揭謎一鍵Ghost的“惡”事大白菜、老毛桃、通用都不干凈

1、揭謎一鍵Ghost的“惡”事 大白菜、老毛桃、通用都不干凈來源：互聯(lián)網(wǎng) 作者：佚名 時(shí)間：07-03 06:54:59 【大 中 小】 在PE環(huán)境下，一鍵Ghost即可完成系統(tǒng)的重裝工作，這種看上去非常貼心的安裝方式，現(xiàn)在已被廣泛采用，然而你知道么？簡單并不代表簡潔，如果你是個(gè)細(xì)心的人，那么你會(huì)發(fā)現(xiàn)在這種安裝方式的下面，其實(shí)隱藏著許多貓膩，而這些貓膩，絕對與“體貼”無關(guān)。一、實(shí)測，一鍵Ghost暗含貓膩為了了解一鍵Ghost在為我們提供了極其簡便的安裝方式之外，還帶來了什么，我們特意對目前網(wǎng)絡(luò)上流行的幾款提供了PE環(huán)境下進(jìn)行備份、恢復(fù)系統(tǒng)的一鍵Ghost工具進(jìn)行了測試，這些工具包括：大白菜U盤

2、啟動(dòng)制作工具V5.1 uefi啟動(dòng)版、老毛桃裝機(jī)版20140501、電腦店超級U盤啟動(dòng)盤制作工具V6.2裝機(jī)版、通用pe工具箱V6.1版、天意U盤系統(tǒng)2015元宵版、微PE工具箱1.0。1.測試方法先到 8.1 64位操作系統(tǒng)的安裝ISO文件（如圖1），用UltraISO將其刻錄成光盤后格式化C分區(qū)進(jìn)行全新安裝。安裝完成，安裝官方硬件驅(qū)動(dòng)，但不安裝任何軟件并進(jìn)行任何設(shè)置，瀏覽器主頁為默認(rèn)設(shè)置，然后在DOS環(huán)境下啟動(dòng)Norton GHOST進(jìn)行系統(tǒng)備份，這樣一來，一個(gè)純凈的GHOST備份文件誕生了。接著，用上述測試工具進(jìn)入PE系統(tǒng)，使用剛才備份的Gho文件及工具自身提供的一鍵Ghost工具對系統(tǒng)

3、進(jìn)行恢復(fù)，最后看它究竟對系統(tǒng)做了什么手腳。2.測試結(jié)果經(jīng)過漫長及繁復(fù)的還原過程，最終測試結(jié)果出來，具體情況見下表：參評工具是否修改瀏覽器主頁是否安裝軟件其他大白菜修改主頁安裝360系列暫無發(fā)現(xiàn)老毛桃修改主頁安裝360系列暫無發(fā)現(xiàn)電腦店修改主頁安裝360及火絨暫無發(fā)現(xiàn)通用修改主頁暫無發(fā)現(xiàn)桌面添加Hao123網(wǎng)頁快捷方式天意暫無發(fā)現(xiàn)暫無發(fā)現(xiàn)暫無發(fā)現(xiàn)微PE暫無發(fā)現(xiàn)暫無發(fā)現(xiàn)暫無發(fā)現(xiàn)從中我們可以發(fā)現(xiàn)，幾款工具中除了天意和微PE表現(xiàn)較好，基本保持了純凈GHO系統(tǒng)的原貌外，其他幾款工具都在還原過程對系統(tǒng)做了手腳，而修改瀏覽器主頁和偷偷安裝360系列工具幾乎是通用作法（如圖2），顯然，這當(dāng)中是有極大的利益關(guān)系

4、的，工具開發(fā)者可以通過這些看似流氓的作法獲得一定的經(jīng)濟(jì)報(bào)酬。不過，目前的問題是，這些工具究竟是通過什么手段，達(dá)到肆意踐踏用戶系統(tǒng)目的的呢？3.揭秘，Ghost如何踐踏了我們的家園經(jīng)過一番對比、摸索，筆者終于發(fā)現(xiàn)了其中的貓膩。首先說大白菜、老毛桃、電腦店這三個(gè)PE系統(tǒng)，它們的竄改原理基本相同，都是在系統(tǒng)恢復(fù)完畢，在Windows的開始菜單啟動(dòng)項(xiàng)中添加一個(gè)后綴名為VBS的文件（如圖3），然后再在Windows目錄下創(chuàng)建一個(gè)可執(zhí)行文件及一個(gè)包含有文件的目錄，其中目錄中保存的就是要偷偷安裝的軟件包，而“*.vbs”的作用則是修改用戶的瀏覽器主頁，同時(shí)執(zhí)行目錄中保存的軟件安裝包，最終達(dá)到靜默安裝軟件的目

5、的。值得一提的是，三款PE系統(tǒng)都會(huì)在軟件安裝完畢，并在完成瀏覽器主頁的修改工作后，自動(dòng)銷毀VBS文件及上面提到的流氓目錄，以防被殺毒工具發(fā)現(xiàn)。然后說通用PE系統(tǒng)，和前三款工具的偷偷摸摸相比，通用PE的作法更加流氓，它會(huì)在系統(tǒng)安裝完畢，直接重命名Windows目錄下的Explorer.exe文件，然后自行創(chuàng)建一個(gè)同名文件（如圖4），這樣，當(dāng)用戶第一次進(jìn)入剛恢復(fù)的系統(tǒng)并在進(jìn)入桌面前，該文件就會(huì)被自動(dòng)執(zhí)行，接著修改瀏覽器主頁，在桌面添加HAO123快捷方式，最后再把自己銷毀并恢復(fù)原Explorer.exe文件。在恢復(fù)原Explorer.exe文件時(shí)，如果不幸過程出錯(cuò)或用戶事先發(fā)現(xiàn)，直接刪除了被竄改的

6、Explorer.exe文件，將導(dǎo)致無法進(jìn)入桌面，需要再次重裝系統(tǒng)才能解決。二、醒悟，要想純凈還需自己動(dòng)手限于水平和時(shí)間，上面我們只是檢測到了幾款工具對瀏覽器和軟件的修改情況，盡管這些修改，后期都能通過重新設(shè)置主頁或刪除不需要的軟件來解決，但如果考慮得再細(xì)致一些，如果這些PE工具在這些顯而易見的竄改之外，又隱藏著其他一些動(dòng)作（比如：保留系統(tǒng)后門以便對用戶PC進(jìn)行控制），我們該怎樣來處理？所以目前最安全的辦法，莫過于自己動(dòng)手，完成系統(tǒng)的備份及還原工作。1. 利用Norton GHOST實(shí)現(xiàn)本機(jī)備份與還原無論是白菜、老毛桃和電腦店，它們使用的備份和還原工具的其實(shí)都是Norton GHOST，只是為

7、了方便小菜用戶使用，他們在原軟件的基礎(chǔ)上，增加了更加直觀的界面和一些更加便于操作的功能而已。在這些功能之中，軟件作者悄悄植入了可修改主頁并安裝軟件的隱藏選項(xiàng)。因此，如果我們能稍微勤快一點(diǎn)，利用上述PE系統(tǒng)內(nèi)置的Norton GHOST軟件，在DOS系統(tǒng)下手工備份和還原系統(tǒng)，則能最大程度地保證系統(tǒng)的純凈。以使用大白菜中提供的Norton GHOST軟件進(jìn)行備份及還原為例。第一步：用PE光盤或U盤引導(dǎo)系統(tǒng)，在出現(xiàn)如圖5所示的功能選擇界面時(shí)，選擇“運(yùn)行MaxDos工具箱增強(qiáng)菜單”，進(jìn)入相應(yīng)的菜單，選擇“MaxDos 9.3工具箱增強(qiáng)版C”。第二步：按下“”或“”，在出現(xiàn)的菜單中選擇“備份/還原系統(tǒng)”

8、，回車后，進(jìn)入“MaxDOS一鍵備份/恢復(fù)菜單”，選擇“3.GHOST手動(dòng)操作”項(xiàng)（如圖6），進(jìn)入Symantec Ghost界面，單擊OK按鈕，進(jìn)入程序主界面。第三步：在菜單中依次選擇“Local/Partition/To Image”（如圖7），然后在接下來的界面中選擇要備份的硬盤（有多個(gè)硬盤的話請核對選擇，一般來說，通過查看Model列中的硬盤型號和Size列中的硬盤容量，可以確定要備份系統(tǒng)究竟在哪個(gè)硬盤中），選擇完畢，單擊OK按鈕。第四步：選擇要備份的分區(qū)及備份文件的保存目錄，然后在如圖8所示的界面中選擇好要采用的壓縮方式： No，不壓縮；Fast，一般壓縮；High，高壓縮，一般來說

9、，壓縮率越高，備份系統(tǒng)及以后還原系統(tǒng)的速度越慢，同時(shí)備份文件出差錯(cuò)的機(jī)率越大，所以如果磁盤空間足夠的話，建議直接單擊No按鈕，即不壓縮。選擇完畢，程序?qū)㈤_始備份系統(tǒng)，備份所用的時(shí)間取決于PC配置、系統(tǒng)分區(qū)的大小及當(dāng)前所安裝軟件的多寡。第五步：系統(tǒng)備份完畢，以后在出現(xiàn)文件時(shí)，我們就可以利用它來恢復(fù)了，恢復(fù)的方法與備份類似，首先進(jìn)入如圖7所示的界面，依次選擇菜單“Local/Partition/From Image”，然后按提示選擇好要恢復(fù)的硬盤、分區(qū)及要使用的備份文件即可。2. 更上層樓打造萬能恢復(fù)文件上述方法打造的系統(tǒng)備份，僅適用于本機(jī)，那么，我們是否有辦法打造一個(gè)可以在不同PC中都能用的備份

10、文件？答案是肯定的。第一步：首先在某PC中全新安裝原版Windows系統(tǒng)，安裝完畢，安裝常用軟件到系統(tǒng)分區(qū)（注意：由于可用系統(tǒng)分區(qū)的可用空間變小會(huì)影響系統(tǒng)的運(yùn)行速度，所以建議只安裝WinRAR和Office等必用的軟件）。第二步：卸載硬件驅(qū)動(dòng)。在“控制面板”中選擇“系統(tǒng)”，進(jìn)入相應(yīng)的界面，選擇左側(cè)的“設(shè)備管理器”項(xiàng)，打開同名窗口，依次卸載網(wǎng)絡(luò)適配器、通用串行總線控制器、聲卡、視頻游戲控制器、監(jiān)視器和顯卡等的驅(qū)動(dòng)，卸載方法為：右擊要卸載驅(qū)動(dòng)的設(shè)備，在彈出的右鍵菜單中選擇“卸載”（如圖9）。卸載的時(shí)候要注意，順序一定要按照上面所說的進(jìn)行。Tips：卸載驅(qū)動(dòng)的過程中，屏幕上會(huì)出現(xiàn)要求安裝驅(qū)動(dòng)的提示，千萬不要安裝。第三步：更改IDE ATA/ATAPI控制器為“標(biāo)準(zhǔn)SATA AHCI控制器”，這一步是打造萬能Ghost關(guān)鍵，如果這一步?jīng)]做，則Gho文件還原到別的機(jī)器里根本無法啟動(dòng)，具體表現(xiàn)為PC不斷地重啟。更改的方法為，在“設(shè)備管理器”窗口的“IDE ATA/ATAPI控制器”項(xiàng)下右擊當(dāng)前正在使用的設(shè)備，在彈出的右鍵菜單中選擇“更新驅(qū)動(dòng)程序軟件”，打開相應(yīng)的對話框。選擇“瀏覽計(jì)算機(jī)以查找驅(qū)動(dòng)程序軟件”，然后在出現(xiàn)的對話框中選擇“從計(jì)算機(jī)的設(shè)備驅(qū)動(dòng)程序列表中選取”項(xiàng)，單擊“下一步”按鈕。在接下來的對話框列表中選擇“標(biāo)準(zhǔn)SATA