WinBusyBox下载
问题描述
RW HE启动失败
相信RWEverything和HE是很多小伙伴的必备工具。
很不幸的是,在Windows11 22H2 10.0.22621.755之后两个工具都不能直接运行。具体错误可以参考下面RW/HE启动错误提示,看看是不是似曾相识。
同时,也相信小伙伴也研究了网内外的各种解决方案,但效果总是不尽如人意。
先说结果和结论,再继续内容。
下面的软件WinBusyBox (WBB)可以一键式使能rw everything和he的使用,并且可以安全恢复到原始状态。造福不想折腾的小伙伴,内部机理和网络上大家使用的方法是一致的,但是整合了各种可能遇到的问题,这样以便于时间有限的小伙伴们直接使用。因为网络上提到的注册表确实有点多,眼花缭乱,这里就不一一列举了,有需要细节的小伙伴,可以直接私信我。
迅速解决问题,直接下载下面的工具使用;有兴趣了解原理的小伙伴,可以跳过工具,直接跳到下面的“分割线”以后。
WinBusyBox 是什么
WinBusyBox是一个开放免费下载的可以一键设置Windows设定的软件,设定完之后,可以正常使用RW和HE。并且,可以一键式恢复到原始状态,完全不用担心改变系统设置。
WinBusyBox 哪里下载
补充一句,RW的恢复方式有两种,第一种是关闭内核隔离,另外一种是进入测试模式,并且使用非前面的驱动。软件提供了两个选项来使用,二选一即可。
小伙伴可以按照自己的需求斟酌选择,通常的话,第一种就可以了。
RW/HE启动错误提示
RW:
HE:
分割线 分割线
分割线分割线分割线分割线分割线分割线分割线分割线分割线分割线分割线分割线分割线分割线分割线
(好像是当年在某网站学的)
通俗理解
- 微软黑名单
简单的说,在新版的 Windows 中,微软添加了一个“黑名单”,进入这个名单的 Driver 都会被阻止。这也是为什么很多人发现:之前用的好好的版本忽然之间 RW 无法打开,这是因为 Windows 推送了这个更新,更新之后“黑名单”生效所以之前可以但是现在不行了。
<FileAttrib ID="ID_FILEATTRIB_RTKIOW10X64_DRIVER" FriendlyName="" FileName="rtkiow10x64.sys" MinimumFileVersinotallow="65535.65535.65535.65535" />
<FileAttrib ID="ID_FILEATTRIB_RWDRV_DRIVER" FriendlyName="" FileName="RwDrv.sys" MinimumFileVersinotallow="65535.65535.65535.65535" />
<FileAttrib ID="ID_FILEATTRIB_SANDBOX_1" FriendlyName="Agnitum sandbox FileAttribute" FileName="sandbox.sys" MinimumFileVersinotallow="0.0.0.0" MaximumFileVersinotallow="65535.65535.65535.65535" />
注:上面的列表可以通过下面链接,点击“展开此部分以查看阻止列表 WDAC 策略 XML”就可以查到
理论上只要对 RW_Everything 的驱动重新签名即可,但是这个意味着如果有一天微软再将新驱动封杀很可能也会影响你的签名本身(用这个签名签发的所有驱动都无法运行)。
节选自
https://www.lab-z.com/win11rw/
- 虚拟化
简单讲,开启了这个功能之后,会对驱动进行完整性检查,具体怎么查,不知道,还没理解,但是看起来rw和he的驱动都过不了关?知道的小伙伴可以留言告知,感谢。但是关闭这几个功能,就可以不去检查rw和he的驱动,这也是上面WinBuxyBox以及网上各位大神规避问题的基点。
捋一下几个东西的关系呀,很乱。
a. VBS是要依赖Hyper-V的 (出自https://learn.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-vbs)
Virtualization-based security (VBS) requires the Windows hypervisor, which is only supported on 64-bit IA processors with virtualization extensions, including Intel VT-X and AMD-v.
b. Core Isolation是把VBS的部分功能从企业版Windows放到了非企业版Windows (出自https://www.howtogeek.com/357757/what-are-core-isolation-and-memory-integrity-in-windows-10/)
In the original release of Windows 10, virtualization-based security (VBS) features were only available on Enterprise editions of Windows 10 as part of “Device Guard.” With the April 2018 Update, Core Isolation brings some virtualization-based security features to all editions of Windows 10.
c. 内存完整性又HVCI,可能是一个东西 (出自https://www.howtogeek.com/357757/what-are-core-isolation-and-memory-integrity-in-windows-10/)
The feature known as “Memory Integrity” in Windows 10’s interface is also known as “Hypervisor protected Code Integrity” (HVCI) in Microsoft’s documentation.
细节理解
有兴趣深入了解这个问题原理的小伙伴可以阅读下面四个个链接,几个常用的关键字,以便了解大概的原理,都是微软官方的解释。如果有一定计算机专业知识基础,理解起来不算太难,但是对于普通非计算机领域的小伙伴,可能有一定难度。
中文:
Microsoft 推荐的驱动程序阻止规则
对应于上面的黑名单机制
Windows 安全中心的设备防护(核心隔离)
基于虚拟化的安全 (VBS)
https://learn.microsoft.com/zh-cn/windows-hardware/design/device-experiences/oem-vbs
虚拟机监控程序保护的代码完整性 (HVCI)
核心隔离和内存完整性
无法在此设备上加载驱动程序
英文:
Microsoft recommended driver block rules
Device protection in Windows Security (Core isolation)
不过个人觉得下面这篇文章讲的更通俗易懂,但是没有中文版了
https://www.howtogeek.com/357757/what-are-core-isolation-and-memory-integrity-in-windows-10/
Virtualization-based Security (VBS)
https://learn.microsoft.com/en-us/windows-hardware/design/device-experiences/oem-vbs
Hypervisor-Protected Code Integrity (HVCI)
Core isolation and Memory integrity
https://support.microsoft.com/en-us/windows/core-isolation-e30ed737-17d8-42f3-a2a9-87521df09b78
A driver can't load on this device
此处列举一下网络上有用的相关信息和链接,里面讲解了很多有价值的信息!都已经成为WinBusyBox的一部分啦。
https://www.lab-z.com/rwcr/
https://www.lab-z.com/win11rw/
先记录这么多,有空了,再来补充。
小结:
WinBusyBox确实算是一个值得拥有懒人工具啦。
既然仁兄能耐着性子读到这里,坚信仁兄是对技术有一定追求的,不妨再看看这个页面
