筆者最近在使用大白菜U盤安裝微軟官方Windows標準鏡像后出現(xiàn)了大量第三方捆綁軟件：

筆者在早些年使用老毛桃U盤也有類似問題，這類啟動盤將會以一個可執(zhí)行程序加入剛剛安裝好后的系統(tǒng)開機啟動項內(nèi)，在這個過程中程序會自動更改一個隨機的名字（這個做法和病毒木馬很像），據(jù)觀察大多數(shù)以大寫字母開頭，系統(tǒng)剛剛安裝完畢在第一次進入系統(tǒng)后立即會運行此程序，此程序會預(yù)定設(shè)置好目錄下的大量的第三方軟件進行安裝。這時也就會看到桌面在不停的出現(xiàn)剛剛安裝的捆綁程序。當(dāng)捆綁程序全部安裝完畢的時候執(zhí)行程序會自我刪除。

解決方法兩種：

第一種方法

采用官方渠道，雖說對于捆綁軟件目前可以使用官方的去除贊助商的方式進行去除，但是有些需要注冊賬號或者微信公眾號獲取密碼等比較傻瓜的方式，網(wǎng)絡(luò)上搜索到的方法大多是這種。

第二種方法

手動去除
筆者在早些年做的啟動盤官方并沒有留此功能 所以當(dāng)時也是受到其他文章影響方法是自行手動去除。
鑒于早期處理這種手動刪除掉對應(yīng)部署程序后即可。所以最近使用大白菜U盤也想使用最傳統(tǒng)的方式準備如法炮制。對于此方法適用于大部分主流啟動盤，但是需要一定的動手能力和識別能力。

所以本文主要說明第二種方法分享一下過程

正文

我們先看看這個捆綁安裝的特征：
剛剛安裝完微軟標準Win10企業(yè)版系統(tǒng)鏡像在第一次開機
計算機啟動項中出現(xiàn)一串隨機字母+數(shù)字組合的程序 看樣子作者很狡猾居然玩起了改名術(shù)據(jù)我分析每次安裝完畢系統(tǒng)名字都會不同應(yīng)該是隨機生成。右下角還有系統(tǒng)正在部署,請耐心等待字樣。

桌面圖標還在不停的增加，大量捆綁第三方軟件出現(xiàn)，順勢找到安裝程序目錄如下安裝程序加一起占用將近200M磁盤空間，并且觀察部署程序會安裝完畢一個刪除一個。

我們找到部署程序進程定位到文件查看一下發(fā)現(xiàn)它再Windows目錄下面，我立刻將其Copy一下，待會分析一下。不料很快所有捆綁軟件安裝完成它已將自己刪除掉了。看特征這個就是主要的部署程序消滅它應(yīng)該就可以達到目的，我們需要從根源消除。

首先我們打開FbinstTool1.6 并將U盤插入電腦 查看啟動盤內(nèi)部的一些文件鑒于我查看捆綁軟件總體積應(yīng)當(dāng)在100M以上所以我以大文件入手 我在IMGS列表中發(fā)現(xiàn)一個極為可疑的Important.IMG文件 我將其導(dǎo)出，我并不能打開它。

找了一圈并沒有發(fā)現(xiàn) 100M以上可疑的對象，我準備將他先刪除掉試試。將他刪除后我重新測試安裝系統(tǒng)。頓時的第三方捆綁軟件安裝程序目錄是空的了，確實捆綁軟件已經(jīng)不見了。成功將捆綁軟件移除，但是我發(fā)現(xiàn)它的部署程序依舊在運行 雖然沒有安裝包了但是部署程序依舊傻傻的工作，于是乎我又開始尋找這個 大寫字母加數(shù)字開頭的部署程序的源頭。

首先我們進入PE系統(tǒng)來尋找一下可疑文件 不料 在System32目錄下找到了一個名字為NUML0CK.EXE的 非常可疑的可執(zhí)行文件

Win2003PE 下也有

不錯！我們查看屬性以及大小哈希計算一下確認和大寫字母部署為同一程序！

那么我們著手將他干掉。因為我們運行的PE是臨時加載在內(nèi)存中的所以在PE中刪除掉這個文件將沒有任何作用，下次進入PE仍然會有，所以根據(jù)經(jīng)驗我們需要修改PE源鏡像。

下面我們開始找源鏡像
使用FbinstTool 我們打開左側(cè)PE目錄 看到了DBC2003和DBC8x64
這正好對應(yīng)Win2003pe 和 Win8pe 兩個鏡像

我們可以點擊Qemu測試 可以看到對應(yīng)的啟動盤菜單 對應(yīng)的項目我們可以更改但不在本文范疇。

我們將 DBC2003.ISO和DBC8x64.ISO光盤鏡像右鍵導(dǎo)出的對應(yīng)目錄下
先來修改Win8這個 通過UltraISO軟碟通 加載DBC8x64.ISO鏡像定位到PE目錄下看到了名為DBC8x64.WIM映像文件
再將DBC8x64.WIM文件進行提取出來。通過WimTool工具進行解包

使用WimTool解開映像 選擇好對應(yīng)的文件和解包的目錄

我們點擊解開映像在對應(yīng)目錄下面看到了解包后的文件，這個就是我們運行PE系統(tǒng)的系統(tǒng)盤中的文件，我們進入子目錄里面看看能否找到一些端倪。

在Windows和System32目錄下面并沒有發(fā)現(xiàn)可疑的安裝程序部署文件

在System32目錄下面按照 修改日期排序 最晚的也是2017年的這并不符合我們之前出現(xiàn)的大寫首字母的部署程序。那個程序最近修改日期是2018年之后。（筆者當(dāng)前系統(tǒng)時間位2020年）

既然我們在PE環(huán)境下的System32目錄下面發(fā)現(xiàn)了對應(yīng)的程序那么在這個PE鏡像靜態(tài)解包后卻找不到，那么也就是能反映 此程序是通過PE系統(tǒng)運行后進行Copy到System32目錄下面的，那么源程序到底在哪呢。我們繼續(xù)搜其他文件夾 在我翻遍所有目錄時候唯獨發(fā)現(xiàn)Windows目錄下Packages文件夾異常的可疑

其內(nèi)容為7Z后綴名的壓縮包，嘗試打開卻提示需輸入密碼
見此狀況尤為可疑,我立即將PF.7z文件刪除掉重新打包所有鏡像將DBC8x64.ISO替換，準備U盤引導(dǎo)看看系統(tǒng)有何反映。

進入PE過程中一路順利，很快就到了PE桌面在在加載程序，我立刻發(fā)現(xiàn) 桌面附帶的一些軟件少了很多幾乎全部不見了。那么我內(nèi)心立即清楚此7z壓縮包為PE解包相應(yīng)軟件的母體。
那么我看到System32.7z的大小為 5087kb這個體積和之前部署程序的體積尤為接近 幾乎就是5M左右。于是乎我毫不猶豫的刪除掉了System32.7z ，同樣從新打包鏡像，進入PE系統(tǒng)
來到System32目錄下面 沒錯NUML0CK.exe確實不見了。

再來安裝系統(tǒng)測試 發(fā)現(xiàn)沒有問題，不會出現(xiàn) 部署程序了。就此 大白菜啟動盤清除捆綁軟件工作完畢。可以放放心心裝系統(tǒng)了。
新安裝的官方鏡像沒有任何捆綁軟件。一切OK。

Win2003PE鏡像 我也進行了 處理方式大同小異。

總結(jié)

對于這種U盤啟動盤 老毛桃、大白菜等免費供大家使用對于捆綁軟件來換取收入最正常不過了。如果感覺此方法麻煩可以通過官方提供的方式進行解除。
對于其加密的壓縮包密碼、啟動項的添加等，本文并沒有深入分析。對于市面這類U盤啟動盤其鏡像一鍵安裝程序內(nèi)部定有蹊蹺感興趣的同學(xué)可以進行逆向分析。

本文 僅供學(xué)習(xí)參考。

2020/5/5by MH8888

總結(jié)

以上是生活随笔為你收集整理的大白菜U盘启动盘手动去除捆绑第三方赞助软件的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。