一、实测,一键Ghost暗含猫腻
说起一键Ghost,很多朋友都用过——它确实让重装系统省了不少事,但硬币的另一面是,这些便捷的工具在帮你恢复系统的同时,可能顺手做了些“小动作”。为了搞清楚这一点,我们专门对目前网上最流行的几款PE环境备份恢复工具进行了实测,包括:大白菜U盘启动制作工具V5.1 uefi启动版、老毛桃装机版20140501、电脑店超级U盘启动盘制作工具V6.2装机版、通用pe工具箱V6.1版、天意U盘系统2015元宵版,以及微PE工具箱1.0。
1. 测试方法
为了保证基准纯净,我们先从 http://msdn.itellyou.cn/ 下载了原版Windows 8.1 64位的安装ISO文件(如图1),用UltraISO刻录成光盘后,全新格式化C分区进行安装。装好后只安装官方硬件驱动,不装任何软件,浏览器主页保持默认。然后在DOS环境下用Norton GHOST备份,得到一个干干净净的GHO镜像。
接着,分别用上面提到的几款工具进入PE系统,用它们自带的一键Ghost功能将该GHO文件恢复到系统分区,最后检查系统都发生了哪些变化。
2. 测试结果
经过漫长的还原和检查,结果如下表所示:
| 参评工具 | 是否修改浏览器主页 | 是否安装软件 | 其他 |
| 大白菜 | 修改主页 | 安装360系列 | 暂无发现 |
| 老毛桃 | 修改主页 | 安装360系列 | 暂无发现 |
| 电脑店 | 修改主页 | 安装360及火绒 | 暂无发现 |
| 通用 | 修改主页 | 暂无发现 | 桌面添加Hao123网页快捷方式 |
| 天意 | 暂无发现 | 暂无发现 | 暂无发现 |
| 微PE | 暂无发现 | 暂无发现 | 暂无发现 |
从表中能清晰看出,除了天意和微PE保持纯净外,其余四款都在还原过程中夹带了私货——修改浏览器主页几乎是标配,顺手安装360系列也是家常便饭(如图2)。很显然,这背后是利益在驱动:工具开发者通过这种“流氓”行为获取广告分成或软件推广费。问题来了,它们究竟是用什么手段在系统里动手脚的?
3. 揭秘,Ghost如何践踏了我们的家园
经过一番对比和摸索,终于找到了其中的猫腻。
先看大白菜、老毛桃、电脑店这三款PE系统,它们的作案手法几乎一样:系统恢复完成后,在Windows的开始菜单启动项里添加一个后缀为VBS的文件(如图3),同时在Windows目录下创建一个可执行文件和一个包含软件包的目录。VBS文件负责修改浏览器主页,并执行目录里的安装包,从而实现静默安装。更狡猾的是,这些工具会在软件安装完毕、主页修改完成后,自动把VBS文件和相关目录删除,以逃避杀毒软件的检测。
再说通用PE系统,它的做法更加粗暴:系统安装完毕后,直接重命名Windows目录下的Explorer.exe文件,然后创建一个同名的假冒文件(如图4)。当用户第一次进入桌面时,这个假Explorer.exe就会自动执行——修改主页、在桌面添加HAO123快捷方式,最后把自己删掉并恢复原来的Explorer.exe。如果恢复过程出错或者用户提前删除了被篡改的Explorer.exe,就可能导致无法正常进桌面,只能重新装系统。
二、醒悟,要想纯净还需自己动手
限于精力和时间,我们只检测了这几款工具对浏览器主页和软件的修改。但谁能保证它们没有在更深层埋下后门?比如悄悄植入控制脚本,或者开个方便远程访问的端口?最稳妥的办法,还是自己动手做系统备份和还原。
1. 利用Norton GHOST实现本机备份与还原
其实大白菜、老毛桃这些工具,底层的备份还原核心用的都是Norton GHOST,只是套了个更方便操作的界面,而作者就在这个界面上加了“私货”。如果我们愿意多花几分钟,直接用PE系统里自带的Norton GHOST在DOS下手动操作,就能彻底避开这些幺蛾子。
以使用大白菜PE中的Norton GHOST为例:
第一步:用PE光盘或U盘引导系统,在出现如图5所示的功能选择界面时,选择“运行MaxDos工具箱增强菜单”,进入后选择“MaxDos 9.3工具箱增强版C”。
第二步:用方向键选择“备份/还原系统”,回车后进入“MaxDOS一键备份/恢复菜单”,选“3.GHOST手动操作”(如图6),进入Symantec Ghost界面,单击OK进入主界面。
第三步:在菜单中依次选择“Local → Partition → To Image”(如图7)。接着选择要备份的硬盘(如果有多个硬盘,通过Model列型号和Size列容量来确认),单击OK。
第四步:选择要备份的分区以及备份文件的保存路径。然后在图8所示的界面中选择压缩方式:No(不压缩)、Fast(一般压缩)或High(高压缩)。压缩率越高,备份和还原速度越慢,出错概率也越大。所以如果磁盘空间够用,建议直接选No,即不压缩。选好后程序就开始备份,时间取决于机器配置和系统大小。
第五步:以后需要还原时,同样进入GHOST主界面,依次选择“Local → Partition → From Image”,然后按提示选择要恢复的硬盘、分区以及之前做好的GHO文件即可。
2. 更上层楼:打造万能恢复文件
上面做的备份只能在本机使用,那有没有办法做出一个能在不同电脑上都能用的万能GHO?当然可以,而且并不复杂。
第一步:在一台电脑上全新安装原版Windows,然后只装上最常用的软件,比如WinRAR和Office。注意系统分区不要装太多东西,以免影响运行速度。
第二步:卸载硬件驱动。在“控制面板 → 系统 → 设备管理器”中,依次卸载网络适配器、通用串行总线控制器、声卡、视频游戏控制器、监视器、显卡等驱动。卸载方法很简单:右键单击设备,选择“卸载”(如图9)。注意顺序要按照上面说的来。
Tips:卸载过程中如果系统提示安装驱动,务必取消或忽略。
第三步:关键一步——把IDE ATA/ATAPI控制器改成“标准SATA AHCI控制器”。如果这一步漏掉,GHO文件还原到其他电脑上会反复重启,根本进不去系统。操作方法是:在设备管理器中展开“IDE ATA/ATAPI控制器”,右键点击当前使用的控制器,选择“更新驱动程序软件 → 浏览计算机以查找驱动程序软件 → 从计算机的设备驱动程序列表中选取”,然后从列表中选择“标准SATA AHCI”(如图10),单击下一步后系统会提示重启。
第四步:重启电脑,然后用大白菜这类PE引导,进入MaxDos工具箱,按前面介绍的手动GHOST方法备份系统。备份成功后,把GHO文件存到U盘或移动硬盘里,以后就能在任意电脑上用它来恢复系统了。
