------------------------------------------------------------
;By 路杨
;http://easun.org
;发表于 爱毒霸 (http://bbs.duba.net)
---------------------------------------------------------------------------------
前言：

引用:

从最近帖子来看，有很多朋友中的的顽固病毒和木马，在当前系统下解决起来比较困难，而且还有部分根本没有办法进系统，而现在的 U盘 已经很普及。所以做一个WinPE界面下的 金山毒霸2008 ，也许是个好的选择。路杨不自量力，做抛砖引玉之用，也希望有精通此道的朋友共同讨论。

一。首先做能启动的WinPE U盘。
网上流行WinPE 版本有很多版本，我这里推荐  老毛桃修改之撒手不管版（Build 070911）,因为这个版本的核心和软件是完全分开的，最小系统仅为 26 MB 左右。而且修改的很健全，几乎在任何硬件下都能完美运行。另外，集成 WIM驱动和 PECMD命令，系统为ISO景象，杜绝了被病毒感染的可能。
本教程也以这个版本为例：
1。首先下载  老毛桃修改之撒手不管版（Build 070911），这个地址网络上很多，可以搜索下，下来的文件为 BootCD_070911.ISO ,大小为 109M。
用虚拟光驱加载或者刻录成光盘，或者用 WinRar等软件解压缩后获得如下结构：

1.PNG (67.2 KB)

2008-5-14 00:58

（图一）
如果是光盘/虚拟光盘，打开会自动运行（\SETUP\PESETUP.EXE），如下图：

2.PNG (28.25 KB)

2008-5-14 00:58

（图二）
这样，选择 4 也可以按照指导安装到U盘，但是这样的装法并不是最节约/兼容性最好的。我们可以跳过，按照自己的思路来让 U 盘引导。
我们需要4个文件，其中一个是 ntboot.exe，处于 \SETUP\MYINS 下，这个文件是 U 盘启动的关键程序程序，负责写入 ntload （也就是NT/XP的启动方式）的引导扇区。如下图

3.PNG (60.73 KB)

2008-5-14 00:58

（图三）
其他两个文件是真正启动需要的，是PE引导文件 NTDETECT.COM 和 SETUPLDR.BIN，见附件(下载 peldr.rar (157.52 KB)

peldr.rar (157.52 KB)
下载次数: 2620

2008-5-14 00:58

)。其中 SETUPLDR.BIN 是引导程序，为了让系统直接启动 PE 而不是 Windows 我们把 SETUPLDR.BIN 将来改成 ntldr 放在 U盘根目录。 这两个文件的位置光盘中也有，只不过不适合U盘使用。我们必须下载附件使用，光盘版本中位置见下图：
（注意：不同PE的 setupldr.bin不通用，必须取自同一个PE系统，这个是因为被 PE 的作者(老毛桃)人为修改过的，为了适应不同的目录，以及和其他版本（不同作者）的PE发生冲突，比如附件中的这个版本,setupldr.bin就修改了，适应启动目录是 MiniPE而不是 I386，同样，将来附件中的 NTDETECT.COM也要改成 NTCOM 也是因为setupldr.bin中修改了名称的缘故。）

4.PNG (63.58 KB)

2008-5-14 00:58

（图四）
把以上文件(ntboot.exe和附件下载的文件)Copy到同一个临时目录（比如 C:\tools），备用。样子见下图

5.PNG (63.06 KB)

2008-5-14 00:58

（图五）
还有一个重要文件，根目录下的 WINNT.XPE ，这个文件的名字也是修改过的，按照M$原版，应该是 WINNT.SIF，指定了PE启动的方式，景象文件的地址等等，我们记好位置备用。见下图：

6.PNG (74.94 KB)

2008-5-14 00:58

(图六)

2。插入你的 U盘。要求：最好 FAT32 格式（比较节省，而且兼容性大），大小建议大于512M（太小了病毒库都放不下）。如下图

7.PNG (36.72 KB)

2008-5-14 00:58

（图七）

记好 U 盘的的盘符，比如我这里是 K:
进入在 cmd 命令行下： （操作见下图）

8.PNG (82.05 KB)

2008-5-14 00:58

（图八）
在 此界面下输入以下命令

引用:

cd \tools\  
ntboot K:

见下图。

9.PNG (19.71 KB)

2008-5-14 00:58

（图九）
如果出现上图的 "Installation Completed!" 字样，则表示U盘启动处理成功，表示你这个U盘支持这样样式的启动，可以下一步，如果出现的不是这样，表示安装不成功，则你可以搜索网络看能否以其他办法做U盘启动，就不在本文范围内了。

3， Copy PE文件到 U盘。

首先copy 附件中的setupldr.bin 到 U盘根目录，改名字为 ntldr (没有扩展名)， Copy 整个 MiniPE 目录到 U盘， copy 附件中的NTDETECT.COM 到 U盘 MiniPE 目录下，改名字为 NTCOM (没有扩展名), Copy WINNT.XPE 到U盘 MiniPE 目录下，改名字为 PE (没有扩展名)。
完成后结构见下图：

10.PNG (109.5 KB)

2008-5-14 00:58

（图十）

4，到此，你的 WinPE 安装盘应该安装完了，快重启，设置从 U盘启动 (从BIOS设置U盘启动请搜索网络来完成设置) 看看效果吧。
启动后界面如下图：

11.PNG (223.1 KB)

2008-5-14 00:58

（图十一）

就此，我们的启动U盘就做完了，感谢WinPE作者 老毛桃，有他的辛勤，才有我们的轻松。
下面我们来把金山毒霸 集成在 U盘中。

[ 本帖最后由 路杨 于 2008-7-4 22:36 编辑 ]

二。我们来把金山毒霸 集成在 U盘中。
（注意：只有最新版本的 金山毒霸2008 程序才能集成 ，四月前版本不能集成，会出现运行环境不正常或者缺少dll的提示）
如果你不想节省空间，并且不想进一步简化程序，缩小体积，你只需要复制整个 KIS2008 安装目录到 U盘就可以了。从U盘启动PE后手动去该目录运行 KAV32.exe就可以在U盘WinPE下运行了。要升级病毒库的话，覆盖新版本，新病毒库的毒霸目录就可以。
但是这样由于整个毒霸目录是毫无保护的放在PE系统之外的，不排除被病毒感染的可能，另外，清理专家等功能在WinPE下毫无用处。有点浪费的感觉。

------------------------------------------------------------------------------------------------
如果你想要一个完全精简版本，完全集成在U盘WinPE中的 KIS2008（金山毒霸2008 ）的话，请继续朝下看：
这个精简版本有以下作用：

引用:

1。只保留了扫描作用。
2。病毒库外置，程序WIM封装，工作在内存方式，方便升级病毒库而不改写WIM封装程序。
3。第一次启动是可选择外置硬盘上的最新病毒库。
4。方便升级病毒库（简单copy完成）

1。工欲善其事,必先利其器，我们需要以下工具：

引用:

1。老九写的 WIMTools 以及 MS的WIM底层服务。
（点击下载 wimtool.rar (444.8 KB)

wimtool.rar (444.8 KB)
下载次数: 1277

2008-5-17 20:41

）
2。KISldr.exe 第3方工具。用于加载毒霸2008的病毒库，路杨友情编写，方便U盘启动后加载外挂的最新病毒库之用，也可用于病毒库备份之用，该程序运行后会自动搜索各盘根目录下的 KIS2008 目录。完成自动搜索。
（点击下载 KISldr.rar (20.72 KB)

KISldr.rar (20.72 KB)
下载次数: 663

2008-5-17 21:19

）
3. 7z.exe ：压缩，接压7z格式的cmd程序，用于压缩程序包和解压程序包。为什么不用 rar 格式是因为 7z格式压缩率更高，而且貌似现在的病毒会接压rar包进行感染：
（点击下载 7Z.rar (181.67 KB)

7Z.rar (181.67 KB)
下载次数: 1018

2008-5-17 20:41

）
4。 将来用于 PE 的 解压 cmd脚本和图标： kis.cmd 和 kisldr.ico
（点击下载 cmd.rar (11.2 KB)

cmd.rar (11.2 KB)
下载次数: 609

2008-5-17 20:41

）

2。下载并安装工具，我们仍然以 "c:\tools" 为示例。
首先安装 WIMTools，解压如下图，并且找到wimfltr.inf，点右键，选择“安装”完成 MS 的WIM底层服务安装。

2_1.PNG (103.68 KB)

2008-5-17 22:06

解压7z.exe 如下图：

2_2.PNG (85.12 KB)

2008-5-17 22:06

3 .精简 毒霸 2008 以及 分离 KSG库（病毒库）
分离 KSG库（病毒库）是为了以后升级方便，升级病毒库而不升级程序文件。
Copy整个 毒霸的 安装目录 （比如）到 C:\KAV_PE
在 U 盘(这次我的U盘的盘符是 H: )上建立文件夹 KIS2008 (因为kisldr.exe默认文件夹是 kis2008，所以建议是这个名字，不然自动搜索功能会失效。)，移动 C:\KAV_PE 目录下面的 Signs.ini 和 ksg 文件夹到  H:\KIS2008， （注意，此操作是移动，所以完成后的的 c:\KAV_PE 目录中不再有 signs.ini 文件和 ksg 文件夹 ）见下图。

2_list_ksg.PNG (63.9 KB)

2008-5-17 22:06

解压缩 kisldr.exe 到 C:\KAV_PE , 开始精简，精简的目标是让文件最少，删除在 PE 没有必要的 清理专家，设置，升级等功能。可以根据自己的需要来精简，如果你不想精简，也可以不精简。 我精简后文件 只有 18M （含 数个文件和一个目录lang，而 lang/chs 下的图片也删除了大部分），而压缩后只有 5.06 M。

精简后的文件见下图

2_list_kav.PNG (102.51 KB)

2008-5-17 22:06

以下为我精简后的文件清单，大家可以根据这个精简：

引用:

infoc.dll
infopost.dll
kaconfig.dll
kaearcha.dat
kaeautorunex.dll
kaeboot.dat
kaecall2.dll
kaecentr.dat
kaecore.dat
kaecorea.dat
kaemaldt.dll
kaememex.dll
kaengcfg.dat
kaengine.dat
kaentrya.dat
kaeolea.dat
kaeplat.dll
kaeplata.dll
kaeprev.dll
kaeproxy.dat
kaeremov.dll
kaesgnld.dll
kaeunpack.dat
kaext2.dat
kaextend.dat
kantray.dll
karchive.dat
karescfg.dat
karetr.dll
kav32.exe
kav32res.dll
kavdevc.dll
kavdx.exe
kavevent.dll
kavipc2.dll
kavpass2.dll
kavpassp.dll
kavpid.kid
kavppwiz.dll
kdevmgr.dll
kis.dll
KISldr.exe  ----- 第3方工具，用于加载非本地病毒库。By 路杨
kissvc.dll
krepair.com
ksaengin.dll
ksgmerge.dll
ktmemdb.dat
kunpamgr.dat
kvntocn.dll
mfc71.dll
mfc80.dll
mfc80u.dll
microsoft.vc80.crt.manifest
microsoft.vc80.mfc.manifest
microsoft.vc80.mfcloc.manifest
msvcp80.dll
msvcr71.dll
msvcr80.dll
trojandetector.exe
lang
|_chs
    |_ antivirus.dat
    |_ kav32.xml
    |_ kav32_about.bmp
    |_ kav32_advancedsettings.bmp
    |_ kav32_advancedsettings_hover.bmp
    |_ kav32_fullscan_down.bmp
    |_ kav32_fullscan_hover.bmp
    |_ kav32_fullscan_normal.bmp
    |_ kav32_logo.bmp
    |_ kav32_logo_hover.bmp
    |_ kav32_online_page_background.bmp
    |_ kav32_shortcut_manage.bmp
    |_ kav32_shortcut_manage_hover.bmp
    |_ kav32_status_danger.bmp
    |_ kav32_status_risk.bmp
    |_ kav32_status_safe.bmp
    |_ kav32_tab_onlinepage_active.bmp
    |_ kav32_tab_onlinepage_hover.bmp
    |_ kav32_tab_onlinepage_normal.bmp
    |_ kav32_tab_pathselect_active.bmp
    |_ kav32_tab_pathselect_hover.bmp
    |_ kav32_tab_pathselect_normal.bmp
    |_ kav32_tab_shortcut_active.bmp
    |_ kav32_tab_shortcut_hover.bmp
    |_ kav32_tab_shortcut_normal.bmp
    |_ kav32_tab_systemstatus_active.bmp
    |_ kav32_tab_systemstatus_hover.bmp
    |_ kav32_tab_systemstatus_normal.bmp
    |_ kav32_update_down.bmp
    |_ kav32_update_hover.bmp
    |_ kav32_update_normal.bmp
    |_ kavscan.txt
    |_ kavset.xml
    |_ kis.dat

3。进行压缩。
开始菜单 -> 运行 -> 输入 "cmd" 后，执行以下命令：

引用:

c:
cd c:\tools
7z a -r kis.7z c:\kav_pe\*.*

操作见下图：

2_3.PNG (21.35 KB)

2008-5-17 22:06

完成后 可以在 C:\tools 目录下面 找到压缩的文件 kis.7z ，仅仅 5.06M。这个时候 C:\KAV_PE 已经没有用处了，我们可以删除掉 C:\KAV_PE 目录。

引用:

[2008-07-04更新]懒人可以下载我做好的 kis.7z ，分3个压缩包上传，地址如下：
分卷一： kis.part1.rar (1.63 MB)

kis.part1.rar (1.63 MB)
kis.7z-01
下载次数: 369

2008-7-4 22:29

分卷二： kis.part2.rar (1.63 MB)

kis.part2.rar (1.63 MB)
kis.7z-02
下载次数: 382

2008-7-4 22:29

分卷三： kis.part3.rar (1.63 MB)

kis.part3.rar (1.63 MB)
kis.7z-03
下载次数: 362

2008-7-4 22:29

文件见下图所示：

2_4.PNG (87.05 KB)

2008-5-17 22:06

。

把我们需要打包进WIM的文件， kis.7z, kis.cmd,kisldr.ico, 7z.exe ( kis.cmd,kisldr.ico 来自下载的 cmd.rar 压缩包 )放在同一个目录，起名为 kis_pe ，并把整个目录放在一个临时文件夹中。比如 c:\tools\temp\

见下图所示：

2_5.PNG (74.34 KB)

2008-5-17 22:06

到这里准备工作完成，我们准备开始集成进 WinPE 的 OP.WIM 中

4. 进行集成：
首先 Copy U盘 MiniPE 下 OP.WIM 和 WINPE.ini 到一个临时文件夹(我这里是 C:\tools\temp\ )，原因很简单，大家都不喜欢直接在 U 盘操作大的读写命令吧。
在 C:\tools\temp\ 下 建立一个空目录 mnt

运行 WIMTool.exe 这个程序，加载 OP.WIM， 把 OP.WIM 镜像 挂载到 C:\tools\temp\mnt 下，注意，因为我们要改写这个镜像,所以必须是以 可写方式 挂载。 废话不多说，见下图，注意 红色标出来的部分。

2_6.PNG (37.47 KB)

2008-5-17 22:06

点 挂载映像 后会自动打开 C:\tools\temp\mnt 目录，这个目录其实就是 OP.WIM 的内容，而且是可操作的，你可以根据自己需要，来进行任何操作，就和一个目录一样。如下图：

2_7.PNG (82.02 KB)

2008-5-17 22:06

其中 外置程序这个目录，就是 老毛桃WINPE 完全模式启动后出现在开始菜单里面的所有程序。我们需要的就是把我们的 kis_pe 目录 copy到这个目录里面。

如下图：

2_8.PNG (89.75 KB)

2008-5-17 22:06

到此，我们回到 WIMTool.exe 的界面，这里会行列出来已经挂载的WIM文件，选择OP.WIM后，我们点 “卸载映像”.因为我们是 可写方式 挂载的，程序会提示我们是否保存更新/修改，我们当然选择修改了。操作见下图：

2_9.PNG (57.9 KB)

2008-5-17 22:06

OK，现在理论上我们已经完成了WIM的整合，如果不放心，我们可以用 WIMTool的列表功能测试一下，如下图：

2_10.PNG (44.19 KB)

2008-5-17 22:06

5。修改WINPE.ini，让 DB 出现在开始菜单上。
很简单，打开 WINPE.ini 在合适的位置另起一行，添加：

引用:

LINK !%Programs%\金山毒霸\金山毒霸2008（X盘RAM盘运行）,%OPDir%\kis_pe\kis.cmd,,%OPDir%\kis_pe\KISldr.ico
LINK !%Programs%\金山毒霸\金山毒霸2008（在C盘运行）,%OPDir%\kis_pe\kis.cmd,C,%OPDir%\kis_pe\KISldr.ico
LINK !%Programs%\金山毒霸\金山毒霸2008（在D盘运行）,%OPDir%\kis_pe\kis.cmd,D,%OPDir%\kis_pe\KISldr.ico

比如我们添加到

引用:

LINK !%Programs%\腾讯QQ\迷你QQ（在E盘运行）,%OPDir%\MINIQQ\QQ.CMD,E,%OPDir%\MINIQQ\QQ.ICO

下面。

6。把 OP.WIM和 WINPE.ini copy回 U盘的 MiniPE 目录下面，覆盖原始的文件。
到此，所有的操作完成。

7。关于更新U盘病毒库。
很简单。只有从安装了金山毒霸2008并升级到最新病毒库的机器上 copy 金山毒霸2008 安装目录下signs.ini 和 ksg 目录覆盖 U 盘 KIS2008 下面的文件就可以。 当然，你也可以把 kisldr.exe 文件复制到 U 盘的 KIS2008 目录下。在正常的系统中执行此文件。按照提示定位于金山毒霸2008安装目录下就可，程序会自动复制 金山毒霸2008 安装目录下signs.ini 和 ksg 目录覆盖 程序所在目录下面的文件 。


[ 本帖最后由 路杨 于 2008-7-4 22:43 编辑 ]

OK。我们来看看完成后的界面吧。

1。正常启动的菜单

2_11.PNG (331.78 KB)

2008-5-17 22:07

2。运行此菜单后的结果。注意桌面：
两个图标操作差不多，只是其中上面的用于再次选择病毒库（第一次操作会选择，但是选择后就不再有选择，而是直接启动。所以这个快捷方式会强制选择）

2_12.PNG (366.99 KB)

2008-5-17 22:07

3。这个是第一次运行，或者强制选择病毒库后的提示。。
程序会自动搜索所有硬盘下的 KIS2008，如果找到，而且有合法的病毒库，会提示。

2_13.PNG (30.3 KB)

2008-5-17 22:07

4。这个是加载过程

2_14.PNG (376.57 KB)

2008-5-17 22:07

5。运行后的界面：

2_15.PNG (211.51 KB)

2008-5-17 22:07

6.PE下的杀毒过程：

2_16.PNG (194.79 KB)

2008-5-17 22:07

[ 本帖最后由 EasunLuyang 于 2008-5-17 22:07 编辑 ]

老毛桃的好象带免费卡吧DOS版杀软吧。

支持下,做个U盘版的.

不错，支持!!
U盘可以量产的
可以光启

引用:

原帖由 病毒终结杀手 于 2008-5-14 08:23 发表
老毛桃的好象带免费卡吧DOS版杀软吧。

不。集成的是 AVP6.0 Windows 版本。。：）

[ 本帖最后由 路杨 于 2008-7-4 22:34 编辑 ]

顶顶

精品，学习中

OK ，终于写完了。。其中的 U盘版本 KIS2008 拖了好几天。
寒一个，。。。

因为介绍了办法，大家可以进一步进行自定义：）

我完成的全部删除掉 OP.wim 内容仅仅保留了 KIS2008 功能后的 超小 U 盘 仅仅 30M (OP.WIM 6M)。。 当然是删除了所有的软件。

[ 本帖最后由 EasunLuyang 于 2008-5-17 21:42 编辑 ]

感谢路扬同志的好文分享！

实在是不错的文章 ^_^

谢谢分享~

不错～～～

我是2007年10月份新买的杀毒软件，到现在已经自动升级为2008版软件，5月7日升完级后，现在升不了级，是怎么回事，请回答

顶！好文章。我有个闲置的紫光4GB的U盘，能不能安装非精简呀？

ding一下

引用:

原帖由 戀￡馨 于 2008-5-22 17:51 发表
顶！好文章。我有个闲置的紫光4GB的U盘，能不能安装非精简呀？

非精简当然也可以。问题是精简的原因并不是因为 U 盘的容量。而是 这个版本的 WinPE 实际上是在内存中运行，而 毒霸程序实在是有点大。所以精简一下，这样在小内存机器上用 U 盘启动的时候会方便很多：）