Wie aus dem Titel hervorgeht, möchte ich wissen, ob ich einen Festplattenfiltertreiber laden oder entladen kann, ohne den Computer neu zu starten, und die Änderung sofort wirksam wird.

Ich mache dies in einer WinPE-Umgebung und muss in WinPE bleiben.


Historisches

Ich habe die PGPWDE-Treiber von Symantec Encryption Desktop (auch bekannt als PGP) in unser MDT / SCCM-Startmedium gebacken, damit unsere Techniker verschlüsselte Laufwerke problemlos verwalten können (Hinzufügen / Entfernen von Benutzern, Kennwortwiederherstellung, Datenwiederherstellung usw.).
Die PGPWDE-Treiber verfügen jedoch über eine integrierte Funktion, die verhindert, dass der MBR / Sektor 0 gelöscht wird. Dies führt zu einem Problem beim erneuten Imaging eines verschlüsselten Computers:

  • Mit diskpart clean wird der MBR nicht gelöscht
  • bootrec / fixmbr oder / fixboot schreiben den MBR nicht neu
  • Dienstprogramme von Drittanbietern wie dskprobe und mbrwiz funktionieren ebenfalls nicht
  • Alles oben Genannte wird erfolgreich ausgeführt, was bedeutet, dass es "erfolgreich abgeschlossen" oder das Äquivalent lautet. errorlevel / lastexitcode ist 0

Ich denke also, wenn ich den Treiber entladen kann, wird dieser "Schutz" aufgehoben, sodass ich den MBR erfolgreich löschen und mit dem Imaging fortfahren kann.

In WinPE

  • Ich sehe keine relevanten (zB: keine Verweise auf pgp, wde etc.) Filtertreiber in fltmc geladen
  • Beim Ausführen von devcon status, driverfiles, dp_enum, resources, find, findall sehe ich nichts Relevantes (z. B. keine Verweise auf pgp, wde usw.)
  • Es gibt mehrere Geräteeinrichtungsklassen, die sowohl den Namen als auch die Beschreibung von "?"
  • Der Systemprozess lädt nur eine Datei: pgpwded.sys (über procexp geprüft)

Hier ist, was [wenig] ich glaube, ich weiß über den Treiber / "Gerät":

  • Nachdem ich im Geräte-Manager (auf einem Windows-Computer mit installierter Software) ausgeblendete Elemente angezeigt habe, kann ich sie unter Nicht-Plug-and-Play-Treiber anzeigen
    • Zwei Dienste: PGPdisk und PGPsdkDriver
    • Die GUID für Geräteklassen und Geräteklassen ist LegacyDriver bzw. {8ECC055D-047F-11D1-A537-0000F8753ED1}
  • devcon stack * zeigt:
    • Die Setup-Klasse ist natürlich die DiskDrive-Klasse (in GUID-Form).
    • Filter der oberen Klasse umfassen partmgr und pgpwded
  • devcon driverfiles * zeigt die installierten INF-Dateien und Gerätetreiberdateien als% WINDIR% \ inf \ disk.inf [disk_install] bzw.% WINDIR% \ system32 \ drivers \ disk.sys an
  • Wenn Sie die DiskDrive-GUID in der Registrierung überprüfen, bestätigen die UpperFilters PartMgr & pgpwded-Einträge.
  • Ich habe den Dienst in HKLM \ System \ ControlSet001 \ Services \ PGPwded gefunden
    • ErrorControl: 1
    • Gruppe: Filter
    • Start: 0
    • Typ 1
  • Der Versuch, den Dienst zu beenden ("PGPwded Storage Filter-Dienst"), schlägt mit "Die angeforderte Pause, Fortsetzung oder Beendigung ist für diesen Dienst nicht gültig" fehl.
  • Obwohl dies devcon classfilter diskdrive upper !pgpwdederfolgreich ist, wird es erst nach einem Neustart aktiv aus dem Speicher entladen. (was wir nicht können)
  • Dies sind die Dateien, die im Allgemeinen mit PGP verknüpft sind:
    • % WINDIR% \ System32 \ pgpcl.dll
    • % WINDIR% \ System32 \ pgpiconv.dll
    • % WINDIR% \ System32 \ pgpsdk.dll
    • % WINDIR% \ System32 \ pgpsdknl.dll
    • % WINDIR% \ System32 \ pgpsdkui.dll
    • % WINDIR% \ System32 \ pgpwd.dll
    • % WINDIR% \ System32 \ pgpwdesdk.dll
    • % WINDIR% \ System32 \ drivers \ pgpsdk.sys
    • % WINDIR% \ System32 \ drivers \ pgpwded.sys

Würde die Typkonstante 'Start' von 0 (die einen Teil des Treiberstapels für das Startvolume darstellt und daher vom Bootloader geladen werden muss) folgendermaßen geändert:

  • 2 = Wird für alle Starts geladen oder automatisch gestartet, unabhängig vom Diensttyp. ODER
  • 3 = Verfügbar, unabhängig vom Typ, wird jedoch erst nach manuellem Start gestartet

Ich glaube, ich habe das so weit wie möglich alleine gemacht, und während ich das Schlimmste fürchte, wende ich mich an die Community, um Vorschläge zu erhalten.

Stamm
quelle