警惕隱藏威脅

引言：在系統(tǒng)出現(xiàn)故障，需要重新安裝時(shí)，使用WIinPE優(yōu)盤引導(dǎo)系統(tǒng)，在WinPE環(huán)境中利用一鍵還原工具，加載事先備份的GHO文件，就可以簡(jiǎn)單快捷地完成系統(tǒng)的安裝操作。這樣安裝操作，在實(shí)際的系統(tǒng)維護(hù)中使用得極為普遍。不過，在這看似簡(jiǎn)單的背后，其實(shí)隱藏著一些不可告人的貓膩。實(shí)際上，當(dāng)利用一鍵還原裝完系統(tǒng)后，用戶往往會(huì)發(fā)現(xiàn)系統(tǒng)已經(jīng)被綁架了。

現(xiàn)在流行很多種優(yōu)盤啟動(dòng)制作工具以及PE工具箱等，為了便于說明，這里就以常用的Windows 8.1為例進(jìn)行說明。使用Windows 8.1安裝光盤或者鏡像ISO文件，執(zhí)行全新的安裝操作，當(dāng)Windows 8.1安裝完畢后，之后為其安裝各種驅(qū)動(dòng)操作。這樣，就得到了一個(gè)純凈的系統(tǒng)，之后進(jìn)入DOS系統(tǒng)，利用Norton Ghost程序?qū)ο到y(tǒng)盤進(jìn)行備份，得到干凈的Ghost文件。從網(wǎng)上下載各種優(yōu)盤制作工具，將優(yōu)盤制作成WinPE啟動(dòng)盤。利用該盤引導(dǎo)系統(tǒng)，進(jìn)入WinPE環(huán) 境，利用其內(nèi)置的一鍵還原工具，對(duì)系統(tǒng)進(jìn)行還原操作。經(jīng)過對(duì)比安裝測(cè)試，果然發(fā)現(xiàn)大多數(shù)WinPE工具在執(zhí)行還原操作時(shí)，對(duì)系統(tǒng)悄悄做了手腳。

例如，強(qiáng)行安裝某些軟件，對(duì)IE主頁進(jìn)行劫持等。究其根源，這種通過這些未經(jīng)用戶許可的不法操作，是以獲得很大的經(jīng)濟(jì)利益為目的。

對(duì)于某款WinPE工具來說，當(dāng)其在完成系統(tǒng)恢復(fù)操作后，會(huì)在系統(tǒng)目錄中生成某個(gè)可執(zhí)行文件，并創(chuàng)建某個(gè)文件夾，里面隱藏要強(qiáng)制的軟件，而且可以在啟動(dòng)項(xiàng)中非法添加腳本文件，利用運(yùn)行該腳本文件，執(zhí)行綁架IE主頁，非法強(qiáng)制安裝特定軟件的功能。為了防止殺毒軟件發(fā)現(xiàn)其行蹤，這些流氓程序就有自刪除功能，在完成非法操作后，可以將自身以及相關(guān)的文件全部刪除，以逃避用戶的檢測(cè)。

有的WinPE工具則可以更加狡猾的手段，例如使用替換法，將可疑的程序替換為系統(tǒng)外殼程序Explorer.exe，這樣當(dāng)初次啟動(dòng)系統(tǒng)時(shí)，該冒牌的Explorer.exe程序就會(huì)搶先運(yùn)行，執(zhí)行綁架主頁，開啟后門等操作，完畢后才將自身刪除并恢復(fù)原始的Explorer.exe文件，這種瞞天過海的手段很難被用戶發(fā)現(xiàn)。

經(jīng)過實(shí)際分析，發(fā)現(xiàn)這些流氓程序綁架IE的手段日益復(fù)雜化，不再是簡(jiǎn)單的修改注冊(cè)表操作，而是采用了更加狡猾的方法。例如，當(dāng)使用某款WinPE工具提供的一鍵還原功能恢復(fù)系統(tǒng)后，當(dāng)打開IE時(shí)，卻發(fā)現(xiàn)里面可謂亂七八糟，收藏夾中充斥著垃圾網(wǎng)址，工具欄上按鈕凌亂，而且自動(dòng)打開某個(gè)內(nèi)容雜亂的網(wǎng)頁。將IE整理干凈，筆者頗有信心，于是將收藏夾中垃圾網(wǎng)址清除，將雜亂的IE加載項(xiàng)、BHO插件等刪除。但是，當(dāng)試圖恢復(fù)被綁架的IE主頁時(shí)，卻遇到了不小的麻煩，在IE選項(xiàng)窗口中發(fā)現(xiàn)和主頁相關(guān)的內(nèi)容和按鈕全部處以灰色狀態(tài)，無法對(duì)其進(jìn)行修改，默認(rèn)的主頁為“www.5258.cc”。

筆者請(qǐng)出了金山急救箱這款安全利器，對(duì)系統(tǒng)進(jìn)行安全掃描，果然發(fā)現(xiàn)一些IE被非法篡改的項(xiàng)目，執(zhí)行修復(fù)操作，原以為這樣可以解決問題，不過奇怪的是打開IE后，主頁依然被鎖定。換用諸如QQ安全管家的修復(fù)工具，也無法拯救IE主頁。考慮到和IE主頁相關(guān)的設(shè)定信息全部保存在注冊(cè)表中，筆者決定親自動(dòng)手，將IE主頁調(diào)整回來。

運(yùn)行Registry WorkShop這款注冊(cè)表專業(yè)編輯工具，在其主界面中點(diǎn)擊菜單“Search”-“Find”項(xiàng)，在搜索窗口中的“Find what：”欄中輸入“www.5258.cc”，點(diǎn)擊“Find”按鈕，執(zhí)行搜索操作，Registry WorkShop搜索速度極快，果然在窗口底部的檢測(cè)列表中發(fā)現(xiàn)6處相關(guān)的注冊(cè)表項(xiàng)目遭到非法修改。接著點(diǎn)擊“Ctrl+R”項(xiàng)，在替換窗口 中 的“Replace with”欄中輸入“www.baidu.com”，點(diǎn)擊“Replace”按鈕，執(zhí)行替換操作，即將原來的垃圾網(wǎng)址替換為指定的網(wǎng)址。當(dāng)Registry WorkShop替身替換成功后，筆者打開IE，覺得主頁應(yīng)該已經(jīng)變成自己的需要的地址了。但是，網(wǎng)址“www.5258.cc”依然“頑固”的占據(jù)著主頁，自動(dòng)打開的還是垃圾頁面。

看來，僅僅依靠安全工具，或者對(duì)注冊(cè)表進(jìn)行修復(fù)是無法解決問題的，一定有流氓程序在后臺(tái)運(yùn)行，對(duì)注冊(cè)表的變動(dòng)情況進(jìn)行監(jiān)視，當(dāng)發(fā)現(xiàn)IE主頁被修復(fù)后，立刻對(duì)注冊(cè)表進(jìn)行惡意修改，恢復(fù)對(duì)IE主頁的控制權(quán)。

筆者運(yùn)行“msconfig.exe”程序，在系統(tǒng)配置窗口中的“啟動(dòng)”面板中仔細(xì)查看，果然發(fā)現(xiàn)名為“Printer Services”的 啟動(dòng)項(xiàng)比較可疑，與其關(guān)聯(lián)的程序名為“HPGuard.e x e”， 位 于“C:UsersAdministratorApp DataRoamingHPGuard”文件夾中。從名稱上看，似乎是與HP打印機(jī)相關(guān)的程序，但是本機(jī)上并沒有安裝任何打印機(jī)。筆者打開命令提示符窗口，執(zhí)行“taskkill /im hpguard.exe /f”命 令，將該可疑進(jìn)程關(guān)閉。之后按照上述方法，對(duì)注冊(cè)表進(jìn)行修復(fù)，發(fā)現(xiàn)IE的主頁終于恢復(fù)正常了。

進(jìn)入該程序的目錄中，果然發(fā)現(xiàn)其并非善類，打開其中 名 為“HomePage.ini”的文件，發(fā)現(xiàn)其中分別針對(duì)IE等大家常用的瀏覽器，設(shè)置了惡意綁架網(wǎng)站以及對(duì)應(yīng)的命令行參數(shù)。看來，該惡意程序不僅綁架IE，還綁架其他的常用瀏覽器。

打 開“ShutCut.ini”文件，發(fā)現(xiàn)其特別針對(duì)360安全瀏覽器，進(jìn)行了“貼心”的設(shè)計(jì)，包括對(duì)360安全瀏覽器個(gè)人桌面、公共桌面、任務(wù)欄等項(xiàng)目，分別進(jìn)行了路徑設(shè)定，“精心”為其預(yù)備了名為“daohang.5258.cc”的惡意網(wǎng)址。

可以肯定，對(duì)于使用360安全瀏覽器的用戶來說，一定頻繁遭到其騷擾，該目錄中的“HpHook.dll”文件可能是封裝惡意代碼的動(dòng)態(tài)庫。

不過，打開其中的“$$a$$.bat”批處理文件，發(fā)現(xiàn)這是一個(gè)卸載程序，看來惡意程序的“開發(fā)者”還有些良知，允許用戶卸載該惡意程序。了解以上原理后，先 將“HPGuard.exe”進(jìn)程關(guān)閉，之后刪除該目錄，最后清除名為“Printer Services”的啟動(dòng)項(xiàng)，這樣終于將IE恢復(fù)正常了。至于IE選項(xiàng)窗口中和主頁相關(guān)的“使用當(dāng)前頁”、“使用默認(rèn)值”、“使用空白頁”等項(xiàng)被鎖定呈灰色顯示的情況，需要運(yùn)行“regedit.exe”程序，打開“HKEY_CURRENT_USERSoft warePoliciesMicrosoftInternet ExplorerControl Panel”，“HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel”，“HKEY_USERSS-1-5-18SoftwarePoliciesMicrosoftInternet ExplorerControl Panel”等分支，分別將其右側(cè)的名為“HomePage”的鍵值名的值設(shè)置為0，就可以擺脫上述限制了。

當(dāng)然，對(duì)于某些WinPE工具來說，可能會(huì)使用更加陰險(xiǎn)的伎倆，例如在系統(tǒng)中悄悄安裝免殺的木馬程序，在用戶毫不知情的情況下開啟后門，讓黑客可以毫不費(fèi)力地侵入系統(tǒng)。

面對(duì)這些具有流氓特點(diǎn)的WinPE工具，雖然我們可以采取各種方法，解除其對(duì)主頁的綁架，卸載其強(qiáng)制安裝的軟件，清理其暗設(shè)的木馬后門，不過這畢竟是不得已的辦法。

其實(shí)，我們完全可以拋開這些流氓程序，自己動(dòng)手實(shí)現(xiàn)純凈易用的還原功能。對(duì)于各種WinPE工具來說，其一鍵還原的核心其實(shí)就是Norton Ghost程序。通過設(shè)計(jì)簡(jiǎn)單易用的界面，讓用戶不必和各種命令行和原始的操作環(huán)境接觸而已。

正因?yàn)槿绱耍髅コ绦虻脑O(shè)計(jì)者才得以在其中的某些功能模塊中添加非法代碼，實(shí)現(xiàn)對(duì)系統(tǒng)的劫持行為。其實(shí)，利用手工操作，完全可以避開陷阱，實(shí)現(xiàn)更加高效的還原操作。

使用口碑較好的WinPE工具，來制作WinPE優(yōu)盤，之后利用其引導(dǎo)系統(tǒng)，在引導(dǎo)界面中點(diǎn)擊“運(yùn)行MAxDos工具箱增強(qiáng)菜單”項(xiàng)，在下一步界面中選擇“MaxDos9.3工具箱增強(qiáng)版PC”項(xiàng)，在其中依次選擇“備份/還原系統(tǒng)”-“MaxDos一鍵備份/恢復(fù)菜單”-“Ghost手動(dòng)操作”項(xiàng)，在Norton Ghost界面中點(diǎn)擊菜單“Local”-“Parition”-“To Image”項(xiàng)，選擇GHO文件保存路徑，并設(shè)置所需的壓縮格式，如果磁盤空間足夠大，建議不進(jìn)行壓縮處理。之后執(zhí)行系統(tǒng)備份操作，得到所需的GHO文件。當(dāng)系統(tǒng)出現(xiàn)問題需要重裝時(shí)，進(jìn)入上述界面，選擇“Local”-“partition”-“From Image”項(xiàng)，選擇實(shí)現(xiàn)備份的文件，就可以將系統(tǒng)恢復(fù)如初了。

當(dāng)然，為了提高備份文件的適用范圍，可以對(duì)本機(jī)環(huán)境進(jìn)行合理的配置。例如，在本機(jī)中安裝好純凈的Windows 8.1系統(tǒng)，為了便于使用，可以安裝WinRAR等少量軟件。因?yàn)橄到y(tǒng)可能已經(jīng)自動(dòng)完成了驅(qū)動(dòng)的安裝操作，為了達(dá)到適應(yīng)性強(qiáng)的GHO文件，需要對(duì)驅(qū)動(dòng)進(jìn)行必要的清理。

在設(shè)備管理器中先選擇網(wǎng)卡設(shè)備，在其右鍵菜單中點(diǎn)擊“卸載”項(xiàng)，完成該設(shè)備的卸載操作。之后依次對(duì)通用串行總線控制器、聲卡、視頻游戲控制器、監(jiān)視器、顯卡等設(shè)備進(jìn)行驅(qū)動(dòng)卸載操作。最后需要將IDE ATA/ATAPI控制器進(jìn)行更改，方法是打開“IDE ATA/ATAPI控制器”項(xiàng)，在其列表中選擇正在使用的設(shè)備，在其右鍵菜單中點(diǎn)擊“更新驅(qū)動(dòng)程序”項(xiàng)，在彈出窗口中選擇“瀏覽計(jì)算機(jī)以查找驅(qū)動(dòng)程序軟件”項(xiàng)，在下一步窗口中選擇“從計(jì)算機(jī)的設(shè)備驅(qū)動(dòng)列表中選擇”項(xiàng)，在下一步窗口中選擇“標(biāo)準(zhǔn)SATA AHCI”項(xiàng)，點(diǎn)擊下一步按鈕，重啟系統(tǒng)后完成所需操作，之后按照上述方法，對(duì)系統(tǒng)盤進(jìn)行備份操作得到GHO文件。

該備份文件通用性很強(qiáng)，可以在不同的主機(jī)上使用，來快速執(zhí)行系統(tǒng)的恢復(fù)操作。這樣，就可以避開上述存在惡意行為的一鍵還原程序的干擾，簡(jiǎn)單高效的恢復(fù)極為純凈的系統(tǒng)。