大白菜U盘启动盘手动去除捆绑第三方赞助软件 | 您所在的位置:网站首页 › 大白菜找不到系统文件 › 大白菜U盘启动盘手动去除捆绑第三方赞助软件 |
笔者最近在使用大白菜U盘安装微软官方Windows标准镜像后出现了大量第三方捆绑软件: 笔者在早些年使用老毛桃U盘也有类似问题,这类启动盘将会以一个可执行程序加入刚刚安装好后的系统开机启动项内,在这个过程中程序会自动更改一个随机的名字(这个做法和病毒木马很像),据观察大多数以大写字母开头,系统刚刚安装完毕在第一次进入系统后立即会运行此程序,此程序会预定设置好目录下的大量的第三方软件进行安装。这时也就会看到桌面在不停的出现刚刚安装的捆绑程序。当捆绑程序全部安装完毕的时候执行程序会自我删除。 解决方法两种: 第一种方法采用官方渠道,虽说对于捆绑软件目前可以使用官方的去除赞助商的方式进行去除,但是有些需要注册账号或者微信公众号获取密码等比较傻瓜的方式,网络上搜索到的方法大多是这种。 第二种方法手动去除 笔者在早些年做的启动盘官方并没有留此功能 所以当时也是受到其他文章影响方法是自行手动去除。 鉴于早期处理这种手动删除掉对应部署程序后即可。所以最近使用大白菜U盘也想使用最传统的方式准备如法炮制。对于此方法适用于大部分主流启动盘,但是需要一定的动手能力和识别能力。 所以本文主要说明第二种方法分享一下过程 正文我们先看看这个捆绑安装的特征: 刚刚安装完微软标准Win10企业版系统镜像在第一次开机 计算机启动项中出现一串随机字母+数字组合的程序 看样子作者很狡猾居然玩起了改名术据我分析每次安装完毕系统名字都会不同应该是随机生成。右下角还有系统正在部署,请耐心等待字样。 首先我们打开FbinstTool1.6 并将U盘插入电脑 查看启动盘内部的一些文件鉴于我查看捆绑软件总体积应当在100M以上所以我以大文件入手 我在IMGS列表中发现一个极为可疑的Important.IMG文件 我将其导出,我并不能打开它。 首先我们进入PE系统来寻找一下可疑文件 不料 在System32目录下找到了一个名字为NUML0CK.EXE的 非常可疑的可执行文件 Win2003PE 下也有 不错!我们查看属性以及大小哈希计算一下确认和大写字母部署为同一程序! 下面我们开始找源镜像 使用FbinstTool 我们打开左侧PE目录 看到了DBC2003和DBC8x64 这正好对应Win2003pe 和 Win8pe 两个镜像
在System32目录下面按照 修改日期排序 最晚的也是2017年的这并不符合我们之前出现的大写首字母的部署程序。那个程序最近修改日期是2018年之后。(笔者当前系统时间位2020年)
对于这种U盘启动盘 老毛桃、大白菜等免费供大家使用对于捆绑软件来换取收入最正常不过了。如果感觉此方法麻烦可以通过官方提供的方式进行解除。 对于其加密的压缩包密码、启动项的添加等,本文并没有深入分析。对于市面这类U盘启动盘其镜像一键安装程序内部定有蹊跷感兴趣的同学可以进行逆向分析。 本文 仅供学习参考。 2020/5/5 by MH8888 |
CopyRight 2018-2019 实验室设备网 版权所有 |