【教程】在 VMware Windows 虚拟机中使用 WinPE 进行离线密码重置或取证操作

发布于:2025-08-20 ⋅ 阅读:(14) ⋅ 点赞:(0)

本文将详细介绍如何在 VMware 中将 Windows 虚拟机启动到 Windows 预安装环境(WinPE),以执行离线密码重置或取证操作等任务。相比物理机,在 VMware 中操作更为简单,因为可以直接挂载 ISO 文件启动。


1. 获取 WinPE 镜像

WinPE 是一个轻量级的 Windows 环境,用于部署、恢复和维护任务。你可以从可信来源下载预构建的 WinPE ISO,或使用 Windows 评估和部署工具包(ADK)自行创建。

推荐的第三方 WinPE ISO:

  • Windows PE Basic Enhanced
    基于 Windows 11 的轻量级 WinPE ISO,大小约 391 MB,集成了 CPU-Z、Process Explorer 等常用工具。
    下载链接:https://github.com/thedoggybrad/WindowsPEBasicEnhanced/releases/download/1.0/WinPEBasicEnhanced.iso

2. 在 VMware 中挂载 WinPE ISO

要将虚拟机启动到 WinPE,需要在 VMware Workstation 或 ESXi 中挂载 ISO 文件:

  1. 关闭虚拟机以进入设置。
  2. 打开虚拟机设置:
    • 找到 CD/DVD (SATA/IDE) 选项。
    • 选择 使用 ISO 镜像文件
    • 浏览并选择你的 WinPE.iso 文件。
  3. 确保勾选 开机时连接(Connect at power on)选项。

3. 修改启动顺序

为确保虚拟机从 ISO 启动,需调整 BIOS 设置:

  1. 启动虚拟机时,迅速连续按 F2 进入 BIOS 设置。
  2. Boot 菜单中,使用加减号将 CD-ROM Drive 设置为首选启动设备。

修改启动顺序


4. 进入 WinPE 环境

启动后,根据 WinPE 版本,你将看到 WinPE 的桌面或命令行界面。

成功进入 WinPE 桌面

注意:进入 WinPE 后,X:\ 是 WinPE 的虚拟 RAM 盘,原始 Windows 系统分区可能未自动挂载到 C:\,需手动分配盘符。

Windows 安装 ISO 操作示例


5. 找到原始 Windows 分区

在 WinPE 命令行中,按照以下步骤找到并挂载原始 Windows 系统分区:

  1. 启动 diskpart

    diskpart
    
  2. 查看磁盘

    list disk
    

    找到你的虚拟硬盘(通常为 Disk 0)。

  3. 选择磁盘并查看卷

    select disk 0
    list volume
    

    查找容量较大(几十 GB 以上)且文件系统为 NTFS 的卷,这通常是 Windows 系统分区。

  4. 分配盘符
    假设 Volume 2 是 Windows 系统分区,执行:

    select volume 2
    assign letter=Z
    exit
    

    完成后,你可以在 Z:\ 下访问原始 Windows 系统盘。


6. 修改管理员密码

以下提供两种修改管理员密码的方法:

方法 1:使用 NTPWEdit(如果 WinPE 已集成)

  1. 在 WinPE 命令行输入 ntpwedit(某些版本可能需要输入 NTPWEdit.exe)。
  2. 打开 Z:\Windows\System32\config\SAM 文件。
  3. 选择 Administrator 账户,清空或修改密码,保存更改。

方法 2:通过命令行替换 sethc.exe(通用方法)

如果 WinPE 未集成图形工具,可使用以下命令行方法:

  1. 进入挂载的系统盘(假设为 Z:):

    cd /d Z:\Windows\System32
    
  2. 备份原始 sethc.exe

    copy sethc.exe sethc.exe.bak
    
  3. cmd.exe 替换 sethc.exe

    copy cmd.exe sethc.exe
    
  4. 重启虚拟机,进入 Windows 登录界面,在密码输入界面按 Shift 键 5 次,将弹出系统权限的命令行窗口。(也就是俗称的“粘滞键后门”)

  5. 在命令行中重置管理员密码:

    net user administrator NewPassword123
    
  6. 登录成功后,记得恢复原始 sethc.exe

    del sethc.exe
    ren sethc.exe.bak sethc.exe
    

7. 恢复正常启动

完成操作后,需恢复虚拟机的正常启动设置:

  1. 重启虚拟机,按 Esc 键进入启动菜单,选择硬盘启动以进入原始 Windows 系统。
  2. 或者,进入虚拟机设置,取消挂载 WinPE ISO,或在 BIOS 中将硬盘重新设置为首选启动设备。

附加提示

  • 安全性:操作 SAM 文件或替换系统文件时,建议备份重要数据,以防意外损坏系统。
  • 工具扩展:如果需要更多功能,可选择集成了更多工具的 WinPE 版本,如包含分区管理、文件恢复等工具的 ISO。
  • VMware 快照:在操作前创建虚拟机快照,以便在出现问题时快速恢复。

网站公告

今日签到

点亮在社区的每一天
去签到