揭谜一键Ghost的“恶”事大白菜、老毛桃、通用都不干净研究.doc

揭谜一键Ghost的“恶”事 大白菜、老毛桃、通用都不干净 来源：互联网 作者：佚名 时间：07-03 06:54:59 【大 中 小】 在PE环境下，一键Ghost即可完成系统的重装工作，这种看上去非常贴心的安装方式，现在已被广泛采用，然而你知道么？简单并不代表简洁，如果你是个细心的人，那么你会发现在这种安装方式的下面，其实隐藏着许多猫腻，而这些猫腻，绝对与“体贴”无关。 一、实测，一键Ghost暗含猫腻 为了了解一键Ghost在为我们提供了极其简便的安装方式之外，还带来了什么，我们特意对目前网络上流行的几款提供了PE环境下进行备份、恢复系统的一键Ghost工具进行了测试，这些工具包括：大白菜U盘启动制作工具V5.1 uefi启动版、老毛桃装机电脑店超级U盘启动盘制作工具V6.2装机版、通用pe工具箱V6.1版、天意U盘系统2015元宵版、微PE工具箱1.0。 1.测试方法 先到/下载原版Windows 8.1 64位操作系统的安装ISO文件（如图1），用UltraISO将其刻录成光盘后格式化C分区进行全新安装。安装完成，安装官方硬件驱动，但不安装任何软件并进行任何设置，浏览器主页为默认设置，然后在DOS环境下启动Norton GHOST进行系统备份，这样一来，一个纯净的GHOST备份文件诞生了。 接着，用上述测试工具进入PE系统，使用刚才备份的Gho文件及工具自身提供的一键Ghost工具对系统进行恢复，最后看它究竟对系统做了什么手脚。 2.测试结果 经过漫长及繁复的还原过程，最终测试结果出来，具体情况见下表： 参评工具 是否修改浏览器主页 是否安装软件 其他 大白菜 修改主页 安装360系列 暂无发现 老毛桃 修改主页 安装360系列 暂无发现 电脑店 修改主页 安装360及火绒 暂无发现 通用 修改主页 暂无发现 桌面添加Hao123网页快捷方式 天意 暂无发现 暂无发现 暂无发现 微PE 暂无发现 暂无发现 暂无发现 从中我们可以发现，几款工具中除了天意和微PE表现较好，基本保持了纯净GHO系统的原貌外，其他几款工具都在还原过程对系统做了手脚，而修改浏览器主页和偷偷安装360系列工具几乎是通用作法（如图2），显然，这当中是有极大的利益关系的，工具开发者可以通过这些看似流氓的作法获得一定的经济报酬。不过，目前的问题是，这些工具究竟是通过什么手段，达到肆意践踏用户系统目的的呢？ 3.揭秘，Ghost如何践踏了我们的家园 经过一番对比、摸索，笔者终于发现了其中的猫腻。 首先说大白菜、老毛桃、电脑店这三个PE系统，它们的窜改原理基本相同，都是在系统恢复完毕，在Windows的开始菜单启动项中添加一个后缀名为VBS的文件（如图3），然后再在Windows目录下创建一个可执行文件及一个包含有文件的目录，其中目录中保存的就是要偷偷安装的软件包，而“*.vbs”的作用则是修改用户的浏览器主页，同时执行目录中保存的软件安装包，最终达到静默安装软件的目的。值得一提的是，三款PE系统都会在软件安装完毕，并在完成浏览器主页的修改工作后，自动销毁VBS文件及上面提到的流氓目录，以防被杀毒工具发现。 然后说通用PE系统，和前三款工具的偷偷摸摸相比，通用PE的作法更加流氓，它会在系统安装完毕，直接重命名Windows目录下的Explorer.exe文件，然后自行创建一个同名文件（如图4），这样，当用户第一次进入刚恢复的系统并在进入桌面前，该文件就会被自动执行，接着修改浏览器主页，在桌面添加HAO123快捷方式，最后再把自己销毁并恢复原Explorer.exe文件。在恢复原Explorer.exe文件时，如果不幸过程出错或用户事先发现，直接删除了被窜改的Explorer.exe文件，将导致无法进入桌面，需要再次重装系统才能解决。 二、醒悟，要想纯净还需自己动手 限于水平和时间，上面我们只是检测到了几款工具对浏览器和软件的修改情况，尽管这些修改，后期都能通过重新设置主页或删除不需要的软件来解决，但如果考虑得再细致一些，如果这些PE工具在这些显而易见的窜改之外，又隐藏着其他一些动作（比如：保留系统后门以便对用户PC进行控制），我们该怎样来处理？所以目前最安全的办法，莫过于自己动手，完成系统的备份及还原工作。 1. 利用Norton GHOST实现本机备份与还原 无论是白菜、老毛桃和电脑店，它们使用的备份和还原工具的其实都是Norton GHOST，只是为了方便小菜用户使用，他们在原软件的基础上，增加了更加直观的界面和一些更加便于操作的功能而已。在这些功能之中，软件作者悄悄植入了可修改主页并安装软件的隐藏选项。因此，如果我们能稍微勤快一点，利用上述PE系统内置的Norton GHOST软件，在DOS系统下