揭謎一鍵Ghost的“惡”事 大白菜、老毛桃、通用都不乾淨

一、實測，一鍵Ghost暗含貓膩

為了瞭解一鍵Ghost在為我們提供了極其簡便的安裝方式之外，還帶來了什麼，我們特意對目前網路上流行的幾款提供了PE環境下進行備份、恢復系統的一鍵Ghost工具進行了測試，這些工具包括：大白菜U盤啟動製作工具V5.1 uefi啟動版、老毛桃裝機版20140501、電腦店超級U盤啟動盤製作工具V6.2裝機版、通用pe工具箱V6.1版、天意U盤系統2015元宵版、微PE工具箱1.0。

1.測試方法

先到下載原版Windows 8.1 64位作業系統的安裝ISO檔案（如圖1），用UltraISO將其刻錄成光碟後格式化C分割槽進行全新安裝。安裝完成，安裝官方硬體驅動，但不安裝任何軟體並進行任何設定，瀏覽器主頁為預設設定，然後在DOS環境下啟動Norton GHOST進行系統備份，這樣一來，一個純淨的GHOST備份檔案誕生了。

接著，用上述測試工具進入PE系統，使用剛才備份的Gho檔案及工具自身提供的一鍵Ghost工具對系統進行恢復，最後看它究竟對系統做了什麼手腳。

2.測試結果

經過漫長及繁複的還原過程，最終測試結果出來，具體情況見下表：

參評工具 是否修改瀏覽器主頁 是否安裝軟體 其他 大白菜 修改主頁 安裝360系列 暫無發現 老毛桃 修改主頁 安裝360系列 暫無發現 電腦店 修改主頁 安裝360及火絨 暫無發現 通用 修改主頁 暫無發現 桌面新增Hao123網頁快捷方式 天意 暫無發現 暫無發現 暫無發現 微PE 暫無發現 暫無發現 暫無發現

從中我們可以發現，幾款工具中除了天意和微PE表現較好，基本保持了純淨GHO系統的原貌外，其他幾款工具都在還原過程對系統做了手腳，而修改瀏覽器主頁和偷偷安裝360系列工具幾乎是通用作法（如圖2），顯然，這當中是有極大的利益關係的，工具開發者可以通過這些看似流氓的作法獲得一定的經濟報酬。不過，目前的問題是，這些工具究竟是通過什麼手段，達到肆意踐踏使用者系統目的的呢？

3.揭祕，Ghost如何踐踏了我們的家園

經過一番對比、摸索，筆者終於發現了其中的貓膩。

首先說大白菜、老毛桃、電腦店這三個PE系統，它們的竄改原理基本相同，都是在系統恢復完畢，在Windows的開始選單啟動項中新增一個字尾名為VBS的檔案（如圖3），然後再在Windows目錄下建立一個可執行檔案及一個包含有檔案的目錄，其中目錄中儲存的就是要偷偷安裝的軟體包，而“*”的作用則是修改使用者的瀏覽器主頁，同時執行目錄中儲存的軟體安裝包，最終達到靜默安裝軟體的目的。值得一提的是，三款PE系統都會在軟體安裝完畢，並在完成瀏覽器主頁的修改工作後，自動銷燬VBS檔案及上面提到的流氓目錄，以防被防毒工具發現。

然後說通用PE系統，和前三款工具的偷偷摸摸相比，通用PE的作法更加流氓，它會在系統安裝完畢，直接重新命名Windows目錄下的檔案，然後自行建立一個同名檔案（如圖4），這樣，當用戶第一次進入剛恢復的系統並在進入桌面前，該檔案就會被自動執行，接著修改瀏覽器主頁，在桌面新增HAO123快捷方式，最後再把自己銷燬並恢復原檔案。在恢復原檔案時，如果不幸過程出錯或使用者事先發現，直接刪除了被竄改的檔案，將導致無法進入桌面，需要再次重灌系統才能解決。

二、醒悟，要想純淨還需自己動手

限於水平和時間，上面我們只是檢測到了幾款工具對瀏覽器和軟體的修改情況，儘管這些修改，後期都能通過重新設定主頁或刪除不需要的軟體來解決，但如果考慮得再細緻一些，如果這些PE工具在這些顯而易見的竄改之外，又隱藏著其他一些動作（比如：保留系統後門以便對使用者PC進行控制），我們該怎樣來處理？所以目前最安全的辦法，莫過於自己動手，完成系統的備份及還原工作。

1. 利用Norton GHOST實現本機備份與還原

無論是白菜、老毛桃和電腦店，它們使用的備份和還原工具的其實都是Norton GHOST，只是為了方便小菜使用者使用，他們在原軟體的基礎上，增加了更加直觀的介面和一些更加便於操作的功能而已。在這些功能之中，軟體作者悄悄植入了可修改主頁並安裝軟體的隱藏選項。因此，如果我們能稍微勤快一點，利用上述PE系統內建的Norton GHOST軟體，在DOS系統下手工備份和還原系統，則能最大程度地保證系統的純淨。

以使用大白菜中提供的Norton GHOST軟體進行備份及還原為例。

第一步：用PE光碟或U盤引導系統，在出現如圖5所示的功能選擇介面時，選擇“執行MaxDos工具箱增強選單”，進入相應的選單，選擇“MaxDos 9.3工具箱增強版C”。

第二步：按下“↑”或“↓”，在出現的選單中選擇“備份/還原系統”，回車後，進入“MaxDOS一鍵備份/恢復選單”，選擇“T手動操作”項（如圖6），進入Symantec Ghost介面，單擊OK按鈕，進入程式主介面。

第三步：在選單中依次選擇“Local/Partition/To Image”（如圖7），然後在接下來的介面中選擇要備份的硬碟（有多個硬碟的話請核對選擇，一般來說，通過檢視Model列中的硬碟型號和Size列中的硬碟容量，可以確定要備份系統究竟在哪個硬碟中），選擇完畢，單擊OK按鈕。

第四步：選擇要備份的分割槽及備份檔案的儲存目錄，然後在如圖8所示的介面中選擇好要採用的壓縮方式： No，不壓縮；Fast，一般壓縮；High，高壓縮，一般來說，壓縮率越高，備份系統及以後還原系統的速度越慢，同時備份檔案出差錯的機率越大，所以如果磁碟空間足夠的話，建議直接單擊No按鈕，即不壓縮。選擇完畢，程式將開始備份系統，備份所用的時間取決於PC配置、系統分割槽的大小及當前所安裝軟體的多寡。

第五步：系統備份完畢，以後在出現檔案時，我們就可以利用它來恢復了，恢復的方法與備份類似，首先進入如圖7所示的介面，依次選擇選單“Local/Partition/From Image”，然後按提示選擇好要恢復的硬碟、分割槽及要使用的備份檔案即可。

2. 更上層樓打造萬能恢復檔案

上述方法打造的系統備份，僅適用於本機，那麼，我們是否有辦法打造一個可以在不同PC中都能用的備份檔案？答案是肯定的。

第一步：首先在某PC中全新安裝原版Windows系統，安裝完畢，安裝常用軟體到系統分割槽（注意：由於可用系統分割槽的可用空間變小會影響系統的執行速度，所以建議只安裝WinRAR和Office等必用的軟體）。

第二步：解除安裝硬體驅動。在“控制面板”中選擇“系統”，進入相應的介面，選擇左側的“裝置管理器”項，開啟同名視窗，依次解除安裝網路介面卡、通用序列匯流排控制器、音效卡、視訊遊戲控制器、監視器和顯示卡等的驅動，解除安裝方法為：右擊要解除安裝驅動的裝置，在彈出的右鍵選單中選擇“解除安裝”（如圖9）。解除安裝的時候要注意，順序一定要按照上面所說的進行。

Tips：

解除安裝驅動的過程中，螢幕上會出現要求安裝驅動的提示，千萬不要安裝。

第三步：更改IDE ATA/ATAPI控制器為“標準SATA AHCI控制器”，這一步是打造萬能Ghost關鍵，如果這一步沒做，則Gho檔案還原到別的機器里根本無法啟動，具體表現為PC不斷地重啟。更改的方法為，在“裝置管理器”視窗的“IDE ATA/ATAPI控制器”項下右擊當前正在使用的裝置，在彈出的右鍵選單中選擇“更新驅動程式軟體”，開啟相應的對話方塊。選擇“瀏覽計算機以查詢驅動程式軟體”，然後在出現的對話方塊中選擇“從計算機的裝置驅動程式列表中選取”項，單擊“下一步”按鈕。在接下來的對話方塊列表中選擇“標準SATA AHCI”，單擊“下一步”按鈕（如圖10）。此時系統會提示重啟PC。

第四步：重啟PC，並用上面介紹的大白菜PE等引導PC，在出現如圖5所示的介面時，選擇“執行MaxDos工具箱增強選單”，然後再用上面介紹的方法，完成系統的備份工作即可。備份成功，將相應的Gho檔案儲存到U盤或行動硬碟中，以後，我們就可以用它來在不同的PC中進行還原操作了。