍵值加入rem即可

五.其他啟動方式:
(1).C:\Explorer.exe啟動方式:
這種啟動方式很少人知道.
在Win9X下,由於SYSTEM.INI只指定了Windows的外殼文件Explorer.exe的名稱,而並沒有指定絕對路徑,所以Win9X會搜尋Explorer.exe文件.
搜尋順序如下：
(1).繚j尋當前目錄.
(2).礎p果沒有搜尋到Explorer.exe則系統會獲取
攆HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的訊息獲得相對路徑.
(3).礎p果還是沒有文件系統則會獲取[HKEY_CURRENT_USER\Environment\Path]的訊息獲得相對路徑.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所儲存的相對路徑的鍵值為:「%SystemRoot%System32;%SystemRoot%」和空.
所以,由於當系統啟動時,「當前目錄」肯定是%SystemDrive%(系統驅動器),這樣系統搜尋Explorer.EXE的順序應該是:
(1).%SystemDrive%(例如C:\)
(2).%SystemRoot%System32(例如C:\WINNT\SYSTEM32)
(3).%SystemRoot%(例如C:\WINNT)
此時,如果把一個名為Explorer.EXE的文件放到系統根目錄下,這樣在每次啟動的時候系統就會自動先啟動根目錄下的Explorer.exe而不啟動Windows目錄下的Explorer.exe了.
礎bWinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的檔案名放置的位置,把系統啟動時要使用的外殼文件(Explorer.exe)的名稱放到了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微軟已經更改了這一方式.

(2).螢幕保護啟動方式:
Windows 螢幕保護程序是一個*.scr文件,是一個可執行PE文件,如果把螢幕保護程序*.scr重新命名為*.exe的文件,這個程序仍然可以正常啟動,類似的*.exe文件更名為*.scr文件也仍然可以正常啟動.
文件路徑儲存在System.ini中的SCRNSAVE.EXE=的這條中.如: SCANSAVE.EXE=/%system32% xxxx.scr
這種啟動方式具有一定危險.

(3).計劃工作啟動方式:
Windows 的計劃工作功能是指某個程序在某個特指時間啟動.這種啟動方式隱蔽性相當不錯.
[開始]---[程序]---[附件]---[系統工具]---[計劃工作],按照一步步順序操作即可.

(4).AutoRun.inf的啟動方式:
Autorun.inf這個文件出現於光碟載入的時候,放入光碟時,光碟會根據這個文件內容來確定是否開啟光碟裡面的內容.
Autorun.inf的內容通常是：
攆AUTORUN]
叢PEN=檔案名.exe
點CON=icon(圖示文件).ico
1.如一個木馬,為xxx.exe.那麼Autorun.inf則可以如下:
OPEN=Windows\xxx.exe
ICON=xxx.exe
這時,每次雙按C碟的時候就可以執行木馬xxx.exe.

2.如把Autorun.inf放入C碟根目錄裡,則裡面內容為:
OPEN=D:\xxx.exe
ICON=xxx.exe
這時,雙按C碟則可以執行D碟的xxx.exe

(5).更改副檔名啟動方式:
更改副檔名*.exe)
如:*.exe的文件可以改為:*.bat,*.scr等副檔名來啟動.

六.Vxd虛擬設備驅動啟動方式:
應用程式通過動態載入的VXD虛擬設備驅動,而去的Windows 9X系統的操控權(VXD虛擬設備驅動只適用於Windows 95/98/Me).
可以用來管理例如硬體設備或者已安裝軟體等系統資源的32位可執行程序，使得幾個應用程式可以同時使用這些資源.

七.Service[服務]啟動方式:
[開始]---[執行]---輸入"services.msc",不帶引號---即可對服務項目的操作.
在「服務啟動方式」選項下,可以設定系統的啟動方式:程序開始時自動執行,還是手動執行,或者永久停止啟動,或者暫停(重新啟動後依舊會啟動).
註冊表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
通過服務來啟動的程序,都是在後台執行,例如大陸木馬"灰鴿子"就是利用此啟動方式來達到後台啟動,竊取用戶訊息.

八.驅動程式啟動方式:
有些病毒會偽裝成硬體的驅動程式,從而達到啟動的目的.
1.系統原有的的驅動程式.[指直接使用操作系統原有的的標準程序來啟動]
2.硬體原有的的驅動程式.[指使用硬體原有的的標準程序來啟動]
3.病毒本身偽裝的驅動程式.[指病毒本身偽裝的標準程序來啟動]
。

有沒有Intel驅動，發現我做出來的GHOST在PIII和AMD環境沒有問題，但是服務機構的2種P4+845都有問題，ghost重新啟動後，驅動解壓都走不到，不停的重新啟動，不知道什麼原因?
準備修改一下AMD64驅動部分，重新更該驅動包


375Mb驅動包」
那個DRIVERS.7Z就是了，你把它解壓縮後就是375MB了。7Z就是壓縮率高，


系統封裝工具文件詳細解釋

VRMPVOL_CN_LONGHORN_DRV
│ CL_DEV.cmd　移除硬體的批次處理指令，實際上就是執行devcon remove *
│ devcon.exe　　移除硬體設備的程序
│ DrvInf.exe　INF轉換為註冊表文件的工具，製作S&R&S驅動用，但並不十分可靠。
│ Ghost.Windows.XP.Pro.SP2.VOL.CN整合S&R&S及常用驅動.Longhorn封裝方法.doc
│
├─AMD64_DRV
│ │ AMD64_Delete.CMD　恢復系統後，移除AMD64驅動（非AMD64電腦使用）
│ │ AMD64_FULL.REG　 AMD64驅動的註冊表文件，需要在封裝前匯入註冊表
│ │ DrvInf.exe　INF轉換為註冊表文件的工具，製作S&R&S驅動用，但並不十分可靠。
│ │
│ └─Windows_Winnt
│ ├─Inf
│ │ amdk8.inf　→COPY到WINDOWS\INF目錄
│ │
│ └─System32
│ └─Drivers
│ amdk8.sys　→COPY到WINDOWS\system32\Drivers
│
├─S&R&S V5.5-1031
│ CL_551030.CMD　移除安裝S&R&SV5.5_1030.exe後的多餘文件
│ README.txt　　　S&R&SV5.5_1030.exe原版檔案
│ S&R&SV5.5_1030.exe　→需要完整安裝，自動複製S&R&S文件及匯入註冊表
│ viasrs.exe　　S&R&SV5.5_1030.exe原版檔案
│ 安裝使用說明.txt　我寫的，隨便年看看吧。
│
└─sysprep　此目錄下不作解釋的文件一般來自原版安裝光碟\SUPPORT\TOOLS\ DEPLOY.CAB（MS系統封裝工具），請根據不同的WINDOWS版本自行取代！
│ 7za.exe　7Z的DOS解壓程序
│ cleandrm.log　
│ cvtarea.exe　
│ deploy.chm
│ DllcacheManager.exe　Dllcache制作備份程序，封裝前減肥使用！
│ Drivers.7z　利用7-Zip 文件管理器製作適合自己的常用驅動壓縮包Drivers.7z，最新的驅動程式可以從http://www.driverpacks.net/獲得。
│ factory.exe
│ oformat.com
│ readme.txt
│ ref.chm
│ setupcl.exe
│ setupmgr.exe
│ sysprep.exe
│ sysprep.inf　自己製作Drivers.7z後，必須修改OemPnPDriversPath，否則驅動不起作用。裡邊的CDKEY、用戶名、公司名…..均可修改。可使用setupmgr.exe產生。
│ wfinf_guide.doc
│ ZProgBar.ocx　 Dllcache制作備份程序的配套文件，不可缺少！
│
└─longhorn_cn　此目錄是Longhorn　Ddetecthal的關鍵文件，有些文件必須要根據你封裝的WINDOWS系統不同而更換！
│ Clear_HAL.CMD　移除註冊表中的ACPI_HAL及PCI_HAL的批次處理指令，省卻你一個個搜尋移除。此指令一般不需要修改，所有WIN2000以上的系統適用。

│ DllcacheManager.exe　 DllcacheManager.exe的美化版本，只有恢復功能，會自動COPY取代，不需要理它。
│ PRE_DRV.CMD　第一次重新啟動後執行的批次處理：一是解壓驅動，二是匯入封裝後匯出來的註冊表。此文件一般不需要更改。
│ PRE_DRV.reg　改寫了註冊表的HKEY_LOCAL_MACHINE\SYSTEM\Setup，讓系統第一次重新恢復時執行PRE_DRV.CMD，此文件不需要修改。
│ PRE_longhorn.CMD　複製longhorn　Ddetecthal的關鍵文件到本應目錄。此文件一般不需要修改。
│ setacl.exe　修改註冊表權限的程序，需要保留。
│ XP_setup.reg　執行封裝程序sysprep.exe 後立即匯出註冊表文件，這個文件跟CDKEY、WINDOWS版本都有關係，即匯出HKEY_LOCAL_MACHINE\SYSTEM\Setup
│
├─root
│ boot.ini　→longhorn　Ddetecthal的關鍵文件，不需要更改。
│ ntldr　→longhorn　Ddetecthal的關鍵文件，不需要更改。
│
└─WINDOWS
├─inf
│ dtecthal.inf　→longhorn　Ddetecthal的關鍵文件，不需要更改。
│
├─system32　此目錄內文件一般來自原版安裝光碟I386目錄（WIN2000在SP4.CAB、WINDOWS XP SP2在SP2.CAB、WINDOWS 2003在SP1.CAB），根據封裝不同的版本，需要更換下面這10個文件，並注意更改檔案名！
│ $ncsp$.inf　→IP位址自動組態文件，可以修改，也可以移除。
│ halaacpi.dll
│ halacpi.dll
│ halapic.dll
│ halmacpi.dll
│ halmps.dll
│ halstnd.dll　→原名hal.dll，更名為halstnd.dll
│ ntkrnlmp.exe　
│ ntkrnlpa.exe
│ ntkrnlup.exe
│ ntkrpamp.exe　→原名ntoskrnl.exe，更名為ntkrnlup.exe
│
└─w_root
boot.ini　系統封裝前，C碟根目錄下的文件，需要根據不同的系統取代！
DevicePath.reg　系統封裝前的註冊表文件，需要根據不同的系統匯出來取代，即HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion。
NTDETECT.COM系統封裝前，C碟根目錄下的文件，需要根據不同的系統取代！
Ntldr　　系統封裝前，C碟根目錄下的文件，需要根據不同的系統取代！
romote.reg　此文件不需要修改，解決遠端桌面無法訪問的問題。
run.bat　　　系統完全恢復後執行的批次處理指令，一般不需要修改。
setacl.exe　　修改註冊表權限的程序，需要保留。
XP_LAN.reg　解決區域網路相互訪問問題的註冊表文件，不需要修改。


製作關於longhorn安裝方法的系統碟的方法 【WIM封裝方法】
http://www.slime2.com.tw/forums/show...light=longhorn
級 xp/2003 的工作管理器至 Longhorn 版
http://www.slime2.com.tw/forums/show...light=longhorn