一、实测,一键Ghost暗含猫腻
为了了解一键Ghost在为我们提供了极其简便的安装方式之外,还带来了什么,我们特意对目前网络上流行的几款提供了PE环境下进行备份、恢复系统的一键Ghost工具进行了测试,这些工具包括:大白菜U盘启动制作工具V5.1 uefi启动版、老毛桃装机版20140501、电脑店超级U盘启动盘制作工具V6.2装机版、通用pe工具箱V6.1版、天意U盘系统2015元宵版、微PE工具箱1.0。
1.测试方法
先到http://msdn.itellyou.cn/下载原版Windows 8.1 64位操作系统的安装ISO文件(如图1),用UltraISO将其刻录成光盘后格式化C分区进行全新安装。安装完成,安装官方硬件驱动,但不安装任何软件并进行任何设置,浏览器主页为默认设置,然后在DOS环境下启动Norton GHOST进行系统备份,这样一来,一个纯净的GHOST备份文件诞生了。
接着,用上述测试工具进入PE系统,使用刚才备份的Gho文件及工具自身提供的一键Ghost工具对系统进行恢复,最后看它究竟对系统做了什么手脚。
2.测试结果
经过漫长及繁复的还原过程,最终测试结果出来,具体情况见下表:
| 参评工具 | 是否修改浏览器主页 | 是否安装软件 | 其他 |
| 大白菜 | 修改主页 | 安装360系列 | 暂无发现 |
| 老毛桃 | 修改主页 | 安装360系列 | 暂无发现 |
| 电脑店 | 修改主页 | 安装360及火绒 | 暂无发现 |
| 通用 | 修改主页 | 暂无发现 | 桌面添加Hao123网页快捷方式 |
| 天意 | 暂无发现 | 暂无发现 | 暂无发现 |
| 微PE | 暂无发现 | 暂无发现 | 暂无发现 |
从中我们可以发现,几款工具中除了天意和微PE表现较好,基本保持了纯净GHO系统的原貌外,其他几款工具都在还原过程对系统做了手脚,而修改浏览器主页和偷偷安装360系列工具几乎是通用作法(如图2),显然,这当中是有极大的利益关系的,工具开发者可以通过这些看似流氓的作法获得一定的经济报酬。不过,目前的问题是,这些工具究竟是通过什么手段,达到肆意践踏用户系统目的的呢?
3.揭秘,Ghost如何践踏了我们的家园
经过一番对比、摸索,笔者终于发现了其中的猫腻。
首先说大白菜、老毛桃、电脑店这三个PE系统,它们的窜改原理基本相同,都是在系统恢复完毕,在Windows的开始菜单启动项中添加一个后缀名为VBS的文件(如图3),然后再在Windows目录下创建一个可执行文件及一个包含有文件的目录,其中目录中保存的就是要偷偷安装的软件包,而“*.vbs”的作用则是修改用户的浏览器主页,同时执行目录中保存的软件安装包,最终达到静默安装软件的目的。值得一提的是,三款PE系统都会在软件安装完毕,并在完成浏览器主页的修改工作后,自动销毁VBS文件及上面提到的流氓目录,以防被杀毒工具发现。
然后说通用PE系统,和前三款工具的偷偷摸摸相比,通用PE的作法更加流氓,它会在系统安装完毕,直接重命名Windows目录下的Explorer.exe文件,然后自行创建一个同名文件(如图4),这样,当用户第一次进入刚恢复的系统并在进入桌面前,该文件就会被自动执行,接着修改浏览器主页,在桌面添加HAO123快捷方式,最后再把自己销毁并恢复原Explorer.exe文件。在恢复原Explorer.exe文件时,如果不幸过程出错或用户事先发现,直接删除了被窜改的Explorer.exe文件,将导致无法进入桌面,需要再次重装系统才能解决。
二、醒悟,要想纯净还需自己动手
限于水平和时间,上面我们只是检测到了几款工具对浏览器和软件的修改情况,尽管这些修改,后期都能通过重新设置主页或删除不需要的软件来解决,但如果考虑得再细致一些,如果这些PE工具在这些显而易见的窜改之外,又隐藏着其他一些动作(比如:保留系统后门以便对用户PC进行控制),我们该怎样来处理?所以目前最安全的办法,莫过于自己动手,完成系统的备份及还原工作。
1. 利用Norton GHOST实现本机备份与还原
无论是白菜、老毛桃和电脑店,它们使用的备份和还原工具的其实都是Norton GHOST,只是为了方便小菜用户使用,他们在原软件的基础上,增加了更加直观的界面和一些更加便于操作的功能而已。在这些功能之中,软件作者悄悄植入了可修改主页并安装软件的隐藏选项。因此,如果我们能稍微勤快一点,利用上述PE系统内置的Norton GHOST软件,在DOS系统下手工备份和还原系统,则能最大程度地保证系统的纯净。
以使用大白菜中提供的Norton GHOST软件进行备份及还原为例。
第一步:用PE光盘或U盘引导系统,在出现如图5所示的功能选择界面时,选择“运行MaxDos工具箱增强菜单”,进入相应的菜单,选择“MaxDos 9.3工具箱增强版C”。
第二步:按下“↑”或“↓”,在出现的菜单中选择“备份/还原系统”,回车后,进入“MaxDOS一键备份/恢复菜单”,选择“3.GHOST手动操作”项(如图6),进入Symantec Ghost界面,单击OK按钮,进入程序主界面。
第三步:在菜单中依次选择“Local/Partition/To Image”(如图7),然后在接下来的界面中选择要备份的硬盘(有多个硬盘的话请核对选择,一般来说,通过查看Model列中的硬盘型号和Size列中的硬盘容量,可以确定要备份系统究竟在哪个硬盘中),选择完毕,单击OK按钮。
第四步:选择要备份的分区及备份文件的保存目录,然后在如图8所示的界面中选择好要采用的压缩方式: No,不压缩;Fast,一般压缩;High,高压缩,一般来说,压缩率越高,备份系统及以后还原系统的速度越慢,同时备份文件出差错的机率越大,所以如果磁盘空间足够的话,建议直接单击No按钮,即不压缩。选择完毕,程序将开始备份系统,备份所用的时间取决于PC配置、系统分区的大小及当前所安装软件的多寡。
第五步:系统备份完毕,以后在出现文件时,我们就可以利用它来恢复了,恢复的方法与备份类似,首先进入如图7所示的界面,依次选择菜单“Local/Partition/From Image”,然后按提示选择好要恢复的硬盘、分区及要使用的备份文件即可。
2. 更上层楼打造万能恢复文件
上述方法打造的系统备份,仅适用于本机,那么,我们是否有办法打造一个可以在不同PC中都能用的备份文件?答案是肯定的。
第一步:首先在某P