揭谜一键Ghost的“恶”事 大白菜、老毛桃、通用

实测报告：一键Ghost背后的秘密

为了深入了解一键Ghost除了为我们提供简便的安装方式外还隐藏了什么，我们对市面上几款流行的PE环境下进行系统备份恢复的一键Ghost工具进行了详尽的测试。这些工具包括大白菜U盘启动制作工具、老毛桃装机版、电脑店超级U盘启动盘制作工具等。测试的目的在于揭示这些工具在恢复系统时究竟做了什么手脚。

一、测试方法与过程

我们从 8.1 64位操作系统的安装ISO文件。使用UltraISO将其刻录到光盘并格式化C分区进行全新安装。全新安装后，我们安装了官方的硬件驱动，但不添加任何软件或设置。浏览器主页保持默认设置。接着，在DOS环境下启动Norton GHOST进行系统备份，确保得到一个纯净的GHOST备份文件。

随后，我们使用上述测试工具进入PE系统，利用先前备份的Gho文件及工具自带的一键Ghost工具进行系统恢复，探究它们究竟如何对系统施加影响。

二、测试结果大介绍

经过严谨而繁琐的还原过程，我们得出了测试结果。除了天意和微PE两款工具基本保持了纯净GHO系统的原貌外，其他几款工具在还原过程中都对系统进行了不同程度的修改。一个常见的操作是修改浏览器主页并静默安装360系列工具（如图2）。显然，这其中存在着巨大的利益关系，开发者通过这些看似不太正当的手段获取经济报酬。关键问题在于，这些工具究竟是如何突破用户系统的防线，进行这些操作的呢？

三、Ghost背后的黑手

在对几款PE系统进行深入对比和探究后，我们终于发现了其中的猫腻。以大白菜、老毛桃、电脑店这三个PE系统为例，它们的操作原理基本相同。在系统恢复完成后，它们会在Windows的开始菜单中添加一个后缀名为VBS的文件（如图3）。这个文件的主要作用是修改用户的浏览器主页。它们会在Windows目录下创建一个可执行文件及一个包含软件安装包的目录。这些工具通过执行目录中的软件包达到静默安装软件的目的。值得注意的是，这些工具会在软件安装和浏览器主页修改工作完成后，自动删除VBS文件和相关的流氓目录，以躲避杀毒工具的侦查。这种隐秘的操作手段不仅侵犯了用户的权益，也可能给用户的系统安全带来隐患。用户在选择和使用这类工具时应当保持警惕，谨慎选择可信赖的产品。关于通用PE系统的行为及其应对策略的探讨

提到通用PE系统，它的行为可谓“流氓式”的。在系统安装完成后，它会悄无声息地重命名Windows目录下的Explorer.exe文件，然后替换成自己的版本。这一操作在用户首次进入恢复系统并准备进入桌面时执行，借此机会修改浏览器主页，添加HAO123快捷方式等。但如果在此过程中出现任何差错，或者用户提前发现了被篡改的Explorer.exe文件并将其删除，那么可能会导致无法进入桌面，唯一的解决办法就是重装系统。

醒悟过来的人们开始意识到，要想确保系统的纯净，还是得依靠自己动手。在这里，我们要谈的是如何利用Norton GHOST来实现系统的备份与还原。其实，很多PE工具如大白菜、老毛桃和电脑店等，都内置了Norton GHOST。只是为了方便用户使用，它们在原软件的基础上增加了一些直观的功能和界面。这些功能之中隐藏着一些不为人知的秘密，比如软件作者可能会悄悄植入修改主页和安装软件的代码。如果我们能够利用这些PE系统内置的Norton GHOST软件，在DOS系统下进行手工备份和还原系统，就能最大程度地保证系统的纯净。

具体操作步骤如下：

一、备份系统：

1. 使用PE光盘或U盘引导系统，进入功能选择界面。

2. 选择运行MaxDos工具箱增强菜单，然后进入相应的菜单。

3. 在菜单中选择“备份/还原系统”，进入Symantec Ghost界面。

4. 在这个界面中，选择“Local/Partition/To Image”，然后选择要备份的硬盘和分区，并确定备份文件的保存目录和压缩方式。

5. 程序开始备份系统，这个过程取决于PC配置、系统分区的大小及当前所安装软件的多寡。

二、打造万能恢复文件：

为了打造一个可以在不同PC中都能用的备份文件，我们可以按照以下步骤操作：

1. 在某PC中全新安装原版Windows系统，并安装常用软件到系统分区。

2. 卸载硬件驱动，包括网络适配器、通用串行总线控制器、声卡、视频游戏控制器、监视器和显卡等。

需要注意的是，在卸载驱动的过程中，可能会出现要求安装驱动的提示，此时千万不要安装。在完成了系统的备份之后，我们就可以利用这个备份文件来恢复系统了。恢复的方法与备份类似，只需要进入相应的菜单，选择“Local/Partition/From Image”，然后按提示选择好要恢复的硬盘、分区及要使用的备份文件即可。通过这样的操作，我们就可以在一定程度上避免那些隐藏在系统中的不良行为对我们造成的影响。第三步是调整IDE ATA/ATAPI控制器至“标准SATA AHCI控制器”，这是制作万能Ghost系统的关键步骤。如果忽略了这一步骤，Gho文件在其他电脑上还原时可能会出现无法启动的情况，表现为电脑不断重启。要完成这一更改，首先需要在“设备管理器”窗口中找到“IDE ATA/ATAPI控制器”选项，接着右击当前使用的设备。在弹出的菜单中选择“更新驱动程序软件”，随后打开相应的对话框。在对话框中选择“浏览计算机以查找驱动程序软件”，然后在新出现的对话框中选择“从计算机的设备驱动程序列表中选取”。单击“下一步”后，在列表中选择“标准SATA AHCI”并单击“下一步”（如图10所示）。系统会提示您重启计算机。

重启之后，您可以通过使用大白菜PE等工具引导电脑，进入如图5所示的操作界面。在这里，选择“运行MaxDos工具箱增强菜单”，然后使用前面介绍的方法完成系统的备份工作。一旦备份成功，将生成的Gho文件保存到U盘或移动硬盘中。这样，您就拥有了一个可以在不同电脑上还原操作的万能Ghost系统文件了。

这个过程的完成，就像是为您的电脑系统制作了一个可移植的“克隆”，无论在哪台电脑上，都可以通过简单的操作还原系统，避免了因为系统问题导致的麻烦。这个Gho文件就像是您的系统的一份“保险”，在需要的时候，可以迅速而有效地帮助您解决问题，让您的工作和生活更加顺畅。