揭谜一键Ghost的“恶”事 大白菜、老毛桃、通用

一、实测，一键Ghost暗含猫腻

为了了解一键Ghost在为我们提供了极其简便的安装方式之外，还带来了什么，我们特意对目前网络上流行的几款提供了PE环境下进行备份、恢复系统的一键Ghost工具进行了测试，这些工具包括大白菜U盘启动制作工具V5.1 uefi启动版、老毛桃装机版20140501、电脑店超级U盘启动盘制作工具V6.2装机版、通用pe工具箱V6.1版、天意U盘系统2015元宵版、微PE工具箱1.0。

1.测试方法

先到http://msdn.itellyou./下载原版Windows 8.1 64位操作系统的安装ISO文件（如图1），用UltraISO将其刻录成光盘后格式化C分区进行全新安装。安装完成，安装官方硬件驱动，但不安装任何软件并进行任何设置，浏览器主页为默认设置，然后在DOS环境下启动Norton GHOST进行系统备份，这样一来，一个纯净的GHOST备份文件诞生了。

接着，用上述测试工具进入PE系统，使用刚才备份的Gho文件及工具自身提供的一键Ghost工具对系统进行恢复，看它究竟对系统做了什么手脚。

2.测试结果

经过漫长及繁复的还原过程，最终测试结果出来，具体情况见下表

从中我们可以发现，几款工具中除了天意和微PE表现较好，基本保持了纯净GHO系统的原貌外，其他几款工具都在还原过程对系统做了手脚，而修改浏览器主页和偷偷安装360系列工具几乎是通用作法（如图2），显然，这当中是有极大的利益关系的，工具开发者可以通过这些看似流氓的作法获得一定的经济报酬。不过，目前的问题是，这些工具究竟是通过什么手段，达到肆意践踏用户系统目的的呢？

3.，Ghost如何践踏了我们的家园

经过一番对比、摸索，笔者终于发现了其中的猫腻。

说大白菜、老毛桃、电脑店这三个PE系统，它们的窜改原理基本相同，都是在系统恢复完毕，在Windows的开始菜单启动项中添加一个后缀名为VBS的文件（如图3），然后再在Windows目录下创建一个可执行文件及一个包含有文件的目录，其中目录中保存的就是要偷偷安装的软件包，而“.vbs”的作用则是修改用户的浏览器主页，执行目录中保存的软件安装包，最终达到静默安装软件的目的。值得一提的是，三款PE系统都会在软件安装完毕，并在完成浏览器主页的修改工作后，自动销毁VBS文件及上面提到的流氓目录，以防被杀毒工具发现。

然后说通用PE系统，和前三款工具的偷偷摸摸相比，通用PE的作法更加流氓，它会在系统安装完毕，直接重命名Windows目录下的Explorer.exe文件，然后自行创建一个同名文件（如图4），这样，当用户第一次进入刚恢复的系统并在进入桌面前，该文件就会被自动执行，接着修改浏览器主页，在桌面添加HAO123快捷方式，再把自己销毁并恢复原Explorer.exe文件。在恢复原Explorer.exe文件时，如果不幸过程出错或用户事先发现，直接删除了被窜改的Explorer.exe文件，将导致无法进入桌面，需要重装系统才能解决。

二、醒悟，要想纯净还需自己动手

限于水平和时间，上面我们只是检测到了几款工具对浏览器和软件的修改情况，尽管这些修改，后期都能通过重新设置主页或删除不需要的软件来解决，但如果考虑得再细致一些，如果这些PE工具在这些显而易见的窜改之外，又隐藏着其他一些动作（比如保留系统后门以便对用户PC进行控制），我们该怎样来处理？所以目前最安全的办法，莫过于自己动手，完成系统的备份及还原工作。

1. 利用Norton GHOST实现本机备份与还原

无论是白菜、老毛桃和电脑店，它们使用的备份和还原工具的其实都是Norton GHOST，只是为了方便小菜用户使用，他们在原软件的基础上，增加了更加直观的界面和一些更加便于操作的功能而已。在这些功能之中，软件作者悄悄植入了可修改主页并安装软件的隐藏选项。，如果我们能稍微勤快一点，利用上述PE系统内置的Norton GHOST软件，在DOS系统下手工备份和还原系统，则能最大程度地保证系统的纯净。

以使用大白菜中提供的Norton GHOST软件进行备份及还原为例。

第一步用PE光盘或U盘引导系统，在出现如图5所示的功能选择界面时，选择“运行MaxDos工具箱增强菜单”，进入相应的菜单，选择“MaxDos 9.3工具箱增强版C”。

第二步按下“↑”或“↓”，在出现的菜单中选择“备份/还原系统”，回车后，进入“MaxDOS一键备份/恢复菜单”，选择“3.GHOST手动操作”项（如图6），进入Symantec Ghost界面，单击OK按钮，进入程序主界面。

第三步在菜单中依次选择“Local/Partition/To Image”（如图7），然后在接下来的界面中选择要备份的硬盘（有多个硬盘的话请核对选择，，通过查看Model列中的硬盘型号和Size列中的硬盘容量，可以确定要备份系统究竟在哪个硬盘中），选择完毕，单击OK按钮。

第四步选择要备份的分区及备份文件的保存目录，然后在如图8所示的界面中选择好要采用的压缩方式 No，不压缩；Fast，一般压缩；High，高压缩，，压缩率越高，备份系统及以后还原系统的速度越慢，备份文件出差错的机率越大，所以如果磁盘空间足够的话，建议直接单击No按钮，即不压缩。选择完毕，程序将开始备份系统，备份所用的时间取决于PC配置、系统分区的大小及当前所安装软件的多寡。

第五步系统备份完毕，以后在出现文件时，我们就可以利用它来恢复了，恢复的方法与备份类似，进入如图7所示的界面，依次选择菜单“Local/Partition/From Image”，然后按提示选择好要恢复的硬盘、分区及要使用的备份文件即可。

2. 更上层楼打造万能恢复文件

上述方法打造的系统备份，仅适用于本机，那么，我们是否有办法打造一个可以在不同PC中都能用的备份文件？答案是肯定的。

第一步在某PC中全新安装原版Windows系统，安装完毕，安装常用软件到系统分区（注意由于可用系统分区的可用空间变小会影响系统的运行速度，所以建议只安装WinRAR和Office等必用的软件）。

第二步卸载硬件驱动。在“控制面板”中选择“系统”，进入相应的界面，选择左侧的“设备管理器”项，打开同名窗口，依次卸载网络适配器、通用串行总线控制器、声卡、视频游戏控制器、监视器和显卡等的驱动，卸载方法为右击要卸载驱动的设备，在弹出的右键菜单中选择“卸载”（如图9）。卸载的时候要注意，顺序一定要按照上面所说的进行。

Tips

卸载驱动的过程中，屏幕上会出现要求安装驱动的提示，千万不要安装。

第三步更改IDE ATA/ATAPI控制器为“标准SATA AHCI控制器”，这一步是打造万能Ghost关键，如果这一步没做，则Gho文件还原到别的机器里根本无法启动，具体表现为PC不断地重启。更改的方法为，在“设备管理器”窗口的“IDE ATA/ATAPI控制器”项下右击当前正在使用的设备，在弹出的右键菜单中选择“更新驱动程序软件”，打开相应的对话框。选择“浏览计算机以查找驱动程序软件”，然后在出现的对话框中选择“从计算机的设备驱动程序列表中选取”项，单击“下一步”按钮。在接下来的对话框列表中选择“标准SATA AHCI”，单击“下一步”按钮（如图10）。此时系统会提示重启PC。

第四步重启PC，并用上面介绍的大白菜PE等引导PC，在出现如图5所示的界面时，选择“运行MaxDos工具箱增强菜单”，然后再用上面介绍的方法，完成系统的备份工作即可。备份成功，将相应的Gho文件保存到U盘或移动硬盘中，以后，我们就可以用它来在不同的PC中进行还原操作了。