從中我們可以發(fā)現(xiàn)，幾款工具中除了天意和微PE表現(xiàn)較好，基本保持了純凈GHO系統(tǒng)的原貌外，其他幾款工具都在還原過程對系統(tǒng)做了手腳，而修改瀏覽器主頁和偷偷安裝360系列工具幾乎是通用作法（如圖2），顯然，這當中是有極大的利益關(guān)系的，工具開發(fā)者可以通過這些看似流氓的作法獲得一定的經(jīng)濟報酬。不過，目前的問題是，這些工具究竟是通過什么手段，達到肆意踐踏用戶系統(tǒng)目的的呢？

3.揭秘，Ghost如何踐踏了我們的家園

經(jīng)過一番對比、摸索，筆者終于發(fā)現(xiàn)了其中的貓膩。

首先說大白菜、老毛桃、電腦店這三個PE系統(tǒng)，它們的竄改原理基本相同，都是在系統(tǒng)恢復(fù)完畢，在Windows的開始菜單啟動項中添加一個后綴名為VBS的文件（如圖3），然后再在Windows目錄下創(chuàng)建一個可執(zhí)行文件及一個包含有文件的目錄，其中目錄中保存的就是要偷偷安裝的軟件包，而“*.vbs”的作用則是修改用戶的瀏覽器主頁，同時執(zhí)行目錄中保存的軟件安裝包，最終達到靜默安裝軟件的目的。值得一提的是，三款PE系統(tǒng)都會在軟件安裝完畢，并在完成瀏覽器主頁的修改工作后，自動銷毀VBS文件及上面提到的流氓目錄，以防被殺毒工具發(fā)現(xiàn)。

然后說通用PE系統(tǒng)，和前三款工具的偷偷摸摸相比，通用PE的作法更加流氓，它會在系統(tǒng)安裝完畢，直接重命名Windows目錄下的Explorer.exe文件，然后自行創(chuàng)建一個同名文件（如圖4），這樣，當用戶第一次進入剛恢復(fù)的系統(tǒng)并在進入桌面前，該文件就會被自動執(zhí)行，接著修改瀏覽器主頁，在桌面添加HAO123快捷方式，最后再把自己銷毀并恢復(fù)原Explorer.exe文件。在恢復(fù)原Explorer.exe文件時，如果不幸過程出錯或用戶事先發(fā)現(xiàn)，直接刪除了被竄改的Explorer.exe文件，將導(dǎo)致無法進入桌面，需要再次重裝系統(tǒng)才能解決。

二、醒悟，要想純凈還需自己動手

限于水平和時間，上面我們只是檢測到了幾款工具對瀏覽器和軟件的修改情況，盡管這些修改，后期都能通過重新設(shè)置主頁或刪除不需要的軟件來解決，但如果考慮得再細致一些，如果這些PE工具在這些顯而易見的竄改之外，又隱藏著其他一些動作（比如：保留系統(tǒng)后門以便對用戶PC進行控制），我們該怎樣來處理？所以目前最安全的辦法，莫過于自己動手，完成系統(tǒng)的備份及還原工作。

1. 利用Norton GHOST實現(xiàn)本機備份與還原

無論是白菜、老毛桃和電腦店，它們使用的備份和還原工具的其實都是Norton GHOST，只是為了方便小菜用戶使用，他們在原軟件的基礎(chǔ)上，增加了更加直觀的界面和一些更加便于操作的功能而已。在這些功能之中，軟件作者悄悄植入了可修改主頁并安裝軟件的隱藏選項。因此，如果我們能稍微勤快一點，利用上述PE系統(tǒng)內(nèi)置的Norton GHOST軟件，在DOS系統(tǒng)下手工備份和還原系統(tǒng)，則能最大程度地保證系統(tǒng)的純凈。

以使用大白菜中提供的Norton GHOST軟件進行備份及還原為例。

第一步：用PE光盤或U盤引導(dǎo)系統(tǒng)，在出現(xiàn)如圖5所示的功能選擇界面時，選擇“運行MaxDos工具箱增強菜單”，進入相應(yīng)的菜單，選擇“MaxDos 9.3工具箱增強版C”。

第二步：按下“↑”或“↓”，在出現(xiàn)的菜單中選擇“備份/還原系統(tǒng)”，回車后，進入“MaxDOS一鍵備份/恢復(fù)菜單”，選擇“3.GHOST手動操作”項（如圖6），進入Symantec Ghost界面，單擊OK按鈕，進入程序主界面。

第三步：在菜單中依次選擇“Local/Partition/To Image”（如圖7），然后在接下來的界面中選擇要備份的硬盤（有多個硬盤的話請核對選擇，一般來說，通過查看Model列中的硬盤型號和Size列中的硬盤容量，可以確定要備份系統(tǒng)究竟在哪個硬盤中），選擇完畢，單擊OK按鈕。

第四步：選擇要備份的分區(qū)及備份文件的保存目錄，然后在如圖8所示的界面中選擇好要采用的壓縮方式： No，不壓縮；Fast，一般壓縮；High，高壓縮，一般來說，壓縮率越高，備份系統(tǒng)及以后還原系統(tǒng)的速度越慢，同時備份文件出差錯的機率越大，所以如果磁盤空間足夠的話，建議直接單擊No按鈕，即不壓縮。選擇完畢，程序?qū)㈤_始備份系統(tǒng)，備份所用的時間取決于PC配置、系統(tǒng)分區(qū)的大小及當前所安裝軟件的多寡。

第五步：系統(tǒng)備份完畢，以后在出現(xiàn)文件時，我們就可以利用它來恢復(fù)了，恢復(fù)的方法與備份類似，首先進入如圖7所示的界面，依次選擇菜單“Local/Partition/From Image”，然后按提示選擇好要恢復(fù)的硬盤、分區(qū)及要使用的備份文件即可。

2. 更上層樓打造萬能恢復(fù)文件

上述方法打造的系統(tǒng)備份，僅適用于本機，那么，我們是否有辦法打造一個可以在不同PC中都能用的備份文件？答案是肯定的。

第一步：首先在某PC中全新安裝原版Windows系統(tǒng)，安裝完畢，安裝常用軟件到系統(tǒng)分區(qū)（注意：由于可用系統(tǒng)分區(qū)的可用空間變小會影響系統(tǒng)的運行速度，所以建議只安裝WinRAR和Office等必用的軟件）。

第二步：卸載硬件驅(qū)動。在“控制面板”中選擇“系統(tǒng)”，進入相應(yīng)的界面，選擇左側(cè)的“設(shè)備管理器”項，打開同名窗口，依次卸載網(wǎng)絡(luò)適配器、通用串行總線控制器、聲卡、視頻游戲控制器、監(jiān)視器和顯卡等的驅(qū)動，卸載方法為：右擊要卸載驅(qū)動的設(shè)備，在彈出的右鍵菜單中選擇“卸載”（如圖9）。卸載的時候要注意，順序一定要按照上面所說的進行。

Tips：

卸載驅(qū)動的過程中，屏幕上會出現(xiàn)要求安裝驅(qū)動的提示，千萬不要安裝。

第三步：更改IDE ATA/ATAPI控制器為“標準SATA AHCI控制器”，這一步是打造萬能Ghost關(guān)鍵，如果這一步?jīng)]做，則Gho文件還原到別的機器里根本無法啟動，具體表現(xiàn)為PC不斷地重啟。更改的方法為，在“設(shè)備管理器”窗口的“IDE ATA/ATAPI控制器”項下右擊當前正在使用的設(shè)備，在彈出的右鍵菜單中選擇“更新驅(qū)動程序軟件”，打開相應(yīng)的對話框。選擇“瀏覽計算機以查找驅(qū)動程序軟件”，然后在出現(xiàn)的對話框中選擇“從計算機的設(shè)備驅(qū)動程序列表中選取”項，單擊“下一步”按鈕。在接下來的對話框列表中選擇“標準SATA AHCI”，單擊“下一步”按鈕（如圖10）。此時系統(tǒng)會提示重啟PC。

第四步：重啟PC，并用上面介紹的大白菜PE等引導(dǎo)PC，在出現(xiàn)如圖5所示的界面時，選擇“運行MaxDos工具箱增強菜單”，然后再用上面介紹的方法，完成系統(tǒng)的備份工作即可。備份成功，將相應(yīng)的Gho文件保存到U盤或移動硬盤中，以后，我們就可以用它來在不同的PC中進行還原操作了。

標簽：來賓 阜新 隨州 駐馬店 山東 菏澤 內(nèi)江 四平