Ghost傻瓜式系统的危害

揭谜一键Ghost的“恶”事大白菜、老毛桃、通用都不干净来源：互联网作者：佚名时间：07-03 06:54:59【大中小】在PE环境下，一键Ghost即可完成系统的重装工作，这种看上去非常贴心的安装方式，现在已被广泛采用，然而你知道么？简单并不代表简洁，如果你是个细心的人，那么你会发现在这种安装方式的下面，其实隐藏着许多猫腻，而这些猫腻，绝对与“体贴”无关。

一、实测，一键Ghost暗含猫腻为了了解一键Ghost在为我们提供了极其简便的安装方式之外，还带来了什么，我们特意对目前网络上流行的几款提供了PE环境下进行备份、恢复系统的一键Ghost工具进行了测试，这些工具包括：大白菜U盘启动制作工具V5.1 uefi启动版、老毛桃装机版20140501、电脑店超级U盘启动盘制作工具V6.2装机版、通用pe工具箱V6.1版、天意U盘系统2015元宵版、微PE工具箱1.0。

1.测试方法先到/下载原版Windows 8.1 64位操作系统的安装ISO文件（如图1），用UltraISO将其刻录成光盘后格式化C分区进行全新安装。

安装完成，安装官方硬件驱动，但不安装任何软件并进行任何设置，浏览器主页为默认设置，然后在DOS环境下启动Norton GHOST进行系统备份，这样一来，一个纯净的GHOST备份文件诞生了。

接着，用上述测试工具进入PE系统，使用刚才备份的Gho文件及工具自身提供的一键Ghos t工具对系统进行恢复，最后看它究竟对系统做了什么手脚。

2.测试结果经过漫长及繁复的还原过程，最终测试结果出来，具体情况见下表：从中我们可以发现，几款工具中除了天意和微PE表现较好，基本保持了纯净GHO系统的原貌外，其他几款工具都在还原过程对系统做了手脚，而修改浏览器主页和偷偷安装360系列工具几乎是通用作法（如图2），显然，这当中是有极大的利益关系的，工具开发者可以通过这些看似流氓的作法获得一定的经济报酬。

不过，目前的问题是，这些工具究竟是通过什么手段，达到肆意践踏用户系统目的的呢？3.揭秘，Ghost如何践踏了我们的家园经过一番对比、摸索，笔者终于发现了其中的猫腻。

幽灵漏洞(GHOST)影响大量Linux系统及其发行版安全研究人员近日曝出一个名为幽灵(GHOST)的严重安全漏洞，这个漏洞可以允许攻击者远程获取操作系统的最高控制权限，影响市面上大量Linux操作系统及其发行版。

该漏洞CVE编号为CVE-2015-0235。

什么是glibcglibc是GNU发布的libc库，即c运行库。

glibc是linux系统中最底层的api，几乎其它任何运行库都会依赖于glibc。

glibc除了封装linux操作系统所提供的系统服务外，它本身也提供了许多其它一些必要功能服务的实现。

glibc囊括了几乎所有的UNIX通行的标准。

漏洞概述代码审计公司Qualys的研究人员在glibc库中的__nss_hostname_digits_dots()函数中发现了一个缓冲区溢出的漏洞，这个bug可以经过gethostbyname*()函数被本地或者远程的触发。

应用程序主要使用gethostbyname*()函数发起DNS请求，这个函数会将主机名称转换为ip地址。

更多漏洞细节：详见视频影响范围该漏洞影响glibc库版本2.2-2.17的Linux操作系统操作系统类型包括CentOS 6 & 7Debian 7Red Hat Enterprise Linux 6 & 7Ubuntu 10.04 & 12.04各Linux发行版漏洞测试1、编译以下测试代码1.#include <netdb.h>2.#include <stdio.h>3.#include <stdlib.h>4.#include <string.h>5.#include <errno.h>6.#include <gnu/libc-version.h>7.#define CANARY "in_the_coal_mine"8.struct {9.char buffer[1024];10.char canary[sizeof(CANARY)];11.} temp = { "buffer", CANARY };12.int main(void) {13.struct hostent resbuf;14.struct hostent *result;15.int herrno;16.int retval;17./*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/18.size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;19.char name[sizeof(temp.buffer)];20.memset(name, '0', len);[len] = '\0';22.retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);23.if (strcmp(temp.canary, CANARY) != 0) {24.puts("vulnerable");25.exit(EXIT_SUCCESS);26.}27.if (retval == ERANGE) {28.puts("not vulnerable");29.exit(EXIT_SUCCESS);30.}31.puts("should not happen");32.exit(EXIT_FAILURE);33.}2、上述测试程序可以显示出glibc版本和主机是否存在漏洞gcc gistfile1.c -o CVE-2015-0235./CVE-2015-0235【编辑推荐】1.如何借助lynis扫描Linux的安全漏洞?2.你知道近一半USB设备存在安全漏洞吗?3.2014年互联网十大安全漏洞及思考4.Oracle发布严重安全漏洞预警：CVE-2015-03935.Flash曝严重安全漏洞影响全部版本Windows系统。

傻瓜化网络安装系统----gho和iso文件均可前言：你只需要一个Win.gho或者Win.iso文件，就可以实现在三无情况下（无光驱，无U盘，无软盘，极端BT的环境下）安装一个全新的Windows操作系统，哪怕你的计算机刚刚更换上一个全新未分区和格式化的硬盘。

效果：网络安装系统有两种方案：1、利用gho文件直接克隆一个系统（快速、简单、方便，但有驱动兼容性、垃圾软件和影响安全的木马或插件的问题）2、利用iso文件全新安装一个系统（就是所谓的硬装，安全性好，定制性强，就是较费时间和精力，适合有洁癖的XD）缘由：自从在淘宝购买了IBM X23、Toshiba P2010、Compaq N410c等12’轻薄本本以来，才体会到没有内置光驱的痛苦。

IBM 和Compaq的本本还好说，可以用U盘启动安装系统，没有底座或光驱也无所谓。

只要U盘够大，能把1、2G 的映像文件拷贝进去就可以了。

可是东芝的就变态了，通用的U盘和移动硬盘是不能启动的，要原装的外置光驱才行。

实在没有办法，在参阅了论坛上大量的帖子后，经过反复试验，费尽千辛万苦总算把它搞定。

BTW：这个方法除了给无光驱的本本重装系统外，还可以给以前那种没有软驱、光驱的老型号台式机重装系统。

特点：网络安装方案遵循三原则：简单：安装过程简单，傻瓜化；明了：流程讲解图文并茂，直观形象，不模棱两可；快捷：操作快捷，节约时间；总之一句话，让更多的菜鸟也能独立操作完成。

准备条件：分为硬件和软件两方面硬件:1、一台待安装系统的计算机（可以是笔记本，也可是台式机，只要具备网络启动功能就行。

如果有网络启动，则BIOS有相关选项）-----以下简称为待装机；这是Compaq N410c的BIOS，选择网络启动为第一启动顺序2、一台在WIN XP环境下正常工作的计算机----以下简称为正常机；3、交换机或带交换机的路由器；4、网线若干----通过交换机联接采用直通线；两台计算机不通过交换机而直接联接用交叉线；注意事项：两台计算机通过网线连接到交换机或路由器上，要保证网络畅通。

浅谈利用GHOST软件维护操作系统
王圣戎
【期刊名称】《计算机光盘软件与应用》
【年(卷),期】2012(000)021
【摘要】现在个人电脑的使用已经进入了我们的各行各业、千家万户，使用计算机不管是专业的计算机科班人士，还是一般的个人电脑使用用户，我们都难免会碰到计算机操作系统的崩溃，不管你的操作系统是批处理操作系统、分时操作系统、实时操作系统、网络操作系统、分布式操作系统，它都有可能在某个时间情况下崩溃；而在计算机操作系统出现崩溃的情况下，我们如何迅速而有效的恢复操作系统系统，则是摆在我们面前的重要课题？针对这一问题，作者在日常工作实践中，运用GHOST软件进行有效尝试，快速地完成了系统和应用软件的备份和恢复工作，保障了计算机网络系统的正常运作。

【总页数】2页(P132-133)
【作者】王圣戎
【作者单位】四川水利职业技术学院,成都 611830
【正文语种】中文
【中图分类】TP309.3
【相关文献】
1.谈利用GHOST软件维护操作系统 [J], 吴建军;邓丽霞;戚重;井琳
2.利用Ghost软件实现408UL操作系统的备份与恢复 [J], 刘帆;陈巍;宋玉
3.浅析ghost软件维护操作系统 [J], 宋英杰
4.利用GHOST重装操作系统疑难问题解析 [J], 丁一钧
5.利用Ghost软件维护多媒体阅览室计算机 [J], 张迎芳;王瑜;马巧焕;陈鸿文因版权原因，仅展示原文概要，查看原文内容请购买。

浅谈利用GHOST软件维护操作系统浅谈利用GHOST软件维护操作系统1 GHOST软件的功能和特点GHOST软件是综合硬件定向系统传送器（General Hardware Oriented System Transfer），是一个硬件级的传送工具，也就是硬盘对拷工具；GHOST软件是美国赛门铁克软件公司推出的一款硬盘备份还原工具软件，它可以实现FAT系列、NTFS、OS2等多种硬盘分区格式中的分区及硬盘资料备份和还原，也叫做资料克隆软件。

它称为资料克隆软件，说明GHOST软件的备份还原是以计算机硬盘的各个扇区为基础单位开展工作的，这也就是将一个硬盘上的全部资料信息进行完整的复制和备档，而不单单是基础数据的一个简单镜像拷贝；我们都知道，现在所谓的克隆人就是克隆这个对象的躯体，不能克隆对象的想法和思维。

而GHOST软件却能克隆和拷贝计算机对象系统中所有的资料，包括文字、声音、图像，甚至就是目标计算机的磁盘碎片、病毒全部都一并复制。

GHOST软件支持将对象计算机的分区或电脑硬盘直接拷贝到扩展名为.gho的文件里（这种文件也被称为目标镜像文件），同时它也支持直接将需要资料拷贝到你想要的分区或硬盘中。

而到目前为止我们知道GHOST软件它拥有企业和家庭两个版本供我们使用。

1.1 备份和恢复。

GHOST软件的备份和恢复是根据个人计算机的硬盘上的簇开展工作的。

这样即意味着在GHOST软件开始工作的时候，恢复涉及的原本硬盘分区就会被完全覆盖，已经恢复的文件资料与原来电脑硬盘上的文件地址不会发生变化，而部分备份和恢复的工具只起到备份文件资料内容的作用，不涉及到计算机的物理地址问题。

但是同样，它即可能导致恢复的目标计算机操作系统的系统文件完整性受到影响，这样当目标计算机的操作系统等受到破坏时，由这种方法恢复的，可能不能达到原计算机系统原有的操作情况。

1.2 特有功能。

GHOST软件最大的功能就是将目标对象计算机硬盘中的全部资料拷贝到其他你规定的硬盘中。

装系统选择GHOSTH还是原版ISO镜像，两者优缺点详细分析相信对于装机小白来说，安装Windows系统时选择GHOST系统好还是原版ISO镜像好，这个问题非常令其苦恼。

为了让装机小白可以更加了解GHOST系统与原版ISO镜像，接下来本文将详细介绍这两者之间的优缺点，感兴趣的朋友赶紧来看看吧。

GHOST系统：GHOST在本质上算是一个软件，是Ghost为General Hardware Oriented System Transfer（通用硬件导向系统转移）的首字母缩略字。

主要是可以既快速又完整地复制备份、还原整个硬盘或单一分区。

不少用户安装系统时，通过都是选择使用GHOST软件的，具体来说就是把别人已经安装好的系统，加上原版镜像没有的功能和应用，进行二次封装，然后我们再把别人已经封装好的镜像通过Ghost软件安装在自己的电脑上。

优点：系统安装速度快，有完整的驱动包，自动安装驱动，安装过程无需值守。

缺点：会捆绑第三方应用，有些设置是被更改过的，适合小白使用。

有的ghost镜像能够自行安装驱动，也正是如此，驱动不兼容的话很可能造成蓝屏，所以说兼容性较差。

还原单一分区的时候不支持UEFI引导，需要手动修复引导，或者使用第三方工具自带修复引导的功能。

原版ISO镜像：这是微软官方封装好的原版ISO镜像，格式都是.ISO的，除了可以直接电脑桌面运行镜像里面的SETUP程序，进行系统安装；也可以刻录在u盘上然后引导安装系统，实际上这种方法才是安装系统最简单的方法。

优点：不带第三方的应用软件，系统纯净，适合强迫症。

只带少量的驱动包，所以兼容性比Ghost版本的好，支持在桌面、PE等多种安装环境，支持legacy和UEFI两种引导模式。

原版系统更加安全更加稳定，以后安装软件时很少会跳出缺少文件或者错误的提示。

缺点：驱动不够全面，系统安装好以后需要自己打驱动。

整体安装过程繁琐、耗时较长。