操作系統變得緩慢不堪了？出現各種莫名其妙的故障了？中毒了？為了解決這些故障，許多人都會祭起重裝系統大法來重新安裝一個全新的系統，對付系統軟件故障，這種作法通常都很有效。

圖1 GHOST備份恢複你會麼

現在安裝操作系統比起以前可謂簡單了不少，借助一個系統安裝盤或者是PE系統，菜鳥也能輕輕松松的完成系統的安裝操作，再簡單一些的話，直接使用GHOST系統，直接還原定制版系統，真是輕松愉快。現在還出現了許多傻瓜式的GHOST備份恢複工具，讓這個操作變得更加的簡單，可是不少這類工具都帶有貓膩，你又知道麼？

圖2 傻瓜式GHOST工具

以前是怎樣安裝系統的呢？首先，你得要有個啟動盤(軟盤或光驅)，引導系統進入DOS環境，然後使用DOS命令格式化C盤，然後再進入Windows安裝目錄，然後再根據系統版本來執行安裝程序才能進行系統的安裝操作，重裝系統是個技術活。

圖3 DOS環境你會用麼

現在安裝系統可容易許多，用戶可以直接借助系統安裝盤(光盤或者用安裝鏡像文件打造的U盤安裝盤)就可以引導電腦啟動，然後根據提示就可一步一步的進行系統的安裝。而DOS下的安裝方式早已經被淘汰，取而代之的是Windows PE系統，這種圖形化的操作界面，讓一切簡單了不少。

Windows PE(Windows Preinstallation Environment)，Windows預安裝環境，是帶有有限服務的最小Win32子系統，基于以保護模式運行的Windows XP Professional及以上内核。它包括運行Windows安裝程序及腳本、連接網絡共享、自動化基本過程以及執行硬件驗證所需的最小功能。簡單的來說它就是一個簡化版的Windows。

圖4 PE系統你用過沒

Windows PE最大的特點就是可以引導電腦啟動，并進入圖形化的操作界面，而且可以被安裝到光盤或移動存儲器中(如U盤)。鑒于它的便攜性，現在許多技術人員都在U盤中安裝有PE系統，并在PE系統中安裝有多種應急工具，比如GHOST，比如DiskGenius，比如數據恢複軟件，比如密碼破解軟件，比如殺毒軟件等等，用它還維護或安裝系統，當成臨時的Windows系統使用。

而市面上也有着許多知名的網友DIY版PE系統，如深山紅葉、大白菜、通用PE、老毛桃等等。普通網友把它們下載回來，然後安裝入U盤，就可輕松獲得一個U盤 PE系統，進而用來重裝、備份、修複操作系統。而大多數網友用PE系統拿來幹嘛？拿來備份恢複系統呗。

圖5 深山紅葉你還記得麼

可是不知道什麼時候開始，論壇裡就有不少網友求助，大體内容是使用這些網友DIY版的PE系統來進行系統恢複操作後，IE浏覽器主頁竟然莫名其妙的被修改為其它網址了，而且還被自動安裝上了其它軟件，究竟是怎麼一回事呢？到底有沒有這麼一回事呢？咱現在就來實際的測試一番。

我們選取了目前市面上較為流行的幾款PE系統，讓我們來實際測試一下，看看使用它們的傻瓜式GHOST備份恢複工具來恢複GHOST系統後，會不會流氓的修改用戶浏覽器主頁及安裝附加軟件。

測試環境及操作

筆者先用DOS安裝方式安裝一個純淨版的Windows XP系統，安裝文件為官方ios解壓後文件，沒有經過任何的修改，沒有安裝其它軟件(驅動為原版驅動)，主頁為默認設置。然後再在DOS環境下啟動Norton GHOST來進行GHOST備份，獲得純淨的Gho備份文件，接着再進行測試。

測試時使用各個PE系統來恢複事先備份的GHOST系統，然後再查看浏覽器主頁有無被更改。測試完畢返回DOS下，再用Norton GHOST來恢複純淨的GHOST系統，然後再進行下一個PE的測試。

圖6 Norton GHOST

這裡再說一下，NORTON GHOST雖好，可是操作卻稍顯複雜，而且是因為界面，一不小心就會誤操作，導緻整個硬盤的數據資料灰飛煙滅。于是乎，有網友制作了傻瓜式的GHOST工具，用戶隻需要選好GHOST 文件所在路徑(有些工具甚至自動掃描硬盤裡的Gho文件)，還有恢複到哪個分區(默認C盤)，點擊恢複按鈕，就可自動啟動GHOST執行相關操作，方便快捷。

參評PE系統列隊

好吧，測試正式開始，我們選取了大白菜U盤啟動制作工具V5.1 uefi啟動版；老毛桃裝機版20140501;電腦店超級U盤啟動盤制作工具V6.2裝機版；通用pe工具箱V6.1版；天意U盤系統2015元宵版；微PE工具箱1.0。這幾個比較流行的網友DIY版PE系統進行測試，下載皆用官網下載的安裝文件。

其實，這其中有幾款經典的網友DIY版PE系統，或許早已不是之前的原作者在開發，想要經典的，都不知道去哪尋找了。

制作U盤啟動PE有奧妙

使用老毛桃制作U盤PE系統比較的簡單，基本上一鍵即可輕松制作，支持多種啟動模式選擇，支持個性化設置，别小看這個個性化設置，裡邊還隐藏着一些奧妙，為了測試的需要，我們采用默認設置進行PE系統的制作(以下同)。

圖7 老毛桃PE系統制作界面

大白菜制作U盤PE系統同樣簡單，還是一鍵即可搞定，也支持多種啟動模式選擇，支持個性化設置，個性化設置裡同樣隐藏着一些東東。

圖8 大白菜PE系統制作界面

電腦店制作U盤PE系統與上邊的兩個類似，也在個性化設置裡隐藏有東西。

圖9 電腦店PE系統制作界面

天意制作U盤系統也很簡單，同樣支持多種啟動模式選擇，但不支持個性化設置。是它的提示卻有點問題，那就是在制作過程中提示“正在整理UD分區”，接着提示“已經成功創建啟動分區，建議您将您的磁盤設備安全彈出後再插入繼續操作。”

按照提示，筆者是這麼理解的“剛剛隻是創建了啟動分區，接下來把U盤彈出後再插入，接着完成PE系統的寫入操作”。其實已經不用繼續操作了，PE系統已經制作完成了的。

好吧，就這個提示讓筆者重複了幾次操作，作者能直接提示“制作完成”不好麼？

圖10 天意PE系統制作界面

圖11 顯示正在整理UD分區

圖12 有點坑的提示

微PE的兼容性有待提高，制作時要不提示某個程序已經停止運行，要不找不到U盤，最後在其主頁找到解決方法，那就是需要啟動Windows兼容模式。同樣有多種啟動模式選擇，不支持個性化設置。

圖13 微PE系統制作界面

圖14 啟動兼容模式才能識别U盤

通用PE制作U盤PE系統同樣簡單，還是一鍵即可搞定，也支持多種啟動模式選擇，不支持個性化設置。

圖15 通用PE系統制作界面

PE界面及傻瓜式系統恢複工具

老毛桃為用戶提供了傻瓜式的系統安裝、備份、恢複工具，支持wim、iso及Gho格式文件，支持系統的安裝，而GHOST則支持自動掃描用戶硬盤裡的Gho文件，用戶隻需要确認恢複到的分區，就可輕松恢複GHOST系統。高級選項裡隐藏着贊助商主頁。

圖16 老毛桃PE系統桌面及傻瓜式GHOST備份恢複工具

大白菜為用戶提供了傻瓜式的系統安裝、備份、恢複工具，支持wim、iso及Gho格式文件，支持系統的安裝，而GHOST則支持自動掃描用戶硬盤裡的Gho文件，用戶隻需要确認恢複到的分區，就可輕松恢複GHOST系統。高級選項裡隐藏着贊助商主頁。

圖17 大白菜PE系統桌面及傻瓜式GHOST備份恢複工具

電腦店為用戶提供了傻瓜式的系統安裝、備份、恢複工具，支持wim、iso及Gho格式文件，支持系統的安裝，而GHOST則支持自動掃描用戶硬盤裡的Gho文件，用戶隻需要确認恢複到的分區，就可輕松恢複GHOST系統。高級選項裡隐藏着贊助商主頁。

圖18 電腦店PE系統桌面及傻瓜式GHOST備份恢複工具

大家可以看到，以上三個PE系統顯得非常的相似，相似的讓筆者懷疑是不是出自同一作者之手。

天意PE同樣為用戶提供了傻瓜式的GHOST備份恢複工具，不過是采用了另一種工具，在啟動時，用戶可以選擇一鍵恢複或手動操作。自動恢複工具支持自動備份或還原系統。

圖19 天意PE及GHOST備份恢複工具

通用PE工具箱為用戶提供的是“智能快速裝機”工具，為用戶提供了傻瓜式的系統安裝、備份、恢複工具，支持wim、iso及Gho格式文件，支持系統的安裝，而GHOST則支持自動掃描用戶硬盤裡的Gho文件，用戶隻需要确認恢複到的分區，就可輕松恢複GHOST系統。高級選項裡沒有相關取消贊助商的選項，甚至還有另兩個軟件的安裝選項。

圖20 通用PE工具箱及智能快速裝機

微PE直接為用戶提供了GHOST一鍵備份還原工具，為用戶提供了傻瓜式的GHOST備份還原操作，用戶隻需要确認恢複到的分區，就可輕松恢複GHOST系統。

圖21 微PE及GHOST一鍵備份還原工具

實測網友DIY版PE系統是否流氓

接下來我們進入本次測試的重頭戲，一起來看看使用這些PE系統内置的傻瓜式GHOST工具來恢複事先制作好的純淨Windows XP GHOST備份文件，然後觀察恢複後的Windows XP系統會有怎麼樣的情況發生。

圖22 純淨版XP桌面

圖23 純淨版XP啟動項

測試結果列表

圖24 大白菜在開始菜單啟動項添加的VBS文件及其内容

圖25 大白菜PE恢複系統後自動安裝360系列軟件

圖26 大白菜PE恢複系統後修改浏覽器主頁

圖27 老毛桃在開始菜單啟動項添加的VBS文件及其内容

圖28 老毛桃PE恢複系統後自動安裝360系列軟件

圖29 老毛桃PE恢複系統後修改浏覽器主頁

圖30 電腦店在開始菜單啟動項添加的VBS文件及其内容

圖31 電腦店PE恢複系統後自動安裝360系列軟件

圖32 電腦店PE恢複系統後修改浏覽器主頁

圖33 通用PE在Windows目錄下替換和增加的文件

圖34 通用PE恢複系統後修改浏覽器主頁

圖35 天意PE恢複系統後暫無發現修改

圖36 微PE恢複系統後暫無發現修改

揭秘它們是怎麼樣搞小動作的

既然傻瓜化GHOST備份恢複軟件無論是備份還是恢複系統，最終都還是采用NORTON GHOST軟件來完成操作的，而GHOST的原理可以理解為先把目标分區格式化後在恢複系統，那麼，它們是如何完成恢複系統後修改操作系統的浏覽器主頁及進行軟件的安裝操作的呢？

大白菜、老毛桃、電腦店這三個PE系統都是采用相同的修改原理，當用戶使用它們的傻瓜式GHOST工具來恢複系統時，當恢複系統完畢後，自動在用戶被恢複好的Windows的開始菜單啟動項中添加一個采用随機名稱的“*.vbs”文件，然後再在Windows目錄下創建一個可執行文件(該文件筆者估計作用為啟動另一文件及修改浏覽器主頁)及一個目錄，該目錄下有個文件(該文件筆者估計就是所安裝軟件的打包文件)。

我們以大白菜PE系統為例。

我們使用大白菜PE自帶的“智能快速裝機”工具對之前準備好的純淨版WindowsXP系統Gho文件進行系統恢複操作後，先不退出PE系統，直接查看剛剛被恢複的Windows 系統目錄，來看看被添加的一些文件。

圖37 大白菜所添加的幾個文件

圖38 大白菜在啟動項添加的vbs文件及其内容

等開機進行完浏覽器主頁的修改及軟件的安裝後，這些文件會進行自動銷毀操作，為何要自毀呢？不自毀不行啊，會給殺毒軟件給查出來的。

圖39 相關文件被NOD32以病毒查殺

既然它們在恢複系統後，會偷偷的往被恢複的系統中添加一些文件，那麼這些文件到底是幹什麼的呢？

首先是添加到開始菜單啟動項的VBS文件，它的作用很簡單，那就是在系統啟動後，自動運行位于Windows目錄下的指定可執行文件。

而添加到Windows目錄下的可執行文件作用則是被執行後進行修改浏覽器主頁及啟動軟件安裝，當然不排除還有其它小動作。

圖40Total Uninstall監控結果

Windows目錄下增加的一個目錄及裡邊的文件則應該是軟件包。

使用通用PE系統的“智能快速裝機”工具對之前準備好的純淨版WindowsXP進行系統恢複操作後，筆者沒有在開始菜單啟動項中找到VBS文件，難道它是幹淨的？可是為何重啟進入系統後，浏覽器主頁會被更改呢？而且在桌面上多了個Hao123的快捷方式呢？

通用PE系統用了另一個更加流氓且惡劣的修改方式。

為何說它惡劣呢？因為它采用的是替換Explorer這個系統文件的方式，操作時，先将原系統位于Windows目錄下的Explorer.exe這個系統文件進行隐藏，然後創建一個Explorer.exe程序，該程序正是用于修改浏覽器主頁的程序。

在用戶第一次進入剛剛恢複的系統時，在進入桌面之前，Explorer.exe文件會被自動執行，接着修改浏覽器主頁，在桌面添加HAO123快捷方式，後再把自己銷毀，接着把原Explorer.exe文件進行恢複，再執行Explorer.exe以便系統的正常啟動。如果其中的過程出錯或者用戶事先删除被篡改的Explorer.exe文件，将導緻無法進入桌面。

圖41 被替換及增加的文件

圖42 Total Uninstall監控結果

那麼，在這些PE系統中使用手動GHOST，會不會出現以上的情況呢？經過筆者的測試所知，采用手動操作的GHOST恢複系統操作後，不會有修改浏覽器主頁及安裝軟件的現象，基本可以确定流氓行為都在“智能快速裝機”工具。但筆者不保證以後PE系統會更加瘋狂的在PE系統啟動後或者關機前進行相關的流氓操作。手動GHOST步驟請參考文末。

如何避免

如何避免恢複系統後被修改浏覽器主頁及自動安裝軟件的情況發生呢？最好的方法當然是進入PE系統後手動進行GHOST的備份還原操作。真的要使用它們自帶的傻瓜式系統恢複工具時，需要仔細進行設置。

我們以老毛桃為例，首先在制作過程前，我們需要在“個性設置”中，取消老毛桃贊助商的兩個選項，其中取消修改主頁選項還需花費一些功夫。

圖43 個性化設置

圖44 取消的前提是需要為它宣傳

圖45 取消“綠色”軟件

其次，就是在進入PE系統後，使用它們的傻瓜式系統備份恢複工具時，進入高級選項，查看有無相關的設置。

圖46 高級選項中隐藏有奧妙

對于類似于大白菜PE這樣的往被恢複系統的開始菜單啟動項添加VBS文件的陷阱來說，用戶隻需要在恢複完系統後，先不要重啟電腦，就在PE系統中進入相關目錄删除該VBS文件即可斷掉它自啟動的源頭。而對于通用PE這種替換系統文件的陷阱來說，你可不能單純的把被替換的Explorer文件删除，還得在Gho文件中找到原Explorer進行恢複操作，否開機後則将無法進入桌面。

總結

從上邊的測試結果可以看到，參評的幾款較多用戶使用的網友DIY版PE系統，大多都在其傻瓜式系統備份恢複工具中做了手腳，用戶一不小心，沒有取消相關的選項，就會導緻恢複好的Windows被修改浏覽器主頁及安裝N個軟件的情況。這些比較知名的網友DIY PE尚且如此，那些被惡意修改的PE，則更加可能還有更加惡劣的地方。

确需要使用相關的軟件，須在制作PE時取消相關的贊助商選項。而最好的方法就是進入PE系統後手動進行GHOST備份恢複操作。當然，一個比較純淨的PE系統，如測試中尚未發現修改現象的天意及微PE也是一個好的選擇。

有網友會說，那直接用網友DIY的GHOST系統好了。可是這些GHOST系統安裝的軟件和流氓行為可能更多。想要純淨版的，還是老老實實的去msdn i tell you下載原版的系統光盤鏡像來安裝吧。

最後，紀念一下我那為了測試而光榮犧牲的U盤。還有硬盤也挺可憐的，3天時間承受了30多次的系統GHOST恢複操作。

附：手動GHOST步驟 操作有風險，操作需謹慎，步驟選項錯誤将導緻整個硬盤或者相關分區數據文件丢失。

GHOST備份系統教程：

圖 Local→Partition→To Image(千萬不要選DISK)

圖 選擇需要備份的硬盤

圖 選擇需要備份的硬盤分區

圖 選擇Gho備份文件存放位置

圖 選擇壓縮方式(壓縮越大速度越慢)

GHOST恢複系統教程：

圖 Local→Partition→From Image(千萬不要選DISK)

圖 選擇Gho文件所在位置

圖 選擇需要恢複的備份分區指備份文件裡的(通常默認即可)

圖 選擇需要恢複到的硬盤

圖 選擇需要恢複到的分區

圖 确認恢複操作将清除目标分區的一切數據

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!