操作系统变得缓慢不堪了?出现各种莫名其妙的故障了?中毒了?为了解决这些故障,许多人都会祭起重装系统大法来重新安装一个全新的系统,对付系统软件故障,这种作法通常都很有效。
图1 GHOST备份恢复你会么
现在安装操作系统比起以前可谓简单了不少,借助一个系统安装盘或者是PE系统,菜鸟也能轻轻松松的完成系统的安装操作,再简单一些的话,直接使用GHOST系统,直接还原定制版系统,真是轻松愉快。现在还出现了许多傻瓜式的GHOST备份恢复工具,让这个操作变得更加的简单,可是不少这类工具都带有猫腻,你又知道么?
图2 傻瓜式GHOST工具
以前是怎样安装系统的呢?首先,你得要有个启动盘(软盘或光驱),引导系统进入DOS环境,然后使用DOS命令格式化C盘,然后再进入Windows安装目录,然后再根据系统版本来执行安装程序才能进行系统的安装操作,重装系统是个技术活。
图3 DOS环境你会用么
现在安装系统可容易许多,用户可以直接借助系统安装盘(光盘或者用安装镜像文件打造的U盘安装盘)就可以引导电脑启动,然后根据提示就可一步一步的进行系统的安装。而DOS下的安装方式早已经被淘汰,取而代之的是Windows PE系统,这种图形化的操作界面,让一切简单了不少。
Windows PE(Windows Preinstallation Environment),Windows预安装环境,是带有有限服务的最小Win32子系统,基于以保护模式运行的Windows XP Professional及以上内核。它包括运行Windows安装程序及脚本、连接网络共享、自动化基本过程以及执行硬件验证所需的最小功能。简单的来说它就是一个简化版的Windows。
图4 PE系统你用过没
Windows PE最大的特点就是可以引导电脑启动,并进入图形化的操作界面,而且可以被安装到光盘或移动存储器中(如U盘)。鉴于它的便携性,现在许多技术人员都在U盘中安装有PE系统,并在PE系统中安装有多种应急工具,比如GHOST,比如DiskGenius,比如数据恢复软件,比如密码破解软件,比如杀毒软件等等,用它还维护或安装系统,当成临时的Windows系统使用。
而市面上也有着许多知名的网友DIY版PE系统,如深山红叶、大白菜、通用PE、老毛桃等等。普通网友把它们下载回来,然后安装入U盘,就可轻松获得一个U盘 PE系统,进而用来重装、备份、修复操作系统。而大多数网友用PE系统拿来干嘛?拿来备份恢复系统呗。
图5 深山红叶你还记得么
可是不知道什么时候开始,论坛里就有不少网友求助,大体内容是使用这些网友DIY版的PE系统来进行系统恢复操作后,IE浏览器主页竟然莫名其妙的被修改为其它网址了,而且还被自动安装上了其它软件,究竟是怎么一回事呢?到底有没有这么一回事呢?咱现在就来实际的测试一番。
我们选取了目前市面上较为流行的几款PE系统,让我们来实际测试一下,看看使用它们的傻瓜式GHOST备份恢复工具来恢复GHOST系统后,会不会流氓的修改用户浏览器主页及安装附加软件。
测试环境及操作
笔者先用DOS安装方式安装一个纯净版的Windows XP系统,安装文件为官方ios解压后文件,没有经过任何的修改,没有安装其它软件(驱动为原版驱动),主页为默认设置。然后再在DOS环境下启动Norton GHOST来进行GHOST备份,获得纯净的Gho备份文件,接着再进行测试。
测试时使用各个PE系统来恢复事先备份的GHOST系统,然后再查看浏览器主页有无被更改。测试完毕返回DOS下,再用Norton GHOST来恢复纯净的GHOST系统,然后再进行下一个PE的测试。
图6 Norton GHOST
这里再说一下,NORTON GHOST虽好,可是操作却稍显复杂,而且是因为界面,一不小心就会误操作,导致整个硬盘的数据资料灰飞烟灭。于是乎,有网友制作了傻瓜式的GHOST工具,用户只需要选好GHOST 文件所在路径(有些工具甚至自动扫描硬盘里的Gho文件),还有恢复到哪个分区(默认C盘),点击恢复按钮,就可自动启动GHOST执行相关操作,方便快捷。
参评PE系统列队
好吧,测试正式开始,我们选取了大白菜U盘启动制作工具V5.1 uefi启动版;老毛桃装机版20140501;电脑店超级U盘启动盘制作工具V6.2装机版;通用pe工具箱V6.1版;天意U盘系统2015元宵版;微PE工具箱1.0。这几个比较流行的网友DIY版PE系统进行测试,下载皆用官网下载的安装文件。
其实,这其中有几款经典的网友DIY版PE系统,或许早已不是之前的原作者在开发,想要经典的,都不知道去哪寻找了。
制作U盘启动PE有奥妙
使用老毛桃制作U盘PE系统比较的简单,基本上一键即可轻松制作,支持多种启动模式选择,支持个性化设置,别小看这个个性化设置,里边还隐藏着一些奥妙,为了测试的需要,我们采用默认设置进行PE系统的制作(以下同)。
图7 老毛桃PE系统制作界面
大白菜制作U盘PE系统同样简单,还是一键即可搞定,也支持多种启动模式选择,支持个性化设置,个性化设置里同样隐藏着一些东东。
图8 大白菜PE系统制作界面
电脑店制作U盘PE系统与上边的两个类似,也在个性化设置里隐藏有东西。
图9 电脑店PE系统制作界面
天意制作U盘系统也很简单,同样支持多种启动模式选择,但不支持个性化设置。是它的提示却有点问题,那就是在制作过程中提示“正在整理UD分区”,接着提示“已经成功创建启动分区,建议您将您的磁盘设备安全弹出后再插入继续操作。”
按照提示,笔者是这么理解的“刚刚只是创建了启动分区,接下来把U盘弹出后再插入,接着完成PE系统的写入操作”。其实已经不用继续操作了,PE系统已经制作完成了的。
好吧,就这个提示让笔者重复了几次操作,作者能直接提示“制作完成”不好么?
图10 天意PE系统制作界面
图11 显示正在整理UD分区
图12 有点坑的提示
微PE的兼容性有待提高,制作时要不提示某个程序已经停止运行,要不找不到U盘,最后在其主页找到解决方法,那就是需要启动Windows兼容模式。同样有多种启动模式选择,不支持个性化设置。
图13 微PE系统制作界面
图14 启动兼容模式才能识别U盘
通用PE制作U盘PE系统同样简单,还是一键即可搞定,也支持多种启动模式选择,不支持个性化设置。
图15 通用PE系统制作界面
PE界面及傻瓜式系统恢复工具
老毛桃为用户提供了傻瓜式的系统安装、备份、恢复工具,支持wim、iso及Gho格式文件,支持系统的安装,而GHOST则支持自动扫描用户硬盘里的Gho文件,用户只需要确认恢复到的分区,就可轻松恢复GHOST系统。高级选项里隐藏着赞助商主页。
图16 老毛桃PE系统桌面及傻瓜式GHOST备份恢复工具
大白菜为用户提供了傻瓜式的系统安装、备份、恢复工具,支持wim、iso及Gho格式文件,支持系统的安装,而GHOST则支持自动扫描用户硬盘里的Gho文件,用户只需要确认恢复到的分区,就可轻松恢复GHOST系统。高级选项里隐藏着赞助商主页。
图17 大白菜PE系统桌面及傻瓜式GHOST备份恢复工具
电脑店为用户提供了傻瓜式的系统安装、备份、恢复工具,支持wim、iso及Gho格式文件,支持系统的安装,而GHOST则支持自动扫描用户硬盘里的Gho文件,用户只需要确认恢复到的分区,就可轻松恢复GHOST系统。高级选项里隐藏着赞助商主页。
图18 电脑店PE系统桌面及傻瓜式GHOST备份恢复工具
大家可以看到,以上三个PE系统显得非常的相似,相似的让笔者怀疑是不是出自同一作者之手。
天意PE同样为用户提供了傻瓜式的GHOST备份恢复工具,不过是采用了另一种工具,在启动时,用户可以选择一键恢复或手动操作。自动恢复工具支持自动备份或还原系统。
图19 天意PE及GHOST备份恢复工具
通用PE工具箱为用户提供的是“智能快速装机”工具,为用户提供了傻瓜式的系统安装、备份、恢复工具,支持wim、iso及Gho格式文件,支持系统的安装,而GHOST则支持自动扫描用户硬盘里的Gho文件,用户只需要确认恢复到的分区,就可轻松恢复GHOST系统。高级选项里没有相关取消赞助商的选项,甚至还有另两个软件的安装选项。
图20 通用PE工具箱及智能快速装机
微PE直接为用户提供了GHOST一键备份还原工具,为用户提供了傻瓜式的GHOST备份还原操作,用户只需要确认恢复到的分区,就可轻松恢复GHOST系统。
图21 微PE及GHOST一键备份还原工具
实测网友DIY版PE系统是否流氓
接下来我们进入本次测试的重头戏,一起来看看使用这些PE系统内置的傻瓜式GHOST工具来恢复事先制作好的纯净Windows XP GHOST备份文件,然后观察恢复后的Windows XP系统会有怎么样的情况发生。
图22 纯净版XP桌面
图23 纯净版XP启动项
测试结果列表
参评PE
是否修改主页
是否安装软件
其它情况
大白菜
修改主页
安装360系列
暂无发现
老毛桃
修改主页
安装360系列
暂无发现
电脑店
修改主页
安装360及火绒
暂无发现
通用
修改主页
暂无发现
桌面添加
天意
暂无发现
暂无发现
暂无发现
微PE
暂无发现
暂无发现
暂无发现
图24 大白菜在开始菜单启动项添加的VBS文件及其内容
图25 大白菜PE恢复系统后自动安装360系列软件
图26 大白菜PE恢复系统后修改浏览器主页
图27 老毛桃在开始菜单启动项添加的VBS文件及其内容
图28 老毛桃PE恢复系统后自动安装360系列软件
图29 老毛桃PE恢复系统后修改浏览器主页
图30 电脑店在开始菜单启动项添加的VBS文件及其内容
图31 电脑店PE恢复系统后自动安装360系列软件
图32 电脑店PE恢复系统后修改浏览器主页
图33 通用PE在Windows目录下替换和增加的文件
图34 通用PE恢复系统后修改浏览器主页
图35 天意PE恢复系统后暂无发现修改
图36 微PE恢复系统后暂无发现修改
揭秘它们是怎么样搞小动作的
既然傻瓜化GHOST备份恢复软件无论是备份还是恢复系统,最终都还是采用NORTON GHOST软件来完成操作的,而GHOST的原理可以理解为先把目标分区格式化后在恢复系统,那么,它们是如何完成恢复系统后修改操作系统的浏览器主页及进行软件的安装操作的呢?
大白菜、老毛桃、电脑店这三个PE系统都是采用相同的修改原理,当用户使用它们的傻瓜式GHOST工具来恢复系统时,当恢复系统完毕后,自动在用户被恢复好的Windows的开始菜单启动项中添加一个采用随机名称的“*.vbs”文件,然后再在Windows目录下创建一个可执行文件(该文件笔者估计作用为启动另一文件及修改浏览器主页)及一个目录,该目录下有个文件(该文件笔者估计就是所安装软件的打包文件)。
我们以大白菜PE系统为例。
我们使用大白菜PE自带的“智能快速装机”工具对之前准备好的纯净版WindowsXP系统Gho文件进行系统恢复操作后,先不退出PE系统,直接查看刚刚被恢复的Windows 系统目录,来看看被添加的一些文件。
图37 大白菜所添加的几个文件
图38 大白菜在启动项添加的vbs文件及其内容
等开机进行完浏览器主页的修改及软件的安装后,这些文件会进行自动销毁操作,为何要自毁呢?不自毁不行啊,会给杀毒软件给查出来的。
图39 相关文件被NOD32以病毒查杀
既然它们在恢复系统后,会偷偷的往被恢复的系统中添加一些文件,那么这些文件到底是干什么的呢?
首先是添加到开始菜单启动项的VBS文件,它的作用很简单,那就是在系统启动后,自动运行位于Windows目录下的指定可执行文件。
而添加到Windows目录下的可执行文件作用则是被执行后进行修改浏览器主页及启动软件安装,当然不排除还有其它小动作。
图40Total Uninstall监控结果
Windows目录下增加的一个目录及里边的文件则应该是软件包。
使用通用PE系统的“智能快速装机”工具对之前准备好的纯净版WindowsXP进行系统恢复操作后,笔者没有在开始菜单启动项中找到VBS文件,难道它是干净的?可是为何重启进入系统后,浏览器主页会被更改呢?而且在桌面上多了个Hao123的快捷方式呢?
通用PE系统用了另一个更加流氓且恶劣的修改方式。
为何说它恶劣呢?因为它采用的是替换Explorer这个系统文件的方式,操作时,先将原系统位于Windows目录下的Explorer.exe这个系统文件进行隐藏,然后创建一个Explorer.exe程序,该程序正是用于修改浏览器主页的程序。
在用户第一次进入刚刚恢复的系统时,在进入桌面之前,Explorer.exe文件会被自动执行,接着修改浏览器主页,在桌面添加HAO123快捷方式,后再把自己销毁,接着把原Explorer.exe文件进行恢复,再执行Explorer.exe以便系统的正常启动。如果其中的过程出错或者用户事先删除被篡改的Explorer.exe文件,将导致无法进入桌面。
图41 被替换及增加的文件
图42 Total Uninstall监控结果
那么,在这些PE系统中使用手动GHOST,会不会出现以上的情况呢?经过笔者的测试所知,采用手动操作的GHOST恢复系统操作后,不会有修改浏览器主页及安装软件的现象,基本可以确定流氓行为都在“智能快速装机”工具。但笔者不保证以后PE系统会更加疯狂的在PE系统启动后或者关机前进行相关的流氓操作。手动GHOST步骤请参考文末。
如何避免
如何避免恢复系统后被修改浏览器主页及自动安装软件的情况发生呢?最好的方法当然是进入PE系统后手动进行GHOST的备份还原操作。真的要使用它们自带的傻瓜式系统恢复工具时,需要仔细进行设置。
我们以老毛桃为例,首先在制作过程前,我们需要在“个性设置”中,取消老毛桃赞助商的两个选项,其中取消修改主页选项还需花费一些功夫。
图43 个性化设置
图44 取消的前提是需要为它宣传
图45 取消“绿色”软件
其次,就是在进入PE系统后,使用它们的傻瓜式系统备份恢复工具时,进入高级选项,查看有无相关的设置。
图46 高级选项中隐藏有奥妙
对于类似于大白菜PE这样的往被恢复系统的开始菜单启动项添加VBS文件的陷阱来说,用户只需要在恢复完系统后,先不要重启电脑,就在PE系统中进入相关目录删除该VBS文件即可断掉它自启动的源头。而对于通用PE这种替换系统文件的陷阱来说,你可不能单纯的把被替换的Explorer文件删除,还得在Gho文件中找到原Explorer进行恢复操作,否开机后则将无法进入桌面。
总结
从上边的测试结果可以看到,参评的几款较多用户使用的网友DIY版PE系统,大多都在其傻瓜式系统备份恢复工具中做了手脚,用户一不小心,没有取消相关的选项,就会导致恢复好的Windows被修改浏览器主页及安装N个软件的情况。这些比较知名的网友DIY PE尚且如此,那些被恶意修改的PE,则更加可能还有更加恶劣的地方。
确需要使用相关的软件,须在制作PE时取消相关的赞助商选项。而最好的方法就是进入PE系统后手动进行GHOST备份恢复操作。当然,一个比较纯净的PE系统,如测试中尚未发现修改现象的天意及微PE也是一个好的选择。
有网友会说,那直接用网友DIY的GHOST系统好了。可是这些GHOST系统安装的软件和流氓行为可能更多。想要纯净版的,还是老老实实的去msdn i tell you下载原版的系统光盘镜像来安装吧。
最后,纪念一下我那为了测试而光荣牺牲的U盘。还有硬盘也挺可怜的,3天时间承受了30多次的系统GHOST恢复操作。
附:手动GHOST步骤 操作有风险,操作需谨慎,步骤选项错误将导致整个硬盘或者相关分区数据文件丢失。
GHOST备份系统教程:
图 Local→Partition→To Image(千万不要选DISK)
图 选择需要备份的硬盘
图 选择需要备份的硬盘分区
图 选择Gho备份文件存放位置
图 选择压缩方式(压缩越大速度越慢)
GHOST恢复系统教程:
图 Local→Partition→From Image(千万不要选DISK)
图 选择Gho文件所在位置
图 选择需要恢复的备份分区指备份文件里的(通常默认即可)
图 选择需要恢复到的硬盘
图 选择需要恢复到的分区
图 确认恢复操作将清除目标分区的一切数据