引言：在系統(tǒng)出現(xiàn)故障，需要重新安裝時，使用WIinPE優(yōu)盤引導(dǎo)系統(tǒng)，在WinPE環(huán)境中利用一鍵還原工具，加載事先備份的GHO文件，就可以簡單快捷地完成系統(tǒng)的安裝操作。這樣安裝操作，在實際的系統(tǒng)維護中使用得極為普遍。不過，在這看似簡單的背后，其實隱藏著一些不可告人的貓膩。實際上，當(dāng)利用一鍵還原裝完系統(tǒng)后，用戶往往會發(fā)現(xiàn)系統(tǒng)已經(jīng)被綁架了。

現(xiàn)在流行很多種優(yōu)盤啟動制作工具以及PE工具箱等，為了便于說明，這里就以常用的Windows 8.1為例進行說明。使用Windows 8.1安裝光盤或者鏡像ISO文件，執(zhí)行全新的安裝操作，當(dāng)Windows 8.1安裝完畢后，之后為其安裝各種驅(qū)動操作。這樣，就得到了一個純凈的系統(tǒng)，之后進入DOS系統(tǒng)，利用Norton Ghost程序?qū)ο到y(tǒng)盤進行備份，得到干凈的Ghost文件。從網(wǎng)上下載各種優(yōu)盤制作工具，將優(yōu)盤制作成WinPE啟動盤。利用該盤引導(dǎo)系統(tǒng)，進入WinPE環(huán) 境，利用其內(nèi)置的一鍵還原工具，對系統(tǒng)進行還原操作。經(jīng)過對比安裝測試，果然發(fā)現(xiàn)大多數(shù)WinPE工具在執(zhí)行還原操作時，對系統(tǒng)悄悄做了手腳。

例如，強行安裝某些軟件，對IE主頁進行劫持等。究其根源，這種通過這些未經(jīng)用戶許可的不法操作，是以獲得很大的經(jīng)濟利益為目的。

對于某款WinPE工具來說，當(dāng)其在完成系統(tǒng)恢復(fù)操作后，會在系統(tǒng)目錄中生成某個可執(zhí)行文件，并創(chuàng)建某個文件夾，里面隱藏要強制的軟件，而且可以在啟動項中非法添加腳本文件，利用運行該腳本文件，執(zhí)行綁架IE主頁，非法強制安裝特定軟件的功能。為了防止殺毒軟件發(fā)現(xiàn)其行蹤，這些流氓程序就有自刪除功能，在完成非法操作后，可以將自身以及相關(guān)的文件全部刪除，以逃避用戶的檢測。

有的WinPE工具則可以更加狡猾的手段，例如使用替換法，將可疑的程序替換為系統(tǒng)外殼程序Explorer.exe，這樣當(dāng)初次啟動系統(tǒng)時，該冒牌的Explorer.exe程序就會搶先運行，執(zhí)行綁架主頁，開啟后門等操作，完畢后才將自身刪除并恢復(fù)原始的Explorer.exe文件，這種瞞天過海的手段很難被用戶發(fā)現(xiàn)。

經(jīng)過實際分析，發(fā)現(xiàn)這些流氓程序綁架IE的手段日益復(fù)雜化，不再是簡單的修改注冊表操作，而是采用了更加狡猾的方法。例如，當(dāng)使用某款WinPE工具提供的一鍵還原功能恢復(fù)系統(tǒng)后，當(dāng)打開IE時，卻發(fā)現(xiàn)里面可謂亂七八糟，收藏夾中充斥著垃圾網(wǎng)址，工具欄上按鈕凌亂，而且自動打開某個內(nèi)容雜亂的網(wǎng)頁。將IE整理干凈，筆者頗有信心，于是將收藏夾中垃圾網(wǎng)址清除，將雜亂的IE加載項、BHO插件等刪除。但是，當(dāng)試圖恢復(fù)被綁架的IE主頁時，卻遇到了不小的麻煩，在IE選項窗口中發(fā)現(xiàn)和主頁相關(guān)的內(nèi)容和按鈕全部處以灰色狀態(tài)，無法對其進行修改，默認的主頁為“www.5258.cc”。

筆者請出了金山急救箱這款安全利器，對系統(tǒng)進行安全掃描，果然發(fā)現(xiàn)一些IE被非法篡改的項目，執(zhí)行修復(fù)操作，原以為這樣可以解決問題，不過奇怪的是打開IE后，主頁依然被鎖定。換用諸如QQ安全管家的修復(fù)工具，也無法拯救IE主頁?？紤]到和IE主頁相關(guān)的設(shè)定信息全部保存在注冊表中，筆者決定親自動手，將IE主頁調(diào)整回來。

運行Registry WorkShop這款注冊表專業(yè)編輯工具，在其主界面中點擊菜單“Search”-“Find”項，在搜索窗口中的“Find what：”欄中輸入“www.5258.cc”，點擊“Find”按鈕，執(zhí)行搜索操作，Registry WorkShop搜索速度極快，果然在窗口底部的檢測列表中發(fā)現(xiàn)6處相關(guān)的注冊表項目遭到非法修改。接著點擊“Ctrl+R”項，在替換窗口 中 的“Replace with”欄中輸入“www.baidu.com”，點擊“Replace”按鈕，執(zhí)行替換操作，即將原來的垃圾網(wǎng)址替換為指定的網(wǎng)址。當(dāng)Registry WorkShop替身替換成功后，筆者打開IE，覺得主頁應(yīng)該已經(jīng)變成自己的需要的地址了。但是，網(wǎng)址“www.5258.cc”依然“頑固”的占據(jù)著主頁，自動打開的還是垃圾頁面。

看來，僅僅依靠安全工具，或者對注冊表進行修復(fù)是無法解決問題的，一定有流氓程序在后臺運行，對注冊表的變動情況進行監(jiān)視，當(dāng)發(fā)現(xiàn)IE主頁被修復(fù)后，立刻對注冊表進行惡意修改，恢復(fù)對IE主頁的控制權(quán)。

筆者運行“msconfig.exe”程序，在系統(tǒng)配置窗口中的“啟動”面板中仔細查看，果然發(fā)現(xiàn)名為“Printer Services”的 啟動項比較可疑，與其關(guān)聯(lián)的程序名為“HPGuard.e x e”， 位 于“C:UsersAdministratorApp DataRoamingHPGuard”文件夾中。從名稱上看，似乎是與HP打印機相關(guān)的程序，但是本機上并沒有安裝任何打印機。筆者打開命令提示符窗口，執(zhí)行“taskkill /im hpguard.exe /f”命 令，將該可疑進程關(guān)閉。之后按照上述方法，對注冊表進行修復(fù)，發(fā)現(xiàn)IE的主頁終于恢復(fù)正常了。

進入該程序的目錄中，果然發(fā)現(xiàn)其并非善類，打開其中 名 為“HomePage.ini”的文件，發(fā)現(xiàn)其中分別針對IE等大家常用的瀏覽器，設(shè)置了惡意綁架網(wǎng)站以及對應(yīng)的命令行參數(shù)?？磥恚搻阂獬绦虿粌H綁架IE，還綁架其他的常用瀏覽器。

打 開“ShutCut.ini”文件，發(fā)現(xiàn)其特別針對360安全瀏覽器，進行了“貼心”的設(shè)計，包括對360安全瀏覽器個人桌面、公共桌面、任務(wù)欄等項目，分別進行了路徑設(shè)定，“精心”為其預(yù)備了名為“daohang.5258.cc”的惡意網(wǎng)址。

可以肯定，對于使用360安全瀏覽器的用戶來說，一定頻繁遭到其騷擾，該目錄中的“HpHook.dll”文件可能是封裝惡意代碼的動態(tài)庫。

不過，打開其中的“$$a$$.bat”批處理文件，發(fā)現(xiàn)這是一個卸載程序，看來惡意程序的“開發(fā)者”還有些良知，允許用戶卸載該惡意程序。了解以上原理后，先 將“HPGuard.exe”進程關(guān)閉，之后刪除該目錄，最后清除名為“Printer Services”的啟動項，這樣終于將IE恢復(fù)正常了。至于IE選項窗口中和主頁相關(guān)的“使用當(dāng)前頁”、“使用默認值”、“使用空白頁”等項被鎖定呈灰色顯示的情況，需要運行“regedit.exe”程序，打開“HKEY_CURRENT_USERSoft warePoliciesMicrosoftInternet ExplorerControl Panel”，“HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel”，“HKEY_USERSS-1-5-18SoftwarePoliciesMicrosoftInternet ExplorerControl Panel”等分支，分別將其右側(cè)的名為“HomePage”的鍵值名的值設(shè)置為0，就可以擺脫上述限制了。

當(dāng)然，對于某些WinPE工具來說，可能會使用更加陰險的伎倆，例如在系統(tǒng)中悄悄安裝免殺的木馬程序，在用戶毫不知情的情況下開啟后門，讓黑客可以毫不費力地侵入系統(tǒng)。

面對這些具有流氓特點的WinPE工具，雖然我們可以采取各種方法，解除其對主頁的綁架，卸載其強制安裝的軟件，清理其暗設(shè)的木馬后門，不過這畢竟是不得已的辦法。

其實，我們完全可以拋開這些流氓程序，自己動手實現(xiàn)純凈易用的還原功能。對于各種WinPE工具來說，其一鍵還原的核心其實就是Norton Ghost程序。通過設(shè)計簡單易用的界面，讓用戶不必和各種命令行和原始的操作環(huán)境接觸而已。

正因為如此，流氓程序的設(shè)計者才得以在其中的某些功能模塊中添加非法代碼，實現(xiàn)對系統(tǒng)的劫持行為。其實，利用手工操作，完全可以避開陷阱，實現(xiàn)更加高效的還原操作。

使用口碑較好的WinPE工具，來制作WinPE優(yōu)盤，之后利用其引導(dǎo)系統(tǒng)，在引導(dǎo)界面中點擊“運行MAxDos工具箱增強菜單”項，在下一步界面中選擇“MaxDos9.3工具箱增強版PC”項，在其中依次選擇“備份/還原系統(tǒng)”-“MaxDos一鍵備份/恢復(fù)菜單”-“Ghost手動操作”項，在Norton Ghost界面中點擊菜單“Local”-“Parition”-“To Image”項，選擇GHO文件保存路徑，并設(shè)置所需的壓縮格式，如果磁盤空間足夠大，建議不進行壓縮處理。之后執(zhí)行系統(tǒng)備份操作，得到所需的GHO文件。當(dāng)系統(tǒng)出現(xiàn)問題需要重裝時，進入上述界面，選擇“Local”-“partition”-“From Image”項，選擇實現(xiàn)備份的文件，就可以將系統(tǒng)恢復(fù)如初了。

當(dāng)然，為了提高備份文件的適用范圍，可以對本機環(huán)境進行合理的配置。例如，在本機中安裝好純凈的Windows 8.1系統(tǒng)，為了便于使用，可以安裝WinRAR等少量軟件。因為系統(tǒng)可能已經(jīng)自動完成了驅(qū)動的安裝操作，為了達到適應(yīng)性強的GHO文件，需要對驅(qū)動進行必要的清理。

在設(shè)備管理器中先選擇網(wǎng)卡設(shè)備，在其右鍵菜單中點擊“卸載”項，完成該設(shè)備的卸載操作。之后依次對通用串行總線控制器、聲卡、視頻游戲控制器、監(jiān)視器、顯卡等設(shè)備進行驅(qū)動卸載操作。最后需要將IDE ATA/ATAPI控制器進行更改，方法是打開“IDE ATA/ATAPI控制器”項，在其列表中選擇正在使用的設(shè)備，在其右鍵菜單中點擊“更新驅(qū)動程序”項，在彈出窗口中選擇“瀏覽計算機以查找驅(qū)動程序軟件”項，在下一步窗口中選擇“從計算機的設(shè)備驅(qū)動列表中選擇”項，在下一步窗口中選擇“標(biāo)準SATA AHCI”項，點擊下一步按鈕，重啟系統(tǒng)后完成所需操作，之后按照上述方法，對系統(tǒng)盤進行備份操作得到GHO文件。

該備份文件通用性很強，可以在不同的主機上使用，來快速執(zhí)行系統(tǒng)的恢復(fù)操作。這樣，就可以避開上述存在惡意行為的一鍵還原程序的干擾，簡單高效的恢復(fù)極為純凈的系統(tǒng)。