逆天，我这也不知道怎么还

一、核心还原步骤（必做）

1. 重新以管理员身份启动脚本

• 找到 VBS.cmd 文件，右键选择「以管理员身份运行」（必须管理员，否则还原会失败）；
• 脚本会先校验权限，若弹出 UAC 提示，点击「是」确认。

2. 选择「3. Revert Changes」选项

• 脚本加载后会显示菜单：[1] Continue [2] Exit [3] Revert Changes:；
• 直接输入 3 并按回车，触发还原流程。

3. 跟随脚本提示完成操作

• ✅ 恢复 VBS/HVCI/Credential Guard 的 UEFI 锁（删除 BCD 中 SecConfig.efi 相关启动项，重置 UEFI 锁定）；
• ✅ 恢复 Windows Hello / 增强登录安全的注册表项（将 Enabled 改回 1）；
• ✅ 恢复 Hypervisor 启动类型（bcdedit /set hypervisorlaunchtype auto）；
• ✅ 恢复 KVA Shadow 的注册表默认值（删除 FeatureSettingsOverride/FeatureSettingsOverrideMask）；
• ✅ 清空 HKLM\SOFTWARE\ManageVBS 下的所有标记（还原完成后无残留）；
• ✅ 取消「一次性高级启动选项」（关闭 F7 禁用 DSE 的引导）。

4. 按脚本提示重启电脑

二、验证还原是否成功（关键步骤）

1. 注册表验证（核心）

:: 检查VBS是否启用（值应为0x1）
reg query "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity

:: 检查内存完整性（HVCI）是否启用（值应为0x1）
reg query "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v Enabled

:: 检查Windows Hello保护是否恢复（值应为0x1，若此前启用过）
reg query "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\WindowsHello" /v Enabled

:: 检查Credential Guard是否恢复（LsaCfgFlags值应为0x1，若此前启用过）
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LsaCfgFlags

• 若结果中「数值数据」为 0x1，表示对应项已还原启用；
• 若显示「找不到注册表项」，说明系统原本未启用该功能，无需处理。

2. BCD 配置验证

bcdedit /enum {current} | findstr "hypervisorlaunchtype"

• 正常结果应为 hypervisorlaunchtype Auto（而非 Off）；
• 若显示「找不到该项」，说明系统默认启用，无需额外操作。

3. 系统界面验证

• 打开「设置」→「更新和安全」→「Windows 安全中心」→「设备安全性」→「内核隔离」；
• 确认「内存完整性」为「开启」状态（灰色不可选则需检查 BIOS 虚拟化）；
• 打开「任务管理器」→「性能」→「CPU」，确认「虚拟化」显示为「启用」。

三、异常情况处理（若还原失败）

1. 脚本提示「SecConfig.efi 未找到」/ UEFI 锁无法恢复

• 原因：此前修改依赖 SecConfig.efi 绕开 UEFI 锁，还原时需该文件；
• 解决：
  1. 确认 C:\Windows\System32\SecConfig.efi 存在（无则从同版本 Windows 镜像提取）；
  2. 手动挂载 EFI 分区（以管理员运行 CMD）：
     cmd

      

      

      

      

      

     mountvol S: /s  :: 挂载EFI分区到S盘（若S盘被占用，换T/Z等）
     copy C:\Windows\System32\SecConfig.efi S:\EFI\Microsoft\Boot\SecConfig.efi
     mountvol S: /d  :: 卸载分区
     

      
      
  3. 重新运行脚本选择「3. Revert Changes」。
   

2. 内存完整性仍无法开启

• 原因：Hypervisor 未启动，或 BIOS 虚拟化被禁用；
• 解决：
  1. 重启电脑进入 BIOS/UEFI（按 Del/F2/F10 等，依机型而定）；
  2. 找到「Intel VT-x」/「AMD SVM」/「虚拟化技术」选项，设为「启用」；
  3. 保存 BIOS 设置后重启，再次手动开启内存完整性。
   

3. Windows Hello 无法使用

• 原因：还原后需重新配置 PIN / 指纹 / 面部识别；
• 解决：
  1. 打开「设置」→「账户」→「登录选项」；
  2. 删除原有 PIN / 生物识别信息，重新添加即可。
   

4. 手动强制还原（脚本失效时）

:: 恢复VBS启用
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f

:: 恢复HVCI启用
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v Enabled /t REG_DWORD /d 1 /f

:: 恢复Hypervisor启动
bcdedit /set {current} hypervisorlaunchtype auto

:: 恢复KVA Shadow默认值
reg delete "HKLM\System\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /f
reg delete "HKLM\System\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /f

:: 清空脚本标记
reg delete "HKLM\SOFTWARE\ManageVBS" /f

四、注意事项

1. 仅还原脚本修改的项：脚本只会还原它此前修改过的配置（通过 HKLM\SOFTWARE\ManageVBS 标记），不会改动系统原有未触达的设置；
2. 企业 / 管理设备需谨慎：若设备是公司 / 学校管理的，还原后管理员可能重新启用 UEFI 锁 / VBS，属于正常管控行为；
3. 反作弊驱动恢复：若此前卸载了反作弊（如 Vanguard/FACEIT AC），需重新安装才能正常使用。