必须通过官网下载微PE并验证数字签名,禁用自动更新与在线工具中心,卸载火绒、360、腾讯等高风险预置工具,格式化U盘后以USB-HDD+模式写入并校验ISO哈希及EFI分区只读属性。
一、下载并验证官方纯净版微PE工具箱
微PE工具箱若从非官网渠道获取,极可能混入推广程序、静默安装组件或主页劫持模块。必须通过唯一可信源获取未篡改的标准版安装包,并验证其数字签名真实性,以确保初始环境绝对干净。
1、打开浏览器,访问https://www.wepe.com,逐字核对网址无拼写错误、无多余路径或可疑子域名(如wepe.net、wepe-down.com等均为仿冒)。
2、在首页点击“立即下载”按钮,下载文件名严格匹配wepe_x64_v2.x.x.exe(x为数字,如2.3.5)的可执行文件;32位系统则下载wepe_x86_v2.x.x.exe。
3、下载完成后,右键该文件→选择“属性”→切换至“数字签名”选项卡→确认签名者为杭州迪普科技有限公司,且签名状态显示为“此数字签名正常”。
二、禁用联网行为与在线扩展加载
微PE工具箱默认启用自动更新及在线工具中心,会触发后台HTTP请求并临时载入未经审查的远程模块,破坏环境纯净性。关闭这两项是阻断非必要网络交互的关键操作。
1、双击运行已验证的wepe_x64_v2.x.x.exe,进入主界面后不点击任何安装按钮。
2、点击右上角齿轮图标,打开设置面板。
3、将“启动时自动检查更新”和“启用在线工具中心”两个开关全部设为关闭状态。
4、在“PE内核”区域,勾选“使用精简内核(推荐)”,取消勾选“兼容旧设备(含大量驱动)”选项。
三、卸载高风险预置工具与便携应用
标准版微PE虽标称“纯净”,但默认集成的部分第三方工具存在数据上报、主页劫持或捆绑推广行为。必须通过内置工具管理器主动移除这些组件,仅保留基础磁盘与系统维护能力。
1、在主界面点击“工具管理”按钮,进入可管理工具列表页。
2、逐行检查工具名称与描述,对以下项目执行卸载操作:“火绒安全工具”、“360急救箱”、“腾讯电脑管家PE版”。
3、对“Edge浏览器(便携版)”和“百度网盘PC版”,即使未勾选安装,也须在列表中确认其状态为“未启用”;若显示“已安装”,则点击右侧“卸载”按钮。
4、所有卸载操作完成后,点击右下角“保存配置”按钮,确保更改持久化写入本地设置文件。
四、格式化U盘并选择安全写入模式
U盘若存在残留分区表、隐藏分区或旧引导记录,可能导致PE启动异常或被注入恶意引导代码。需彻底格式化并采用只读引导分区+可写数据分区结构,杜绝后续误写风险。
1、准备一个容量≥8GB且无重要数据的U盘;如有数据,请提前完整备份至其他存储设备。
2、右键“此电脑”→“管理”→“磁盘管理”,定位U盘对应磁盘号,右键选择“格式化”。
3、文件系统选择NTFS(支持大于4GB文件写入),分配单元大小保持默认,勾选“快速格式化”后点击“确定”。
4、返回微PE主界面,点击“U盘图标”→选择“安装PE到U盘”→在弹窗中确认待写入U盘卷标与物理设备一致。
5、安装方式选择方案一(USB-HDD+),勾选“写入后验证数据完整性”,点击“立即安装进U盘”。
五、写入后校验ISO哈希值与启动分区结构
制作完成的U盘需双重验证:一是确认写入的PE镜像与原始ISO哈希一致,防止写入过程被中间劫持;二是检查EFI系统分区是否为只读、无可执行脚本,避免启动阶段执行恶意代码。
1、制作完成后,打开U盘根目录,找到文件wepe.iso(部分版本生成为wepe.img)。
2、使用PowerShell执行命令:Get-FileHash -Algorithm SHA256 wepe.iso,比对输出哈希值是否与官网下载页公示的SHA256值完全一致。
3、在磁盘管理中查看U盘是否被划分为两个分区:一个约100MB的EFI系统分区(FAT32格式,无盘符),另一个为主PE分区(NTFS格式,有盘符)。
4、右键EFI分区→“属性”→确认“只读”属性已被系统自动启用;若未启用,需在管理员权限CMD中执行:attrib +r X:\*.* /s /d(X为EFI盘符,通常不可见,需先分配临时盘符)。
