使用 PowerShell 将条目添加到“PendingFileRenameOperations”而不破坏先前的条目

Question 1

您可以从 Powershell 使用 .NET，例如：

Add-Type @"
using System;
using System.Text;
using System.Runtime.InteropServices;

public class PFRO
{
    public enum MoveFileFlags
    {
        MOVEFILE_REPLACE_EXISTING           = 0x00000001,
        MOVEFILE_COPY_ALLOWED               = 0x00000002,
        MOVEFILE_DELAY_UNTIL_REBOOT         = 0x00000004,
        MOVEFILE_WRITE_THROUGH              = 0x00000008,
        MOVEFILE_CREATE_HARDLINK            = 0x00000010,
        MOVEFILE_FAIL_IF_NOT_TRACKABLE      = 0x00000020
    }
    [DllImport("kernel32.dll", SetLastError = true, CharSet = CharSet.Unicode)]
    static extern bool MoveFileEx(string lpExistingFileName, string lpNewFileName, MoveFileFlags dwFlags);

    public static bool MarkFileForDelete (string srcfile)
    {
        bool brc = false;
        brc = MoveFileEx(srcfile, null, MoveFileFlags.MOVEFILE_DELAY_UNTIL_REBOOT);
        return brc;
    }
}
"@

$FullName = "C:\toolsde.txt"

if([PFRO]::MarkFileForDelete($FullName))
{
    write-host $FullName "will be deleted on next boot"
}
else
{
    write-host $FullName "will not be deleted on next boot"
}

此外，我相信 PendingFileRenameOperations2 也是 Windows 会话管理器在启动时处理的注册表值。我怀疑您可以将其用于您的目的，而无需触碰 PendingFileRenameOperations。可能值得一试。

Answer

您可以从 Powershell 使用 .NET，例如：

Add-Type @"
using System;
using System.Text;
using System.Runtime.InteropServices;

public class PFRO
{
    public enum MoveFileFlags
    {
        MOVEFILE_REPLACE_EXISTING           = 0x00000001,
        MOVEFILE_COPY_ALLOWED               = 0x00000002,
        MOVEFILE_DELAY_UNTIL_REBOOT         = 0x00000004,
        MOVEFILE_WRITE_THROUGH              = 0x00000008,
        MOVEFILE_CREATE_HARDLINK            = 0x00000010,
        MOVEFILE_FAIL_IF_NOT_TRACKABLE      = 0x00000020
    }
    [DllImport("kernel32.dll", SetLastError = true, CharSet = CharSet.Unicode)]
    static extern bool MoveFileEx(string lpExistingFileName, string lpNewFileName, MoveFileFlags dwFlags);

    public static bool MarkFileForDelete (string srcfile)
    {
        bool brc = false;
        brc = MoveFileEx(srcfile, null, MoveFileFlags.MOVEFILE_DELAY_UNTIL_REBOOT);
        return brc;
    }
}
"@

$FullName = "C:\toolsde.txt"

if([PFRO]::MarkFileForDelete($FullName))
{
    write-host $FullName "will be deleted on next boot"
}
else
{
    write-host $FullName "will not be deleted on next boot"
}

此外，我相信 PendingFileRenameOperations2 也是 Windows 会话管理器在启动时处理的注册表值。我怀疑您可以将其用于您的目的，而无需触碰 PendingFileRenameOperations。可能值得一试。

Question 2

是的。使用以下 PowerShell 代码：

new-ItemProperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager" -Name "PendingFileRenameOperations" -Value $($((Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager" -Name PendingFileRenameOperations -ErrorAction SilentlyContinue).PendingFileRenameOperations) + "\??\C:\file.exe`0`0") -type MultiString -Force | Out-Null

我们在这里做的事情：

创建一个 MultiString 类型的新项目（set-itemproperty无论出于什么原因，使用都不起作用）
将该注册表值中的数据（如果有）设置为其主值
添加正常的\??\C:\File.exe，在本例中是\??\+ 要删除的文件的文件路径
`0`0在字符串末尾添加两个 NUL 字节（在 PowerShell 中）

这将确保该文件在下次重启时被删除。

Answer

是的。使用以下 PowerShell 代码：

new-ItemProperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager" -Name "PendingFileRenameOperations" -Value $($((Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager" -Name PendingFileRenameOperations -ErrorAction SilentlyContinue).PendingFileRenameOperations) + "\??\C:\file.exe`0`0") -type MultiString -Force | Out-Null

我们在这里做的事情：

创建一个 MultiString 类型的新项目（set-itemproperty无论出于什么原因，使用都不起作用）
将该注册表值中的数据（如果有）设置为其主值
添加正常的\??\C:\File.exe，在本例中是\??\+ 要删除的文件的文件路径
`0`0在字符串末尾添加两个 NUL 字节（在 PowerShell 中）

这将确保该文件在下次重启时被删除。

使用 PowerShell 将条目添加到“PendingFileRenameOperations”而不破坏先前的条目

答案1

答案2

相关内容