筆者最近在使用大白菜U盤安裝微軟官方Windows標(biāo)準(zhǔn)鏡像后出現(xiàn)了大量第三方捆綁軟件：

筆者在早些年使用老毛桃U盤也有類似問(wèn)題，這類啟動(dòng)盤將會(huì)以一個(gè)可執(zhí)行程序加入剛剛安裝好后的系統(tǒng)開(kāi)機(jī)啟動(dòng)項(xiàng)內(nèi)，在這個(gè)過(guò)程中程序會(huì)自動(dòng)更改一個(gè)隨機(jī)的名字（這個(gè)做法和病毒木馬很像），據(jù)觀察大多數(shù)以大寫字母開(kāi)頭，系統(tǒng)剛剛安裝完畢在第一次進(jìn)入系統(tǒng)后立即會(huì)運(yùn)行此程序，此程序會(huì)預(yù)定設(shè)置好目錄下的大量的第三方軟件進(jìn)行安裝。這時(shí)也就會(huì)看到桌面在不停的出現(xiàn)剛剛安裝的捆綁程序。當(dāng)捆綁程序全部安裝完畢的時(shí)候執(zhí)行程序會(huì)自我刪除。

解決方法兩種：

第一種方法

采用官方渠道，雖說(shuō)對(duì)于捆綁軟件目前可以使用官方的去除贊助商的方式進(jìn)行去除，但是有些需要注冊(cè)賬號(hào)或者微信公眾號(hào)獲取密碼等比較傻瓜的方式，網(wǎng)絡(luò)上搜索到的方法大多是這種。

第二種方法

手動(dòng)去除
筆者在早些年做的啟動(dòng)盤官方并沒(méi)有留此功能 所以當(dāng)時(shí)也是受到其他文章影響方法是自行手動(dòng)去除。
鑒于早期處理這種手動(dòng)刪除掉對(duì)應(yīng)部署程序后即可。所以最近使用大白菜U盤也想使用最傳統(tǒng)的方式準(zhǔn)備如法炮制。對(duì)于此方法適用于大部分主流啟動(dòng)盤，但是需要一定的動(dòng)手能力和識(shí)別能力。

所以本文主要說(shuō)明第二種方法分享一下過(guò)程

正文

我們先看看這個(gè)捆綁安裝的特征：
剛剛安裝完微軟標(biāo)準(zhǔn)Win10企業(yè)版系統(tǒng)鏡像在第一次開(kāi)機(jī)
計(jì)算機(jī)啟動(dòng)項(xiàng)中出現(xiàn)一串隨機(jī)字母+數(shù)字組合的程序 看樣子作者很狡猾居然玩起了改名術(shù)據(jù)我分析每次安裝完畢系統(tǒng)名字都會(huì)不同應(yīng)該是隨機(jī)生成。右下角還有系統(tǒng)正在部署,請(qǐng)耐心等待字樣。

桌面圖標(biāo)還在不停的增加，大量捆綁第三方軟件出現(xiàn)，順勢(shì)找到安裝程序目錄如下安裝程序加一起占用將近200M磁盤空間，并且觀察部署程序會(huì)安裝完畢一個(gè)刪除一個(gè)。

我們找到部署程序進(jìn)程定位到文件查看一下發(fā)現(xiàn)它再Windows目錄下面，我立刻將其Copy一下，待會(huì)分析一下。不料很快所有捆綁軟件安裝完成它已將自己刪除掉了。看特征這個(gè)就是主要的部署程序消滅它應(yīng)該就可以達(dá)到目的，我們需要從根源消除。

首先我們打開(kāi)FbinstTool1.6 并將U盤插入電腦 查看啟動(dòng)盤內(nèi)部的一些文件鑒于我查看捆綁軟件總體積應(yīng)當(dāng)在100M以上所以我以大文件入手 我在IMGS列表中發(fā)現(xiàn)一個(gè)極為可疑的Important.IMG文件 我將其導(dǎo)出，我并不能打開(kāi)它。

找了一圈并沒(méi)有發(fā)現(xiàn) 100M以上可疑的對(duì)象，我準(zhǔn)備將他先刪除掉試試。將他刪除后我重新測(cè)試安裝系統(tǒng)。頓時(shí)的第三方捆綁軟件安裝程序目錄是空的了，確實(shí)捆綁軟件已經(jīng)不見(jiàn)了。成功將捆綁軟件移除，但是我發(fā)現(xiàn)它的部署程序依舊在運(yùn)行 雖然沒(méi)有安裝包了但是部署程序依舊傻傻的工作，于是乎我又開(kāi)始尋找這個(gè) 大寫字母加數(shù)字開(kāi)頭的部署程序的源頭。

首先我們進(jìn)入PE系統(tǒng)來(lái)尋找一下可疑文件 不料 在System32目錄下找到了一個(gè)名字為NUML0CK.EXE的 非常可疑的可執(zhí)行文件

Win2003PE 下也有

不錯(cuò)！我們查看屬性以及大小哈希計(jì)算一下確認(rèn)和大寫字母部署為同一程序！

那么我們著手將他干掉。因?yàn)槲覀冞\(yùn)行的PE是臨時(shí)加載在內(nèi)存中的所以在PE中刪除掉這個(gè)文件將沒(méi)有任何作用，下次進(jìn)入PE仍然會(huì)有，所以根據(jù)經(jīng)驗(yàn)我們需要修改PE源鏡像。

下面我們開(kāi)始找源鏡像
使用FbinstTool 我們打開(kāi)左側(cè)PE目錄 看到了DBC2003和DBC8x64
這正好對(duì)應(yīng)Win2003pe 和 Win8pe 兩個(gè)鏡像

我們可以點(diǎn)擊Qemu測(cè)試 可以看到對(duì)應(yīng)的啟動(dòng)盤菜單 對(duì)應(yīng)的項(xiàng)目我們可以更改但不在本文范疇。

我們將 DBC2003.ISO和DBC8x64.ISO光盤鏡像右鍵導(dǎo)出的對(duì)應(yīng)目錄下
先來(lái)修改Win8這個(gè) 通過(guò)UltraISO軟碟通 加載DBC8x64.ISO鏡像定位到PE目錄下看到了名為DBC8x64.WIM映像文件
再將DBC8x64.WIM文件進(jìn)行提取出來(lái)。通過(guò)WimTool工具進(jìn)行解包

使用WimTool解開(kāi)映像 選擇好對(duì)應(yīng)的文件和解包的目錄

我們點(diǎn)擊解開(kāi)映像在對(duì)應(yīng)目錄下面看到了解包后的文件，這個(gè)就是我們運(yùn)行PE系統(tǒng)的系統(tǒng)盤中的文件，我們進(jìn)入子目錄里面看看能否找到一些端倪。

在Windows和System32目錄下面并沒(méi)有發(fā)現(xiàn)可疑的安裝程序部署文件

在System32目錄下面按照 修改日期排序 最晚的也是2017年的這并不符合我們之前出現(xiàn)的大寫首字母的部署程序。那個(gè)程序最近修改日期是2018年之后。（筆者當(dāng)前系統(tǒng)時(shí)間位2020年）

既然我們?cè)赑E環(huán)境下的System32目錄下面發(fā)現(xiàn)了對(duì)應(yīng)的程序那么在這個(gè)PE鏡像靜態(tài)解包后卻找不到，那么也就是能反映 此程序是通過(guò)PE系統(tǒng)運(yùn)行后進(jìn)行Copy到System32目錄下面的，那么源程序到底在哪呢。我們繼續(xù)搜其他文件夾 在我翻遍所有目錄時(shí)候唯獨(dú)發(fā)現(xiàn)Windows目錄下Packages文件夾異常的可疑

其內(nèi)容為7Z后綴名的壓縮包，嘗試打開(kāi)卻提示需輸入密碼
見(jiàn)此狀況尤為可疑,我立即將PF.7z文件刪除掉重新打包所有鏡像將DBC8x64.ISO替換，準(zhǔn)備U盤引導(dǎo)看看系統(tǒng)有何反映。

進(jìn)入PE過(guò)程中一路順利，很快就到了PE桌面在在加載程序，我立刻發(fā)現(xiàn) 桌面附帶的一些軟件少了很多幾乎全部不見(jiàn)了。那么我內(nèi)心立即清楚此7z壓縮包為PE解包相應(yīng)軟件的母體。
那么我看到System32.7z的大小為 5087kb這個(gè)體積和之前部署程序的體積尤為接近 幾乎就是5M左右。于是乎我毫不猶豫的刪除掉了System32.7z ，同樣從新打包鏡像，進(jìn)入PE系統(tǒng)
來(lái)到System32目錄下面 沒(méi)錯(cuò)NUML0CK.exe確實(shí)不見(jiàn)了。

再來(lái)安裝系統(tǒng)測(cè)試 發(fā)現(xiàn)沒(méi)有問(wèn)題，不會(huì)出現(xiàn) 部署程序了。就此 大白菜啟動(dòng)盤清除捆綁軟件工作完畢。可以放放心心裝系統(tǒng)了。
新安裝的官方鏡像沒(méi)有任何捆綁軟件。一切OK。

Win2003PE鏡像 我也進(jìn)行了 處理方式大同小異。

總結(jié)

對(duì)于這種U盤啟動(dòng)盤 老毛桃、大白菜等免費(fèi)供大家使用對(duì)于捆綁軟件來(lái)?yè)Q取收入最正常不過(guò)了。如果感覺(jué)此方法麻煩可以通過(guò)官方提供的方式進(jìn)行解除。
對(duì)于其加密的壓縮包密碼、啟動(dòng)項(xiàng)的添加等，本文并沒(méi)有深入分析。對(duì)于市面這類U盤啟動(dòng)盤其鏡像一鍵安裝程序內(nèi)部定有蹊蹺感興趣的同學(xué)可以進(jìn)行逆向分析。

本文 僅供學(xué)習(xí)參考。

2020/5/5by MH8888

總結(jié)

以上是生活随笔為你收集整理的大白菜U盘启动盘手动去除捆绑第三方赞助软件的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。