警惕隐藏威胁

引言：在系统出现故障，需要重新安装时，使用WIinPE优盘引导系统，在WinPE环境中利用一键还原工具，加载事先备份的GHO文件，就可以简单快捷地完成系统的安装操作。这样安装操作，在实际的系统维护中使用得极为普遍。不过，在这看似简单的背后，其实隐藏着一些不可告人的猫腻。实际上，当利用一键还原装完系统后，用户往往会发现系统已经被绑架了。

现在流行很多种优盘启动制作工具以及PE工具箱等，为了便于说明，这里就以常用的Windows 8.1为例进行说明。使用Windows 8.1安装光盘或者镜像ISO文件，执行全新的安装操作，当Windows 8.1安装完毕后，之后为其安装各种驱动操作。这样，就得到了一个纯净的系统，之后进入DOS系统，利用Norton Ghost程序对系统盘进行备份，得到干净的Ghost文件。从网上下载各种优盘制作工具，将优盘制作成WinPE启动盘。利用该盘引导系统，进入WinPE环 境，利用其内置的一键还原工具，对系统进行还原操作。经过对比安装测试，果然发现大多数WinPE工具在执行还原操作时，对系统悄悄做了手脚。

例如，强行安装某些软件，对IE主页进行劫持等。究其根源，这种通过这些未经用户许可的不法操作，是以获得很大的经济利益为目的。

对于某款WinPE工具来说，当其在完成系统恢复操作后，会在系统目录中生成某个可执行文件，并创建某个文件夹，里面隐藏要强制的软件，而且可以在启动项中非法添加脚本文件，利用运行该脚本文件，执行绑架IE主页，非法强制安装特定软件的功能。为了防止杀毒软件发现其行踪，这些流氓程序就有自删除功能，在完成非法操作后，可以将自身以及相关的文件全部删除，以逃避用户的检测。

有的WinPE工具则可以更加狡猾的手段，例如使用替换法，将可疑的程序替换为系统外壳程序Explorer.exe，这样当初次启动系统时，该冒牌的Explorer.exe程序就会抢先运行，执行绑架主页，开启后门等操作，完毕后才将自身删除并恢复原始的Explorer.exe文件，这种瞒天过海的手段很难被用户发现。

经过实际分析，发现这些流氓程序绑架IE的手段日益复杂化，不再是简单的修改注册表操作，而是采用了更加狡猾的方法。例如，当使用某款WinPE工具提供的一键还原功能恢复系统后，当打开IE时，却发现里面可谓乱七八糟，收藏夹中充斥着垃圾网址，工具栏上按钮凌乱，而且自动打开某个内容杂乱的网页。将IE整理干净，笔者颇有信心，于是将收藏夹中垃圾网址清除，将杂乱的IE加载项、BHO插件等删除。但是，当试图恢复被绑架的IE主页时，却遇到了不小的麻烦，在IE选项窗口中发现和主页相关的内容和按钮全部处以灰色状态，无法对其进行修改，默认的主页为“www.5258.cc”。

笔者请出了金山急救箱这款安全利器，对系统进行安全扫描，果然发现一些IE被非法篡改的项目，执行修复操作，原以为这样可以解决问题，不过奇怪的是打开IE后，主页依然被锁定。换用诸如QQ安全管家的修复工具，也无法拯救IE主页。考虑到和IE主页相关的设定信息全部保存在注册表中，笔者决定亲自动手，将IE主页调整回来。

运行Registry WorkShop这款注册表专业编辑工具，在其主界面中点击菜单“Search”-“Find”项，在搜索窗口中的“Find what：”栏中输入“www.5258.cc”，点击“Find”按钮，执行搜索操作，Registry WorkShop搜索速度极快，果然在窗口底部的检测列表中发现6处相关的注册表项目遭到非法修改。接着点击“Ctrl+R”项，在替换窗口 中 的“Replace with”栏中输入“www.baidu.com”，点击“Replace”按钮，执行替换操作，即将原来的垃圾网址替换为指定的网址。当Registry WorkShop替身替换成功后，笔者打开IE，觉得主页应该已经变成自己的需要的地址了。但是，网址“www.5258.cc”依然“顽固”的占据着主页，自动打开的还是垃圾页面。

看来，仅仅依靠安全工具，或者对注册表进行修复是无法解决问题的，一定有流氓程序在后台运行，对注册表的变动情况进行监视，当发现IE主页被修复后，立刻对注册表进行恶意修改，恢复对IE主页的控制权。

笔者运行“msconfig.exe”程序，在系统配置窗口中的“启动”面板中仔细查看，果然发现名为“Printer Services”的 启动项比较可疑，与其关联的程序名为“HPGuard.e x e”， 位 于“C:UsersAdministratorApp DataRoamingHPGuard”文件夹中。从名称上看，似乎是与HP打印机相关的程序，但是本机上并没有安装任何打印机。笔者打开命令提示符窗口，执行“taskkill /im hpguard.exe /f”命 令，将该可疑进程关闭。之后按照上述方法，对注册表进行修复，发现IE的主页终于恢复正常了。

进入该程序的目录中，果然发现其并非善类，打开其中 名 为“HomePage.ini”的文件，发现其中分别针对IE等大家常用的浏览器，设置了恶意绑架网站以及对应的命令行参数。看来，该恶意程序不仅绑架IE，还绑架其他的常用浏览器。

打 开“ShutCut.ini”文件，发现其特别针对360安全浏览器，进行了“贴心”的设计，包括对360安全浏览器个人桌面、公共桌面、任务栏等项目，分别进行了路径设定，“精心”为其预备了名为“daohang.5258.cc”的恶意网址。

可以肯定，对于使用360安全浏览器的用户来说，一定频繁遭到其骚扰，该目录中的“HpHook.dll”文件可能是封装恶意代码的动态库。

不过，打开其中的“$$a$$.bat”批处理文件，发现这是一个卸载程序，看来恶意程序的“开发者”还有些良知，允许用户卸载该恶意程序。了解以上原理后，先 将“HPGuard.exe”进程关闭，之后删除该目录，最后清除名为“Printer Services”的启动项，这样终于将IE恢复正常了。至于IE选项窗口中和主页相关的“使用当前页”、“使用默认值”、“使用空白页”等项被锁定呈灰色显示的情况，需要运行“regedit.exe”程序，打开“HKEY_CURRENT_USERSoft warePoliciesMicrosoftInternet ExplorerControl Panel”，“HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel”，“HKEY_USERSS-1-5-18SoftwarePoliciesMicrosoftInternet ExplorerControl Panel”等分支，分别将其右侧的名为“HomePage”的键值名的值设置为0，就可以摆脱上述限制了。

当然，对于某些WinPE工具来说，可能会使用更加阴险的伎俩，例如在系统中悄悄安装免杀的木马程序，在用户毫不知情的情况下开启后门，让黑客可以毫不费力地侵入系统。

面对这些具有流氓特点的WinPE工具，虽然我们可以采取各种方法，解除其对主页的绑架，卸载其强制安装的软件，清理其暗设的木马后门，不过这毕竟是不得已的办法。

其实，我们完全可以抛开这些流氓程序，自己动手实现纯净易用的还原功能。对于各种WinPE工具来说，其一键还原的核心其实就是Norton Ghost程序。通过设计简单易用的界面，让用户不必和各种命令行和原始的操作环境接触而已。

正因为如此，流氓程序的设计者才得以在其中的某些功能模块中添加非法代码，实现对系统的劫持行为。其实，利用手工操作，完全可以避开陷阱，实现更加高效的还原操作。

使用口碑较好的WinPE工具，来制作WinPE优盘，之后利用其引导系统，在引导界面中点击“运行MAxDos工具箱增强菜单”项，在下一步界面中选择“MaxDos9.3工具箱增强版PC”项，在其中依次选择“备份/还原系统”-“MaxDos一键备份/恢复菜单”-“Ghost手动操作”项，在Norton Ghost界面中点击菜单“Local”-“Parition”-“To Image”项，选择GHO文件保存路径，并设置所需的压缩格式，如果磁盘空间足够大，建议不进行压缩处理。之后执行系统备份操作，得到所需的GHO文件。当系统出现问题需要重装时，进入上述界面，选择“Local”-“partition”-“From Image”项，选择实现备份的文件，就可以将系统恢复如初了。

当然，为了提高备份文件的适用范围，可以对本机环境进行合理的配置。例如，在本机中安装好纯净的Windows 8.1系统，为了便于使用，可以安装WinRAR等少量软件。因为系统可能已经自动完成了驱动的安装操作，为了达到适应性强的GHO文件，需要对驱动进行必要的清理。

在设备管理器中先选择网卡设备，在其右键菜单中点击“卸载”项，完成该设备的卸载操作。之后依次对通用串行总线控制器、声卡、视频游戏控制器、监视器、显卡等设备进行驱动卸载操作。最后需要将IDE ATA/ATAPI控制器进行更改，方法是打开“IDE ATA/ATAPI控制器”项，在其列表中选择正在使用的设备，在其右键菜单中点击“更新驱动程序”项，在弹出窗口中选择“浏览计算机以查找驱动程序软件”项，在下一步窗口中选择“从计算机的设备驱动列表中选择”项，在下一步窗口中选择“标准SATA AHCI”项，点击下一步按钮，重启系统后完成所需操作，之后按照上述方法，对系统盘进行备份操作得到GHO文件。

该备份文件通用性很强，可以在不同的主机上使用，来快速执行系统的恢复操作。这样，就可以避开上述存在恶意行为的一键还原程序的干扰，简单高效的恢复极为纯净的系统。