揭謎一鍵Ghost的“惡”事大白菜、老毛桃、通用都不乾淨

數碼
關注：1.27W次

一、實測，一鍵Ghost暗含貓膩

為了瞭解一鍵Ghost在為我們提供了極其簡便的安裝方式之外，還帶來了什麼，我們特意對目前網絡上流行的幾款提供了PE環境下進行備份、恢復系統的一鍵Ghost工具進行了測試，這些工具包括：大白菜U盤啟動製作工具V5.1 uefi啟動版、老毛桃裝機版20140501、電腦店超級U盤啟動盤製作工具V6.2裝機版、通用pe工具箱V6.1版、天意U盤系統2015元宵版、微PE工具箱1.0。

1.測試方法

先到下載原版Windows 8.1 64位操作系統的安裝ISO文件（如圖1），用UltraISO將其刻錄成光盤後格式化C分區進行全新安裝。安裝完成，安裝官方硬件驅動，但不安裝任何軟件並進行任何設置，瀏覽器主頁為默認設置，然後在DOS環境下啟動Norton GHOST進行系統備份，這樣一來，一個純淨的GHOST備份文件誕生了。

接着，用上述測試工具進入PE系統，使用剛才備份的Gho文件及工具自身提供的一鍵Ghost工具對系統進行恢復，最後看它究竟對系統做了什麼手腳。

2.測試結果

經過漫長及繁複的還原過程，最終測試結果出來，具體情況見下表：

參評工具是否修改瀏覽器主頁是否安裝軟件其他大白菜修改主頁安裝360系列暫無發現老毛桃修改主頁安裝360系列暫無發現電腦店修改主頁安裝360及火絨暫無發現通用修改主頁暫無發現桌面添加Hao123網頁快捷方式天意暫無發現暫無發現暫無發現微PE 暫無發現暫無發現暫無發現

從中我們可以發現，幾款工具中除了天意和微PE表現較好，基本保持了純淨GHO系統的原貌外，其他幾款工具都在還原過程對系統做了手腳，而修改瀏覽器主頁和偷偷安裝360系列工具幾乎是通用作法（如圖2），顯然，這當中是有極大的利益關係的，工具開發者可以通過這些看似流氓的作法獲得一定的經濟報酬。不過，目前的問題是，這些工具究竟是通過什麼手段，達到肆意踐踏用户系統目的的呢？

3.揭祕，Ghost如何踐踏了我們的家園

經過一番對比、摸索，筆者終於發現了其中的貓膩。

首先説大白菜、老毛桃、電腦店這三個PE系統，它們的竄改原理基本相同，都是在系統恢復完畢，在Windows的開始菜單啟動項中添加一個後綴名為VBS的文件（如圖3），然後再在Windows目錄下創建一個可執行文件及一個包含有文件的目錄，其中目錄中保存的就是要偷偷安裝的軟件包，而“*”的作用則是修改用户的瀏覽器主頁，同時執行目錄中保存的軟件安裝包，最終達到靜默安裝軟件的目的。值得一提的是，三款PE系統都會在軟件安裝完畢，並在完成瀏覽器主頁的修改工作後，自動銷燬VBS文件及上面提到的流氓目錄，以防被殺毒工具發現。

然後説通用PE系統，和前三款工具的偷偷摸摸相比，通用PE的作法更加流氓，它會在系統安裝完畢，直接重命名Windows目錄下的文件，然後自行創建一個同名文件（如圖4），這樣，當用户第一次進入剛恢復的系統並在進入桌面前，該文件就會被自動執行，接着修改瀏覽器主頁，在桌面添加HAO123快捷方式，最後再把自己銷燬並恢復原文件。在恢復原文件時，如果不幸過程出錯或用户事先發現，直接刪除了被竄改的文件，將導致無法進入桌面，需要再次重裝系統才能解決。

二、醒悟，要想純淨還需自己動手

限於水平和時間，上面我們只是檢測到了幾款工具對瀏覽器和軟件的修改情況，儘管這些修改，後期都能通過重新設置主頁或刪除不需要的軟件來解決，但如果考慮得再細緻一些，如果這些PE工具在這些顯而易見的竄改之外，又隱藏着其他一些動作（比如：保留系統後門以便對用户PC進行控制），我們該怎樣來處理？所以目前最安全的辦法，莫過於自己動手，完成系統的備份及還原工作。

1. 利用Norton GHOST實現本機備份與還原

無論是白菜、老毛桃和電腦店，它們使用的備份和還原工具的其實都是Norton GHOST，只是為了方便小菜用户使用，他們在原軟件的基礎上，增加了更加直觀的界面和一些更加便於操作的功能而已。在這些功能之中，軟件作者悄悄植入了可修改主頁並安裝軟件的隱藏選項。因此，如果我們能稍微勤快一點，利用上述PE系統內置的Norton GHOST軟件，在DOS系統下手工備份和還原系統，則能最大程度地保證系統的純淨。

以使用大白菜中提供的Norton GHOST軟件進行備份及還原為例。

第一步：用PE光盤或U盤引導系統，在出現如圖5所示的功能選擇界面時，選擇“運行MaxDos工具箱增強菜單”，進入相應的菜單，選擇“MaxDos 9.3工具箱增強版C”。

第二步：按下“↑”或“↓”，在出現的菜單中選擇“備份/還原系統”，回車後，進入“MaxDOS一鍵備份/恢復菜單”，選擇“T手動操作”項（如圖6），進入Symantec Ghost界面，單擊OK按鈕，進入程序主界面。

第三步：在菜單中依次選擇“Local/Partition/To Image”（如圖7），然後在接下來的界面中選擇要備份的硬盤（有多個硬盤的話請核對選擇，一般來説，通過查看Model列中的硬盤型號和Size列中的硬盤容量，可以確定要備份系統究竟在哪個硬盤中），選擇完畢，單擊OK按鈕。

第四步：選擇要備份的分區及備份文件的保存目錄，然後在如圖8所示的界面中選擇好要採用的壓縮方式： No，不壓縮；Fast，一般壓縮；High，高壓縮，一般來説，壓縮率越高，備份系統及以後還原系統的速度越慢，同時備份文件出差錯的機率越大，所以如果磁盤空間足夠的話，建議直接單擊No按鈕，即不壓縮。選擇完畢，程序將開始備份系統，備份所用的時間取決於PC配置、系統分區的大小及當前所安裝軟件的多寡。

第五步：系統備份完畢，以後在出現文件時，我們就可以利用它來恢復了，恢復的方法與備份類似，首先進入如圖7所示的界面，依次選擇菜單“Local/Partition/From Image”，然後按提示選擇好要恢復的硬盤、分區及要使用的備份文件即可。

2. 更上層樓打造萬能恢復文件

上述方法打造的系統備份，僅適用於本機，那麼，我們是否有辦法打造一個可以在不同PC中都能用的備份文件？答案是肯定的。

第一步：首先在某PC中全新安裝原版Windows系統，安裝完畢，安裝常用軟件到系統分區（注意：由於可用系統分區的可用空間變小會影響系統的運行速度，所以建議只安裝WinRAR和Office等必用的軟件）。

第二步：卸載硬件驅動。在“控制面板”中選擇“系統”，進入相應的界面，選擇左側的“設備管理器”項，打開同名窗口，依次卸載網絡適配器、通用串行總線控制器、聲卡、視頻遊戲控制器、監視器和顯卡等的驅動，卸載方法為：右擊要卸載驅動的設備，在彈出的右鍵菜單中選擇“卸載”（如圖9）。卸載的時候要注意，順序一定要按照上面所説的進行。

Tips：

卸載驅動的過程中，屏幕上會出現要求安裝驅動的提示，千萬不要安裝。

第三步：更改IDE ATA/ATAPI控制器為“標準SATA AHCI控制器”，這一步是打造萬能Ghost關鍵，如果這一步沒做，則Gho文件還原到別的機器里根本無法啟動，具體表現為PC不斷地重啟。更改的方法為，在“設備管理器”窗口的“IDE ATA/ATAPI控制器”項下右擊當前正在使用的設備，在彈出的右鍵菜單中選擇“更新驅動程序軟件”，打開相應的對話框。選擇“瀏覽計算機以查找驅動程序軟件”，然後在出現的對話框中選擇“從計算機的設備驅動程序列表中選取”項，單擊“下一步”按鈕。在接下來的對話框列表中選擇“標準SATA AHCI”，單擊“下一步”按鈕（如圖10）。此時系統會提示重啟PC。