一、实测,一键Ghost暗含猫腻
为了了解一键Ghost在为我们提供了极其简便的安装方式之外,还带来了什么,我们特意对目前网络上流行的几款提供了PE环境下进行备份、恢复系统的一键Ghost工具进行了测试,这些工具包括:大白菜U盘启动制作工具V5.1 uefi启动版、老毛桃装机版20140501、电脑店超级U盘启动盘制作工具V6.2装机版、通用pe工具箱V6.1版、天意U盘系统2015元宵版、微PE工具箱1.0。
1.测试方法
先到http://msdn.itellyou.cn/下载原版Windows 8.1 64位操作系统的安装ISO文件(如图1),用UltraISO将其刻录成光盘后格式化C分区进行全新安装。安装完成,安装官方硬件驱动,但不安装任何软件并进行任何设置,浏览器主页为默认设置,然后在DOS环境下启动Norton GHOST进行系统备份,这样一来,一个纯净的GHOST备份文件诞生了。
接着,用上述测试工具进入PE系统,使用刚才备份的Gho文件及工具自身提供的一键Ghost工具对系统进行恢复,最后看它究竟对系统做了什么手脚。
2.测试结果
经过漫长及繁复的还原过程,最终测试结果出来,具体情况见下表:
参评工具是否修改浏览器主页是否安装软件其他
大白菜修改主页安装360系列暂无发现
老毛桃修改主页安装360系列暂无发现
电脑店修改主页安装360及火绒暂无发现
通用修改主页暂无发现桌面添加Hao123网页快捷方式
天意暂无发现暂无发现暂无发现
微PE暂无发现暂无发现暂无发现
从中我们可以发现,几款工具中除了天意和微PE表现较好,基本保持了纯净GHO系统的原貌外,其他几款工具都在还原过程对系统做了手脚,而修改浏览器主页和偷偷安装360系列工具几乎是通用作法(如图2),显然,这当中是有极大的利益关系的,工具开发者可以通过这些看似流氓的作法获得一定的经济报酬。不过,目前的问题是,这些工具究竟是通过什么手段,达到肆意践踏用户系统目的的呢?
3.揭秘,Ghost如何践踏了我们的家园
经过一番对比、摸索,笔者终于发现了其中的猫腻。
首先说大白菜、老毛桃、电脑店这三个PE系统,它们的窜改原理基本相同,都是在系统恢复完毕,在Windows的开始菜单启动项中添加一个后缀名为VBS的文件(如图3),然后再在Windows目录下创建一个可执行文件及一个包含有文件的目录,其中目录中保存的就是要偷偷安装的软件包,而“*.vbs”的作用则是修改用户的浏览器主页,同时执行目录中保存的软件安装包,最终达到静默安装软件的目的。值得一提的是,三款PE系统都会在软件安装完毕,并在完成浏览器主页的修改工作后,自动销毁VBS文件及上面提到的流氓目录,以防被杀毒工具发现。
然后说通用PE系统,和前三款工具的偷偷摸摸相比,通用PE的作法更加流氓,它会在系统安装完毕,直接重命名Windows目录下的Explorer.exe文件,然后自行创建一个同名文件(如图4),这样,当用户第一次进入刚恢复的系统并在进入桌面前,该文件就会被自动执行,接着修改浏览器主页,在桌面添加HAO123快捷方式,最后再把自己销毁并恢复原Explorer.exe文件。在恢复原Explorer.exe文件时,如果不幸过程出错或用户事先发现,直接删除了被窜改的Explorer.exe文件,将导致无法进入桌面,需要再次重装系统才能解决。
二、醒悟,要想纯净还需自己动手
限于水平和时间,上面我们只是检测到了几款工具对浏览器和软件的修改情况,尽管这些修改,后期都能通过重新设置主页或删除不需要的软件来解决,但如果考虑得再细致一些,如果这些PE工具在这些显而易见的窜改之外,又隐藏着其他一些动作(比如:保留系统后门以便对用户PC进行控制),我们该怎样来处理?所以目前最安全的办法,莫过于自己动手,完成系统的备份及还原工作。
1. 利用Norton GHOST实现本机备份与还原
无论是白菜、老毛桃和电脑店,它们使用的备份和还原工具的其实都是Norton GHOST,只是为了方便小菜用户使用,他们在原软件的基础上,增加了更加直观的界面和一些更加便于操作的功能而已。在这些功能之中,软件作者悄悄植入了可修改主页并安装软件的隐藏选项。因此,如果我们能稍微勤快一点,利用上述PE系统内置的Norton GHOST软件,在DOS系统下手工备份和还原系统,则能最大程度地保证系统的纯净。
以使用大白菜中提供的Norton GHOST软件进行备份及还原为例。
第一步:用PE光盘或U盘引导系统,在出现如图5所示的功能选择界面时,选择“运行MaxDos工具箱增强菜单”,进入相应的菜单,选择“MaxDos 9.3工具箱增强版C”。
第二步:按下“↑”或“↓”,在出现的菜单中选择“备份/还原系统”,回车后,进入“MaxDOS一键备份/恢复菜单”,选择“3.GHOST手动操作”项(如图6),进入Symantec Ghost界面,单击OK按钮,进入程序主界面。
第三步:在菜单中依次选择“Local/Partition/To Image”(如图7),然后在接下来的界面中选择要备份的硬盘(有多个硬盘的话请核对选择,一般来说,通过查看Model列中的硬盘型号和Size列中的硬盘容量,可以确定要备份系统究竟在哪个硬盘中),选择完毕,单击OK按钮。
第四步:选择要备份的分区及备份文件的保存目录,然后在如图8所示的界面中选择好要采用的压缩方式: No,不压缩;Fast,一般压缩;High,高压缩,一般来说,压缩率越高,备份系统及以后还原系统的速度越慢,同时备份文件出差错的机率越大,所以如果磁盘空间足够的话,建议直接单击No按钮,即不压缩。选择完毕,程序将开始备份系统,备份所用的时间取决于PC配置、系统分区的大小及当前所安装软件的多寡。
第五步:系统备份完毕,以后在出现文件时,我们就可以利用它来恢复了,恢复的方法与备份类似,首先进入如图7所示的界面,依次选择菜单“Local/Partition/From Image”,然后按提示选择好要恢复的硬盘、分区及要使用的备份文件即可。
2. 更上层楼打造万能恢复文件
上述方法打造的系统备份,仅适用于本机,那么,我们是否有办法打造一个可以在不同PC中都能用的备份文件?答案是肯定的。
第一步:首先在某PC中全新安装原版Windows系统,安装完毕,安装常用软件到系统分区(注意:由于可用系统分区的可用空间变小会影响系统的运行速度,所以建议只安装WinRAR和Office等必用的软件)。
第二步:卸载硬件驱动。在“控制面板”中选择“系统”,进入相应的界面,选择左侧的“设备管理器”项,打开同名窗口,依次卸载网络适配器、通用串行总线控制器、声卡、视频游戏控制器、监视器和显卡等的驱动,卸载方法为:右击要卸载驱动的设备,在弹出的右键菜单中选择“卸载”(如图9)。卸载的时候要注意,顺序一定要按照上面所说的进行。
Tips:
卸载驱动的过程中,屏幕上会出现要求安装驱动的提示,千万不要安装。
第三步:更改IDE ATA/ATAPI控制器为“标准SATA AHCI控制器”,这一步是打造万能Ghost关键,如果这一步没做,则Gho文件还原到别的机器里根本无法启动,具体表现为PC不断地重启。更改的方法为,在“设备管理器”窗口的“IDE ATA/ATAPI控制器”项下右击当前正在使用的设备,在弹出的右键菜单中选择“更新驱动程序软件”,打开相应的对话框。选择“浏览计算机以查找驱动程序软件”,然后在出现的对话框中选择“从计算机的设备驱动程序列表中选取”项,单击“下一步”按钮。在接下来的对话框列表中选择“标准SATA AHCI”,单击“下一步”按钮(如图10)。此时系统会提示重启PC。
第四步:重启PC,并用上面介绍的大白菜PE等引导PC,在出现如图5所示的界面时,选择“运行MaxDos工具箱增强菜单”,然后再用上面介绍的方法,完成系统的备份工作即可。备份成功,将相应的Gho文件保存到U盘或移动硬盘中,以后,我们就可以用它来在不同的PC中进行还原操作了。
1.《一键恢复ghost 一键Ghost暗含猫腻》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《一键恢复ghost 一键Ghost暗含猫腻》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/keji/466099.html