一、實測，一鍵Ghost暗含貓膩

　　為了了解一鍵Ghost在為我們提供了極其簡便的安裝方式之外，還帶來了什么，我們特意對目前網絡上流行的幾款提供了PE環(huán)境下進行備份、恢復系統的一鍵Ghost工具進行了測試，這些工具包括：大白菜U盤啟動制作工具V5.1 uefi啟動版、老毛桃裝機版20140501、電腦店超級U盤啟動盤制作工具V6.2裝機版、通用pe工具箱V6.1版、天意U盤系統2015元宵版、微PE工具箱1.0。

　　1.測試方法

　　先到http://msdn.itellyou.cn/下載原版Windows 8.1 64位操作系統的安裝ISO文件(如圖1)，用UltraISO將其刻錄成光盤后格式化C分區(qū)進行全新安裝。安裝完成，安裝官方硬件驅動，但不安裝任何軟件并進行任何設置，瀏覽器主頁為默認設置，然后在DOS環(huán)境下啟動Norton GHOST進行系統備份，這樣一來，一個純凈的GHOST備份文件誕生了。

　　接著，用上述測試工具進入PE系統，使用剛才備份的Gho文件及工具自身提供的一鍵Ghost工具對系統進行恢復，最后看它究竟對系統做了什么手腳。

　　2.測試結果

　　經過漫長及繁復的還原過程，最終測試結果出來，具體情況見下表：

　　參評工具是否修改瀏覽器主頁是否安裝軟件其他

　　大白菜修改主頁安裝360系列暫無發(fā)現

　　老毛桃修改主頁安裝360系列暫無發(fā)現

　　電腦店修改主頁安裝360及火絨暫無發(fā)現

　　通用修改主頁暫無發(fā)現桌面添加Hao123網頁快捷方式

　　天意暫無發(fā)現暫無發(fā)現暫無發(fā)現

　　微PE暫無發(fā)現暫無發(fā)現暫無發(fā)現

　　從中我們可以發(fā)現，幾款工具中除了天意和微PE表現較好，基本保持了純凈GHO系統的原貌外，其他幾款工具都在還原過程對系統做了手腳，而修改瀏覽器主頁和偷偷安裝360系列工具幾乎是通用作法(如圖2)，顯然，這當中是有極大的利益關系的，工具開發(fā)者可以通過這些看似流氓的作法獲得一定的經濟報酬。不過，目前的問題是，這些工具究竟是通過什么手段，達到肆意踐踏用戶系統目的的呢?

　　3.揭秘，Ghost如何踐踏了我們的家園

　　經過一番對比、摸索，筆者終于發(fā)現了其中的貓膩。

　　首先說大白菜、老毛桃、電腦店這三個PE系統，它們的竄改原理基本相同，都是在系統恢復完畢，在Windows的開始菜單啟動項中添加一個后綴名為VBS的文件(如圖3)，然后再在Windows目錄下創(chuàng)建一個可執(zhí)行文件及一個包含有文件的目錄，其中目錄中保存的就是要偷偷安裝的軟件包，而“*.vbs”的作用則是修改用戶的瀏覽器主頁，同時執(zhí)行目錄中保存的軟件安裝包，最終達到靜默安裝軟件的目的。值得一提的是，三款PE系統都會在軟件安裝完畢，并在完成瀏覽器主頁的修改工作后，自動銷毀VBS文件及上面提到的流氓目錄，以防被殺毒工具發(fā)現。

　　然后說通用PE系統，和前三款工具的偷偷摸摸相比，通用PE的作法更加流氓，它會在系統安裝完畢，直接重命名Windows目錄下的Explorer.exe文件，然后自行創(chuàng)建一個同名文件(如圖4)，這樣，當用戶第一次進入剛恢復的系統并在進入桌面前，該文件就會被自動執(zhí)行，接著修改瀏覽器主頁，在桌面添加HAO123快捷方式，最后再把自己銷毀并恢復原Explorer.exe文件。在恢復原Explorer.exe文件時，如果不幸過程出錯或用戶事先發(fā)現，直接刪除了被竄改的Explorer.exe文件，將導致無法進入桌面，需要再次重裝系統才能解決。

　　二、醒悟，要想純凈還需自己動手

　　限于水平和時間，上面我們只是檢測到了幾款工具對瀏覽器和軟件的修改情況，盡管這些修改，后期都能通過重新設置主頁或刪除不需要的軟件來解決，但如果考慮得再細致一些，如果這些PE工具在這些顯而易見的竄改之外，又隱藏著其他一些動作(比如：保留系統后門以便對用戶PC進行控制)，我們該怎樣來處理?所以目前最安全的辦法，莫過于自己動手，完成系統的備份及還原工作。

　　1. 利用Norton GHOST實現本機備份與還原

　　無論是白菜、老毛桃和電腦店，它們使用的備份和還原工具的其實都是Norton GHOST，只是為了方便小菜用戶使用，他們在原軟件的基礎上，增加了更加直觀的界面和一些更加便于操作的功能而已。在這些功能之中，軟件作者悄悄植入了可修改主頁并安裝軟件的隱藏選項。因此，如果我們能稍微勤快一點，利用上述PE系統內置的Norton GHOST軟件，在DOS系統下手工備份和還原系統，則能最大程度地保證系統的純凈。

　　以使用大白菜中提供的Norton GHOST軟件進行備份及還原為例。

　　第一步：用PE光盤或U盤引導系統，在出現如圖5所示的功能選擇界面時，選擇“運行MaxDos工具箱增強菜單”，進入相應的菜單，選擇“MaxDos 9.3工具箱增強版C”。

　　第二步：按下“↑”或“↓”，在出現的菜單中選擇“備份/還原系統”，回車后，進入“MaxDOS一鍵備份/恢復菜單”，選擇“3.GHOST手動操作”項(如圖6)，進入Symantec Ghost界面，單擊OK按鈕，進入程序主界面。

　　第三步：在菜單中依次選擇“Local/Partition/To Image”(如圖7)，然后在接下來的界面中選擇要備份的硬盤(有多個硬盤的話請核對選擇，一般來說，通過查看Model列中的硬盤型號和Size列中的硬盤容量，可以確定要備份系統究竟在哪個硬盤中)，選擇完畢，單擊OK按鈕。

　　第四步：選擇要備份的分區(qū)及備份文件的保存目錄，然后在如圖8所示的界面中選擇好要采用的壓縮方式： No，不壓縮;Fast，一般壓縮;High，高壓縮，一般來說，壓縮率越高，備份系統及以后還原系統的速度越慢，同時備份文件出差錯的機率越大，所以如果磁盤空間足夠的話，建議直接單擊No按鈕，即不壓縮。選擇完畢，程序將開始備份系統，備份所用的時間取決于PC配置、系統分區(qū)的大小及當前所安裝軟件的多寡。

　　第五步：系統備份完畢，以后在出現文件時，我們就可以利用它來恢復了，恢復的方法與備份類似，首先進入如圖7所示的界面，依次選擇菜單“Local/Partition/From Image”，然后按提示選擇好要恢復的硬盤、分區(qū)及要使用的備份文件即可。

　　2. 更上層樓打造萬能恢復文件

　　上述方法打造的系統備份，僅適用于本機，那么，我們是否有辦法打造一個可以在不同PC中都能用的備份文件?答案是肯定的。

　　第一步：首先在某PC中全新安裝原版Windows系統，安裝完畢，安裝常用軟件到系統分區(qū)(注意：由于可用系統分區(qū)的可用空間變小會影響系統的運行速度，所以建議只安裝WinRAR和Office等必用的軟件)。

　　第二步：卸載硬件驅動。在“控制面板”中選擇“系統”，進入相應的界面，選擇左側的“設備管理器”項，打開同名窗口，依次卸載網絡適配器、通用串行總線控制器、聲卡、視頻游戲控制器、監(jiān)視器和顯卡等的驅動，卸載方法為：右擊要卸載驅動的設備，在彈出的右鍵菜單中選擇“卸載”(如圖9)。卸載的時候要注意，順序一定要按照上面所說的進行。

　　Tips：

　　卸載驅動的過程中，屏幕上會出現要求安裝驅動的提示，千萬不要安裝。

　　第三步：更改IDE ATA/ATAPI控制器為“標準SATA AHCI控制器”，這一步是打造萬能Ghost關鍵，如果這一步沒做，則Gho文件還原到別的機器里根本無法啟動，具體表現為PC不斷地重啟。更改的方法為，在“設備管理器”窗口的“IDE ATA/ATAPI控制器”項下右擊當前正在使用的設備，在彈出的右鍵菜單中選擇“更新驅動程序軟件”，打開相應的對話框。選擇“瀏覽計算機以查找驅動程序軟件”，然后在出現的對話框中選擇“從計算機的設備驅動程序列表中選取”項，單擊“下一步”按鈕。在接下來的對話框列表中選擇“標準SATA AHCI”，單擊“下一步”按鈕(如圖10)。此時系統會提示重啟PC。

　　第四步：重啟PC，并用上面介紹的大白菜PE等引導PC，在出現如圖5所示的界面時，選擇“運行MaxDos工具箱增強菜單”，然后再用上面介紹的方法，完成系統的備份工作即可。備份成功，將相應的Gho文件保存到U盤或移動硬盤中，以后，我們就可以用它來在不同的PC中進行還原操作了。