在工作中碰到各种木马病毒终端分析过程中,制作gho或者直接拆硬盘带回公司分析无法启动。

偶尔会碰到windows系统无法启动,但一般是引导问题。其中一次碰到的Win7问题比较奇葩,BIOS设置IDE后,也修复了引导,依旧无法启动。

最终发现Github上一个国外大神的VBS脚本,完美的解决了这个问题。主要是处理系统存储驱动问题:

  1. 启用已安装但被禁用的 Mass Storage 驱动程序
    比如 msahci.sys(微软的 AHCI 驱动程序)等。
  2. 安装额外的存储驱动程序
    从指定的驱动程序文件夹中找出与当前系统硬件匹配的 INF文件,并执行安装。

0X1 问题症状

启动Windows后,出现正在启动windows后,黑屏重启。安全模式也无法进入,一样黑屏重启。

企业微信截图_17455739851019.png

在禁用错误后重启后,查看错误信息:

企业微信截图_17455601742035.png

但是和病毒一点关系没有,并没有破坏系统。

0X2 解决方法

  1. 下载fix_7hdc.vbs 放入其中一个U盘
  2. 使用U盘制作原版系统启动镜像或使用光驱启动,然后启动命令提示符
  3. 获得驱动器号后,转到该驱动器,比如e:
  4. 通过以下命令运行脚本
cscript fix_7hdc.vbs /enable /search

OK.在执行后,重启便发现系统可正常启动了。

fix-7hdc脚本地址:
https://github.com/DotSlashNatalie/fix-7hdc/tree/master