Вопрос скорее теоретический, но возможно и на практике кому-то понадобится.

Итак, параноидальный режим установки ОС — гарантировано что мы установим именно то, что дал производитель.

Дано:

1. Мы не хотим использовать Rufus, Ventoy и пр. сторонние утилиты. Мало ли, вдруг авторы продались (уже) и там какой-то бекдор внедряется. Просто по умолчанию не верим. Можно утилиты, если мы можем проверить результат их работы — что 100% они ничего не внедрили.

2. Media Creation Tool не подходит и вот почему. Мы хотим быть уверенны что скачали ISO-образ именно тот, что распространяет MS — т.е. исключить даже 1 бит ошибки. Для этого используем крипто-хеш. Но! Дело в том что Media Creation Tool отдает ISO, хеш которых нигде не прописан — т.е. мы их не можем проверить. Мало ли, вдруг у нас шибко умный троян, который на лету научился корректировать ISO -файл и внедрять туда вируса — этого мы не проверим.

3. Просто сделать флешку активной и скопировать туда файлы с проверенного ISO — не выйдет, т.к. требуется FAT32, а в ISO от MS есть файлы, размером более 4 Гб.

Существует ли решение или уже нет?

Здравствуйте, Shmj, Вы писали:

S>3. Просто сделать флешку активной и скопировать туда файлы с проверенного ISO — не выйдет, т.к. требуется FAT32, а на флешке есть файлы, размером более 4 Гб.

Не понял, dd if=trusted.iso of=/dev/sda чем не подходит?

Здравствуйте, andrey.desman, Вы писали:

S>>3. Просто сделать флешку активной и скопировать туда файлы с проверенного ISO — не выйдет, т.к. требуется FAT32, а на флешке есть файлы, размером более 4 Гб.

AD>Не понял, dd if=trusted.iso of=/dev/sda чем не подходит?

Компьютер требует чтобы флешка была FAT32 для загрузки, а в ISO от MS есть один файл более 4 ГБ, так что на FAT32 его нельзя скопировать. Только как-то разбивать, но тогда нужно применять сторонние утилиты и теряется целостность.

Здравствуйте, Shmj, Вы писали:

S>Компьютер требует чтобы флешка была FAT32 для загрузки, а в ISO от MS есть один файл более 4 ГБ, так что на FAT32 его нельзя скопировать. Только как-то разбивать, но тогда нужно применять сторонние утилиты и теряется целостность.

Я что-то пропустил и без uefi нынче не загрузиться?

Здравствуйте, andrey.desman, Вы писали:

AD>Я что-то пропустил и без uefi нынче не загрузиться?

А вот кстати, если использовать BIOS-режим (старый) — то нужна ли:

bootsect /nt60 X: /mbr

Т.е. в diskpart делаем активным:

select disk X
create partition primary
select partition 1
active

и нужно ли что-то еще типа bootsect или точно нет?

В общем проверил — если форматировать флешку на MacOS — то нужно потом вручную на Windows запустить bootsect /nt60 X: Т.е. получается что в любом случае для создания флешки — нужен работающий Windows — и в теории вирусяка может записать в MBR|VBR — что-то левое, о чем мы не узнаем, т.к. оно не светится в виде файла.

Какая-то сторонняя утилита нужна, чтобы потом точно проверить корректность MBR|VBR.

Здравствуйте, andrey.desman, Вы писали:

S>>Компьютер требует чтобы флешка была FAT32 для загрузки, а в ISO от MS есть один файл более 4 ГБ, так что на FAT32 его нельзя скопировать. Только как-то разбивать, но тогда нужно применять сторонние утилиты и теряется целостность.

AD>Я что-то пропустил и без uefi нынче не загрузиться?

Все-таки есть вариант без утилит и без установленной Windows.

Идея: маленький FAT32 для загрузчика UEFI/BIOS, основной NTFS — для файлов установки (включая большой install.wim >4 ГБ).

diskpart
list disk
select disk N   <- номер вашей флешки!
clean
convert mbr
create partition primary size=1024
format fs=fat32 quick label=UEFI
active          <- не нужно
assign letter=E
create partition primary
format fs=ntfs quick label=WIN
assign letter=N
exit

— для EFI — можно создать два раздела и без diskpart, скопировать файлы и все будет работать...

Здравствуйте, Shmj, Вы писали:

S>Существует ли решение или уже нет?
В общем случае никак, некоторые системы не грузятся с флешек. И зависит это не от содержимого, а от самих флешек.

Самое перостое шенение внешний CDROM или накопитель с эмуляцией CDROM.

Здравствуйте, kov_serg, Вы писали:

S>>Существует ли решение или уже нет?
_>В общем случае никак, некоторые системы не грузятся с флешек. И зависит это не от содержимого, а от самих флешек.

Тут описал: https://rsdn.org/forum/flame.comp/8983940.1

Автор: Shmj
Дата: 28.08 08:19

Проверил — работает.

Создать разделы можно на MacOS — без diskpart — два раздела нужно. Скопировать файлы с оригинального (хеш проверен) ISO. Т.е. 100% гарантия что ничего левого на диске не будет, можно потом еще раз файлы сравнить для паранойи.

На маленький раздел скопировать:

robocopy I:\efi    E:\efi   /e
robocopy I:\boot   E:\boot  /e
copy I:\bootmgr    E:
copy I:\setup.exe  E:
robocopy I:\sources E:\sources boot.wim

(обычным копированием). Т.к. используем только EFI — то boot и пр. можно не копировать.

Здравствуйте, Shmj, Вы писали:

S>Тут описал: https://rsdn.org/forum/flame.comp/8983940.1

Автор: Shmj
Дата: 28.08 08:19

S>Проверил — работает.
У вас очень маленькая статистика, системники очень разные встречаются.

Здравствуйте, kov_serg, Вы писали:

S>>Проверил — работает.
_>У вас очень маленькая статистика, системники очень разные встречаются.

У меня был Lenovo m91p — с ним была проблема при загрузке по UEFI — тут описано: https://unix.stackexchange.com/questions/324753/pernicious-1962-error-installing-fedora-server-24-no-operating-system-found (для некоторых ОС, не для всех).

Но вот через стандартный MBR BIOS — все работало и с Ubuntu и пр.

Думаю что в BIOS режиме все в основном будет работать с Windows — но нужно вызвать bootsect /nt60 X: или делать разметку диска Windows-средствами (а для этого уже нужна установленная Windows или флешка).

Здравствуйте, Shmj, Вы писали:

S>Но вот через стандартный MBR BIOS — все работало и с Ubuntu и пр.
И с CSM граблей и с UEFI предостаточно.

S>Думаю что в BIOS режиме все в основном будет работать с Windows — но нужно вызвать bootsect /nt60 X: или делать разметку диска Windows-средствами (а для этого уже нужна установленная Windows или флешка).
Это вы еще 32битный UEFI не видели

Здравствуйте, Shmj, Вы писали:

S>Компьютер требует чтобы флешка была FAT32 для загрузки

Компьютер этого требовать может лишь в том случае, когда загрузка целиком выполняется средствами EFI, а оный EFI умеет работать только с FAT32. Но существование подобного компьютера представляется мне весьма сомнительным — это что-то вроде "Windows-only computer". Нормальные же компьютеры, не заточенные под конкретную ОС, всегда умеют тупо прочитать с носителя загрузчик по абсолютным адресам, не интересуясь файловой системой носителя.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Компьютер этого требовать может лишь в том случае, когда загрузка целиком выполняется средствами EFI, а оный EFI умеет работать только с FAT32. Но существование подобного компьютера представляется мне весьма сомнительным — это что-то вроде "Windows-only computer". Нормальные же компьютеры, не заточенные под конкретную ОС, всегда умеют тупо прочитать с носителя загрузчик по абсолютным адресам, не интересуясь файловой системой носителя.

Ну хорошо. А как загрузчик записать на MBR|VBR — если нет Windows, но при этом не доверять вслепую сторонним утилитам?

Дело вот в чем. Файлы EFI — хотя бы можно увидеть, проверить. А загрузчик чем проверить и сравнить с эталоном?

Здравствуйте, andrey.desman, Вы писали:

AD>Здравствуйте, Shmj, Вы писали:

S>>3. Просто сделать флешку активной и скопировать туда файлы с проверенного ISO — не выйдет, т.к. требуется FAT32, а на флешке есть файлы, размером более 4 Гб.

AD>Не понял, dd if=trusted.iso of=/dev/sda чем не подходит?

Упоминался Media Creation Tool, который неизвестно какой ISO притащил.

Здравствуйте, kov_serg, Вы писали:

_>Здравствуйте, Shmj, Вы писали:

S>>Существует ли решение или уже нет?
_>В общем случае никак, некоторые системы не грузятся с флешек. И зависит это не от содержимого, а от самих флешек.

_>Самое перостое шенение внешний CDROM или накопитель с эмуляцией CDROM.

В смысле??? ISO 9660 и есть виртуальный CD-ROM

Здравствуйте, Doom100500, Вы писали:

AD>>Не понял, dd if=trusted.iso of=/dev/sda чем не подходит?
D>Упоминался Media Creation Tool, который неизвестно какой ISO притащил.

Хз как оно там с виндой работает. Для убунту я просто качаю iso, "прожигаю" его на флэшку и гружусь с неё. Вообще ноль заморочек.

Здравствуйте, andrey.desman, Вы писали:

AD>Здравствуйте, Doom100500, Вы писали:

AD>>>Не понял, dd if=trusted.iso of=/dev/sda чем не подходит?
D>>Упоминался Media Creation Tool, который неизвестно какой ISO притащил.

AD>Хз как оно там с виндой работает. Для убунту я просто качаю iso, "прожигаю" его на флэшку и гружусь с неё. Вообще ноль заморочек.

Ну я — то, в принципе, тоже. Но вопрос был абстракный, включающий и эту хрень.

ПС. А шимжа молодец.

S>>>3. Просто сделать флешку активной и скопировать туда файлы с проверенного ISO — не выйдет, т.к. требуется FAT32, а на флешке есть файлы, размером более 4 Гб.
AD>>Не понял, dd if=trusted.iso of=/dev/sda чем не подходит?
S>Компьютер требует чтобы флешка была FAT32 для загрузки, а в ISO от MS есть один файл более 4 ГБ, так что на FAT32 его нельзя скопировать. Только как-то разбивать, но тогда нужно применять сторонние утилиты и теряется целостность.
Данная команда файлы не копирует и флешку в FAT32 не форматирует. Она копирует образ ISO на флешку, с той файловой системой которая представлена этим ISO.
Виндовый аналог — https://sourceforge.net/projects/win32diskimager/

S>1. Мы не хотим использовать Rufus, Ventoy и пр. сторонние утилиты. Мало ли, вдруг авторы продались (уже) и там какой-то бекдор внедряется.
Rufus вроде опенсорс — https://github.com/pbatard/rufus
Можешь просмотреть код, выкинуть ненужное, еще раз просмотреть оставшееся, три раза перекреститься и скомпилять. Best практис от ведущищ security engineers

Здравствуйте, ononim, Вы писали:

S>>Компьютер требует чтобы флешка была FAT32 для загрузки, а в ISO от MS есть один файл более 4 ГБ, так что на FAT32 его нельзя скопировать. Только как-то разбивать, но тогда нужно применять сторонние утилиты и теряется целостность.
O>Данная команда файлы не копирует и флешку в FAT32 не форматирует. Она копирует образ ISO на флешку, с той файловой системой которая представлена этим ISO.
O>Виндовый аналог — https://sourceforge.net/projects/win32diskimager/

Пишет вот что:

dd if=Windows.iso of=/dev/sda может в редких случаях загрузиться в UEFI-режиме, но это ненадёжно и точно не даст универсальной загрузочной флешки Windows (не будет правильного MBR/VBR для BIOS). Для гарантии используй Rufus, woeusb или ventoy.