Як випливає з назви, я хочу знати, чи можу я завантажити або вивантажити драйвер фільтра diskdrive без перезавантаження машини і чи зміна набуде чинності негайно.
Я роблю це в середовищі WinPE і мені потрібно залишатися в WinPE.
Історичний
Я випередив драйвери для шифрування Symantec (також PGP) PGPWDE в наші завантажувальні носії MDT / SCCM, щоб наші технічні працівники могли легко керувати зашифрованими накопичувачами (додавання / видалення користувачів, відновлення пароля, відновлення даних тощо).
Однак у драйверів PGPWDE є деяка вбудована функція, яка запобігає витирання MBR / сектора 0. Це створює проблему при повторному зображенні зашифрованої машини:
- чистий диск не видалить MBR
- bootrec / fixmbr або / fixboot не перезапише MBR
- сторонні утиліти, такі як dskprobe та mbrwiz, також не працюватимуть
- Все вищезазначене виконується успішно, тобто означає, що успішно завершено, або еквівалент; errorlevel / lastexitcode дорівнює 0
Отже, я думаю, що якщо я можу вивантажити драйвер, то це видалить цей «захист», щоб я міг успішно стерти MBR і приступити до зображення.
У WinPE,
- Я не бачу відповідних (наприклад, відсутні посилання на pgp, wde тощо) драйвери фільтрів, завантажені в fltmc
- Я не бачу нічого релевантного (наприклад: немає посилань на pgp, wde тощо) під час запуску статусу devcon, драйверів, dp_enum, ресурсів, find, findall
- Існує кілька класів налаштування пристрою, у яких є ім'я та опис "?"
- Системний процес завантажує лише один файл: pgpwded.sys (перевірено через procexp)
Ось що [мало] я думаю, що я знаю про драйвер / "пристрій":
- У диспетчері пристроїв (на машині Windows із встановленим програмним забезпеченням) після показу прихованих елементів я можу побачити це під драйверами Non-Plug and Play
- Дві послуги: PGPdisk і PGPsdkDriver
- GUID класу пристрою та класу пристроїв - LegacyDriver та {8ECC055D-047F-11D1-A537-0000F8753ED1} відповідно
- стек devcon * показує:
- клас налаштування - це звичайно клас DiskDrive (у формі GUID)
- Фільтри вищого класу включають partmgr та pgpwded
- devcon driverfiles * показує встановлені файли INF та файли драйверів пристрою як% WINDIR% \ inf \ disk.inf [disk_install] та% WINDIR% \ system32 \ drivers \ disk.sys відповідно
- перевіряючи GUID DiskDrive в реєстрі, UpperFilters підтверджують записи PartMgr & pgpwded.
- Я знайшов службу в HKLM \ System \ ControlSet001 \ Services \ PGPwded
- ErrorControl: 1
- Група: Фільтр
- Початок: 0
- Тип: 1
- Якщо спроба зупинити послугу ("PGPwded Storage Filter Filter") не вдається "запитувана пауза, продовження або зупинка недійсна для цієї послуги"
- хоча
devcon classfilter diskdrive upper !pgpwdedце і досягає успіху, він не активно вивантажує його з пам'яті до її перезавантаження. (що ми не можемо зробити) - Нарешті, це файли, як правило, пов'язані з PGP:
- % WINDIR% \ System32 \ pgpcl.dll
- % WINDIR% \ System32 \ pgpiconv.dll
- % WINDIR% \ System32 \ pgpsdk.dll
- % WINDIR% \ System32 \ pgpsdknl.dll
- % WINDIR% \ System32 \ pgpsdkui.dll
- % WINDIR% \ System32 \ pgpwd.dll
- % WINDIR% \ System32 \ pgpwdesdk.dll
- % WINDIR% \ System32 \ драйвери \ pgpsdk.sys
- % WINDIR% \ System32 \ драйвери \ pgpwded.sys
Буде змінена константа типу "Пуск" з 0 (яка представляє частину стека драйвера для обсягу завантаження і тому повинна бути завантажена завантажувачем завантаження) на будь-який:
- 2 = завантажується або запускається автоматично для всіх стартапів, незалежно від типу послуги; АБО
- 3 = Доступно, незалежно від типу, але не буде запущено до запуску вручну
Я думаю, що я вирішив це, наскільки я міг самостійно, і, хоча переживаю найгірше, звертаюся до громади за пропозиціями.