当前位置: 首页 > news >正文

【教程】在 VMware Windows 虚拟机中使用 WinPE 进行离线密码重置或取证操作

news 2025/8/20 6:46:14

本文将详细介绍如何在 VMware 中将 Windows 虚拟机启动到 Windows 预安装环境(WinPE),以执行离线密码重置或取证操作等任务。相比物理机,在 VMware 中操作更为简单,因为可以直接挂载 ISO 文件启动。

1. 获取 WinPE 镜像

WinPE 是一个轻量级的 Windows 环境,用于部署、恢复和维护任务。你可以从可信来源下载预构建的 WinPE ISO,或使用 Windows 评估和部署工具包(ADK)自行创建。

推荐的第三方 WinPE ISO:

  • Windows PE Basic Enhanced
    基于 Windows 11 的轻量级 WinPE ISO,大小约 391 MB,集成了 CPU-Z、Process Explorer 等常用工具。
    下载链接:https://github.com/thedoggybrad/WindowsPEBasicEnhanced/releases/download/1.0/WinPEBasicEnhanced.iso

2. 在 VMware 中挂载 WinPE ISO

要将虚拟机启动到 WinPE,需要在 VMware Workstation 或 ESXi 中挂载 ISO 文件:

  1. 关闭虚拟机以进入设置。
  2. 打开虚拟机设置:
    • 找到 CD/DVD (SATA/IDE) 选项。
    • 选择 使用 ISO 镜像文件
    • 浏览并选择你的 WinPE.iso 文件。
  3. 确保勾选 开机时连接(Connect at power on)选项。

3. 修改启动顺序

为确保虚拟机从 ISO 启动,需调整 BIOS 设置:

  1. 启动虚拟机时,迅速连续按 F2 进入 BIOS 设置。
  2. Boot 菜单中,使用加减号将 CD-ROM Drive 设置为首选启动设备。

修改启动顺序

4. 进入 WinPE 环境

启动后,根据 WinPE 版本,你将看到 WinPE 的桌面或命令行界面。

成功进入 WinPE 桌面

注意:进入 WinPE 后,X:\ 是 WinPE 的虚拟 RAM 盘,原始 Windows 系统分区可能未自动挂载到 C:\,需手动分配盘符。

Windows 安装 ISO 操作示例

5. 找到原始 Windows 分区

在 WinPE 命令行中,按照以下步骤找到并挂载原始 Windows 系统分区:

  1. 启动 diskpart

    diskpart

  2. 查看磁盘

    list disk

    找到你的虚拟硬盘(通常为 Disk 0)。

  3. 选择磁盘并查看卷

    select disk 0
list volume

    查找容量较大(几十 GB 以上)且文件系统为 NTFS 的卷,这通常是 Windows 系统分区。

  4. 分配盘符
    假设 Volume 2 是 Windows 系统分区,执行:

    select volume 2
assign letter=Z
exit

    完成后,你可以在 Z:\ 下访问原始 Windows 系统盘。

6. 修改管理员密码

以下提供两种修改管理员密码的方法:

方法 1:使用 NTPWEdit(如果 WinPE 已集成)

  1. 在 WinPE 命令行输入 ntpwedit(某些版本可能需要输入 NTPWEdit.exe)。
  2. 打开 Z:\Windows\System32\config\SAM 文件。
  3. 选择 Administrator 账户,清空或修改密码,保存更改。

方法 2:通过命令行替换 sethc.exe(通用方法)

如果 WinPE 未集成图形工具,可使用以下命令行方法:

  1. 进入挂载的系统盘(假设为 Z:):

    cd /d Z:\Windows\System32

  2. 备份原始 sethc.exe

    copy sethc.exe sethc.exe.bak

  3. cmd.exe 替换 sethc.exe

    copy cmd.exe sethc.exe

  4. 重启虚拟机,进入 Windows 登录界面,在密码输入界面按 Shift 键 5 次,将弹出系统权限的命令行窗口。(也就是俗称的“粘滞键后门”)

  5. 在命令行中重置管理员密码:

    net user administrator NewPassword123

  6. 登录成功后,记得恢复原始 sethc.exe

    del sethc.exe
ren sethc.exe.bak sethc.exe

7. 恢复正常启动

完成操作后,需恢复虚拟机的正常启动设置:

  1. 重启虚拟机,按 Esc 键进入启动菜单,选择硬盘启动以进入原始 Windows 系统。
  2. 或者,进入虚拟机设置,取消挂载 WinPE ISO,或在 BIOS 中将硬盘重新设置为首选启动设备。

附加提示

  • 安全性:操作 SAM 文件或替换系统文件时,建议备份重要数据,以防意外损坏系统。
  • 工具扩展:如果需要更多功能,可选择集成了更多工具的 WinPE 版本,如包含分区管理、文件恢复等工具的 ISO。
  • VMware 快照:在操作前创建虚拟机快照,以便在出现问题时快速恢复。
http://www.lryc.cn/news/625439.html

相关文章:

  • CT Micro’s New HV Photo-MOSFET Relay Optocouplers
  • github 上传代码步骤
  • JWT通俗易懂讲解
  • 什么是强化学习
  • 【图像算法 - 18】慧眼辨良莠:基于深度学习与OpenCV的麦田杂草智能识别检测系统(附完整代码)
  • 从 SGD 到梯度累积:Epoch、Batch、Step 的关系全解析
  • 边缘智能体:Go编译在医疗IoT设备端运行轻量AI模型(上)
  • Ansible 角色管理指南
  • Ansible 角色管理
  • Apache IoTDB(4):深度解析时序数据库 IoTDB 在Kubernetes 集群中的部署与实践指南
  • Redisson 分布式锁核心机制解析
  • 2025年09月计算机二级MySQL选择题每日一练——第一期
  • 寻找旋转排序数组中的最小值
  • 【C语言强化训练16天】--从基础到进阶的蜕变之旅:Day7
  • web开发,在线%服装商城开发demo,基于html,css,jquery,asp.net,webform,sqlserver数据库
  • hadoop技术栈(九)Hbase替代方案
  • 20250819 强连通分量,边双总结
  • k8s运维实践:高可用Redis Cluster(三主三从)与Proxy部署方案
  • RadioIrqProcess函数详细分析与流程图
  • 【实时Linux实战系列】基于实时Linux的物联网系统设计
  • “道法术器” 思维:解析华为数字化转型
  • 企业知识管理革命:RAG系统在大型组织中的落地实践
  • 服务器如何隐藏端口才能不被扫描?
  • 08.19总结
  • 17.web api 8
  • C++ 默认参数深度解析【C++每日一学】
  • 0.开篇简介
  • 把 AI 天气预报塞进「打火机」——基于时空扩散模型的微型气象站
  • 项目管理.管理理念学习
  • 推理还是训练 || KV缓存和CoT技术