|
通用PE工具箱为用户提供的是“智能快速装机”工具,为用户提供了傻瓜式的系统安装、备份、恢复工具,支持wim、iso及Gho格式文件,支持系统 的安装,而GHOST则支持自动扫描用户硬盘里的Gho文件,用户只需要确认恢复到的分区,就可轻松恢复GHOST系统。高级选项里没有相关取消赞助商的 选项,甚至还有另两个软件的安装选项。
图20 通用PE工具箱及智能快速装机 微PE直接为用户提供了GHOST一键备份还原工具,为用户提供了傻瓜式的GHOST备份还原操作,用户只需要确认恢复到的分区,就可轻松恢复GHOST系统。
图21 微PE及GHOST一键备份还原工具 实测网友DIY版PE系统是否流氓 接下来我们进入本次测试的重头戏,一起来看看使用这些PE系统内置的傻瓜式GHOST工具来恢复事先制作好的纯净Windows XP GHOST备份文件,然后观察恢复后的Windows XP系统会有怎么样的情况发生。
图22 纯净版XP桌面
图23 纯净版XP启动项 测试结果列表 参评PE 是否修改主页 是否安装软件 其它情况 大白菜 修改主页 安装360系列 暂无发现 老毛桃 修改主页 安装360系列 暂无发现 电脑店 修改主页 安装360及火绒 暂无发现 通用 修改主页 暂无发现 桌面添加 天意 暂无发现 暂无发现 暂无发现 微PE 暂无发现 暂无发现 暂无发现 U盘装机助理 暂无发现 暂无发现 暂无发现 U盘魔术师 暂无发现 暂无发现 暂无发现
图24 大白菜在开始菜单启动项添加的VBS文件及其内容
图25 大白菜PE恢复系统后自动安装360系列软件
图26 大白菜PE恢复系统后修改浏览器主页
图27 老毛桃在开始菜单启动项添加的VBS文件及其内容
图28 老毛桃PE恢复系统后自动安装360系列软件
图29 老毛桃PE恢复系统后修改浏览器主页
图30 电脑店在开始菜单启动项添加的VBS文件及其内容
图31 电脑店PE恢复系统后自动安装360系列软件
图32 电脑店PE恢复系统后修改浏览器主页
图33 通用PE在Windows目录下替换和增加的文件
图34 通用PE恢复系统后修改浏览器主页
图35 天意PE恢复系统后暂无发现修改
图36 微PE恢复系统后暂无发现修改 揭秘它们是怎么样搞小动作的 既然傻瓜化GHOST备份恢复软件无论是备份还是恢复系统,最终都还是采用NORTON GHOST软件来完成操作的,而GHOST的原理可以理解为先把目标分区格式化后在恢复系统,那么,它们是如何完成恢复系统后修改操作系统的浏览器主页及 进行软件的安装操作的呢? 大白菜、老毛桃、电脑店这三个PE系统都是采用相同的修改原理,当用户使用它们的傻瓜式GHOST工具来恢复系统时,当恢复系统完毕后,自动在用户被 恢复好的Windows的开始菜单启动项中添加一个采用随机名称的“*.vbs”文件,然后再在Windows目录下创建一个可执行文件(该文件笔者估计 作用为启动另一文件及修改浏览器主页)及一个目录,该目录下有个文件(该文件笔者估计就是所安装软件的打包文件)。 我们以大白菜PE系统为例。 我们使用大白菜PE自带的“智能快速装机”工具对之前准备好的纯净版WindowsXP系统Gho文件进行系统恢复操作后,先不退出PE系统,直接查看刚刚被恢复的Windows 系统目录,来看看被添加的一些文件。
图37 大白菜所添加的几个文件
图38 大白菜在启动项添加的vbs文件及其内容 等开机进行完浏览器主页的修改及软件的安装后,这些文件会进行自动销毁操作,为何要自毁呢?不自毁不行啊,会给杀毒软件给查出来的。
图39 相关文件被NOD32以病毒查杀 既然它们在恢复系统后,会偷偷的往被恢复的系统中添加一些文件,那么这些文件到底是干什么的呢? 首先是添加到开始菜单启动项的VBS文件,它的作用很简单,那就是在系统启动后,自动运行位于Windows目录下的指定可执行文件。 而添加到Windows目录下的可执行文件作用则是被执行后进行修改浏览器主页及启动软件安装,当然不排除还有其它小动作。
图40Total Uninstall监控结果 Windows目录下增加的一个目录及里边的文件则应该是软件包。 使用通用PE系统的“智能快速装机”工具对之前准备好的纯净版WindowsXP进行系统恢复操作后,笔者没有在开始菜单启动项中找到VBS文件,难道它是干净的?可是为何重启进入系统后,浏览器主页会被更改呢?而且在桌面上多了个Hao123的快捷方式呢? 通用PE系统用了另一个更加流氓且恶劣的修改方式。 为何说它恶劣呢?因为它采用的是替换Explorer这个系统文件的方式,操作时,先将原系统位于Windows目录下的Explorer.exe这个系统文件进行隐藏,然后创建一个Explorer.exe程序,该程序正是用于修改浏览器主页的程序。 在用户第一次进入刚刚恢复的系统时,在进入桌面之前,Explorer.exe文件会被自动执行,接着修改浏览器主页,在桌面添加HAO123快捷方 式,后再把自己销毁,接着把原Explorer.exe文件进行恢复,再执行Explorer.exe以便系统的正常启动。如果其中的过程出错或者用户事 先删除被篡改的Explorer.exe文件,将导致无法进入桌面。
图41 被替换及增加的文件
图42 Total Uninstall监控结果 那么,在这些PE系统中使用手动GHOST,会不会出现以上的情况呢?经过笔者的测试所知,采用手动操作的GHOST恢复系统操作后,不会有修改浏览 器主页及安装软件的现象,基本可以确定流氓行为都在“智能快速装机”工具。但笔者不保证以后PE系统会更加疯狂的在PE系统启动后或者关机前进行相关的流 氓操作。手动GHOST步骤请参考文末。 如何避免 如何避免恢复系统后被修改浏览器主页及自动安装软件的情况发生呢?最好的方法当然是进入PE系统后手动进行GHOST的备份还原操作。真的要使用它们自带的傻瓜式系统恢复工具时,需要仔细进行设置。 我们以老毛桃为例,首先在制作过程前,我们需要在“个性设置”中,取消老毛桃赞助商的两个选项,其中取消修改主页选项还需花费一些功夫。
图43 个性化设置
图44 取消的前提是需要为它宣传
图45 取消“绿色”软件 其次,就是在进入PE系统后,使用它们的傻瓜式系统备份恢复工具时,进入高级选项,查看有无相关的设置。
图46 高级选项中隐藏有奥妙 对于类似于大白菜PE这样的往被恢复系统的开始菜单启动项添加VBS文件的陷阱来说,用户只需要在恢复完系统后,先不要重启电脑,就在PE系统中进入 相关目录删除该VBS文件即可断掉它自启动的源头。而对于通用PE这种替换系统文件的陷阱来说,你可不能单纯的把被替换的Explorer文件删除,还得 在Gho文件中找到原Explorer进行恢复操作,否开机后则将无法进入桌面。 总结 从上边的测试结果可以看到,参评的几款较多用户使用的网友DIY版PE系统,大多都在其傻瓜式系统备份恢复工具中做了手脚,用户一不小心,没有取消相关的选项,就会导致恢复好的Windows被修改浏览器主页及安装N个软件的情况。这些比较知名的网友DIY PE尚且如此,那些被恶意修改的PE,则更加可能还有更加恶劣的地方。 但既然是免费软件,那么人家也要生存,所以有商业行为也很能理解了,用户可以自行选择是否使用。 确需要使用相关的软件,须在制作PE时取消相关的赞助商选项。而最好的方法就是进入PE系统后手动进行GHOST备份恢复操作。当然,一个比较纯净的PE系统,如测试中尚未发现修改现象的天意及微PE,装机助理也是一个好的选择。 有网友会说,那直接用网友DIY的GHOST系统好了。可是这些GHOST系统安装的软件和流氓行为可能更多。想要纯净版的,还是老老实实的去msdn i tell you下载原版的系统光盘镜像来安装吧。 |
|
|
