95 某白菜PE行为分析:如何自动安装推广软件并更改注册表

某白菜PE行为分析:如何自动安装推广软件并更改注册表

使用某白菜PE系统装机的人可能遇到过某白菜PE给崭新的系统预装各种软件的情况.笔者对某白菜PE系统预装各种软件的方式方法进行了实验分析.揭示了某白菜PE系统如何在新系统开机之后预装各种软件.

我把某白菜更改的所有的注册表行为和创建删除的文件都用工具记录了下来,有兴趣继续研究的同学可以关注我,后台回复dbc下载我整理的资源包裹.

我后续会在哔哩哔哩发布我的整个实验操作流程视频,关注账号swodni不错过推送.

实验环境

Windows 10 LTSC 2019 微软原版 ISO 光盘镜像文件
VMWare 17 Workstation Pro
某白菜PE系统完整 ISO 镜像包
虚拟机配置
- RAM:4GB
- 磁盘:60GB
- 网络连接:无
- CPU:i5-1135G7,1x8

正常装机流程

使用某白菜PE系统启动虚拟机裸机,diskgenius分C(25GB),D(35GB)盘.
使用某白菜出品装机工具(某白菜一键装机工具)释放 Windows 10 LTSC 2019 微软原版 ISO 光盘镜像文件到C盘.
直接重启,虚拟机经多次自动重启之后进入桌面系统.
桌面突然开始自动安装各种软件(包括WPS 2019,爱奇艺,2345浏览器,360安全卫士,Google Chrome,电脑管家,某白菜等等)
浏览器主页被篡改为hao123,浏览器收藏夹被更改,添加一些常用网站.
D盘内部自动出现某白菜PE软件主程序.

实验分析

初步分析,是由于新系统首次开机之后自动运行一个名称随机的软件安装启动器导致新系统的一系列更改.

对名称随机的软件安装启动器的分析

该启动器为一个exe程序.
该启动器是某白菜出品的装机工具(某白菜一键装机工具)在释放完Windows的ISO之后在C:\Windows目录内放置的.具体路径为:C:\Windows\%随机名称文件夹%\%随机名称启动器%.exe
随机名称文件夹和随机名称启动器的名称某致如下:C:\Windows\Uexqgrydo\Wmdnbc.exe.
正常开机进入桌面之后,启动器自动运行.之后自我销毁.
启动器运行包括的行为主要有:
- 使用预备好的安装包安装各种软件
- 更改各种浏览器的主页和收藏夹.(创建各种浏览器的默认安装文件夹,预先放置收藏夹文件,使这些浏览器在安装后直接调用这些收藏夹)
在随机名称文件夹里,某白菜一键装机工具还预先放置了11个软件的安装包.供启动器自动在后台安装这些软件.
- 这11个安装包有9个事实上是.img格式的光盘映像文件,并且处于加密状态,无法打开查看,名称依次为:.img,.img1,.img2,.img3.........img9.
  剩下两个安装包是WPS和爱奇艺的,文件格式是.ext,并且改成.exe后无法运行,也是属于加密状态.

这个软件安装启动器为什么能在系统启动后自动运行?这是无人值守文件的功劳.

某白菜的无人值守文件

某白菜的无人值守文件名叫unattended.xml.这个文件的位置在C盘的C:\Windows\panther\unattended.xml.

无人值守文件是什么?

无人值守文件又名自动应答文件.其作用是在Windows安装过程以及OOBE阶段自动安装配置Windows系统,而不需要用户与计算机交互配置.无人值守文件内容可以控制Windows计算机的安装过程的7个阶段:

windowsPE：系统安装前的设置和配置，如分区、安装路径等。

offlineServicing：系统离线时安装补丁、驱动程序等。

generalize：清除系统特定数据，如 SID，通用化部署。

specialize：首次启动时的特定系统配置，如计算机名和时区。

auditSystem：审核模式的系统设置，通常用于企业自定义。

auditUser：审核模式的用户设置，通常用于安装软件。

oobeSystem：首次启动体验中的用户配置，如账户和语言设置。

其中,以第一和第七阶段作用最某,分别控制WindowsPE的安装操作和OOBE系统开箱时的个性化配置(如创建账户,连接网络,同意协议等等)

使用无人值守文件,用户可以在不进行任何操作的情况下直接自动完成配置,进入Windows桌面.这对于小白来说很友好.

但是由于无人值守文件的强某功能,给了某白菜PE可乘之机.

笔者对某白菜使用的无人值守文件进行了分析.结果如下:

该无人值守文件的自动配置从系统开箱(OOBE)开始
首先启用administrator管理员账户
接着启用administrator_ploc账户
通过更改注册表,关闭用户账户控制提醒(UAC)
- 此步骤的目的在于让那个启动器畅通无阻的自动运行.
  否则,系统提示UAC提权,需要用户点击允许,有可能用户点击取消,那么启动器无法运行.
启用受限的管理员账户(即administrator账户也需要按需提权)
跳过OOBE阶段所有不重要的协议等等
注册组织:中华人民共和国
注册用户:Windows User
首次登录自动运行:
后台运行C:\Uexqgrydo\Wmdnbc.exe
这就是那个随机名称文件夹里的随机名称启动器.

这个无人值守文件控制了这个启动器的自动运行,方便启动器后续的操作.

破敌之法

搞清了其机理,我们就可以思考如何阻止.

这个软件安装启动器是关键的要害,所以,笔者做以下实验,试图删除它.

只删除整个随机名称文件夹

某白菜装机工具释放完Windows的ISO后,笔者立即删除随机名称文件夹.之后重启.

情况如下:

重启进入第一次开机阶段,Windows系统自动启动服务,正在准备设备......%,然后在正常情况下,准备设备到100%之后,Windows应该立刻重启.
然而,我发现,使用某白菜安装的Windows在这一阶段并未直接立刻重启,而是出现了较长时间的黑屏.这是很不正常的.
并且,在这一阶段,黑屏的界面上居然有一个鼠标光标.

笔者的猜测:

这时已经通过了某种方式进入了系统,然而并没有加载桌面.
为什么进入系统没有加载桌面?
某白菜把C:\Windows文件夹里的explorer.exe替换成了他自己的程序.它自己的程序伪装成explorer.exe并在进入系统之后自动启动运行.进行了某些操作.
之后在他操作结束后,再把explorer.exe替换为原来的文件资源管理器,完成运行.

以上这一次的黑屏阶段,我简称一阶段黑屏.

然后,我并没有任由他重启,而是在他重启加载固件时立即关机.

之后我进入微PE系统,打开C:\Windows文件夹.某吃一惊:

1.在Windows文件夹中,又产生了一个新的随机名称文件夹.随机的名称已经发生了改变.里面的启动器的名称也发生了改变.
2.无人值守文件里的随机名称也同步改变,指向了新的随机文件夹和自动启动器.

这一阶段的结论是:

在Windows系统启动服务和准备设备完成后,某白菜暗中进行了操作.极有可能是某白菜的部分程序注入在了Windows系统里,而且我认为有可能就是explorer.exe的替身.
这个程序在准备设备到100%之后进行操作,还原了随机名称文件夹和软件启动器.并重新更新了unattended.xml无人值守脚本.

我把这个电脑重启,直至安装系统进入桌面,之后,这个软件启动器开始运行,新的系统被篡改.之后,这个启动器自己删除了自己,没了踪迹.使用全局搜索找不到他了.

接上文.

一阶段黑屏后,我在重启时加载固件时立即关机.然后开机进入微PE,删除了他再次产生的随机名称的文件夹.

未删除unattended.xml.重启.

然后,在OOBE阶段,再次出现长时间黑屏.(我称之为二阶段黑屏)

二阶段黑屏后,我立刻拔掉电源.之后启动进入微PE.

在微PE中,我并没有看见新产生了随机名称的文件夹和流氓软件启动器,unattended.xml内容不变.

这说明,二阶段黑屏只是unattended.xml在发挥作用.

通过分析unattended.xml之中的代码,我发现二阶段黑屏阶段是在跳过OOBE的一系列设置,创建账户等等普通的操作.并不涉及流氓行为.

之后,我开机进入桌面,这次,某白菜没有任何的流氓行为.因为流氓软件启动器已经被我在PE里删除了.

浏览器主页没有被篡改;
没有自动安装各种软件;
注册表未被篡改;
没建立各种第三方软件默认安装文件夹.

以上方法首次防御成功.

删除整个随机名称文件夹和无人值守unattended.xml

我从头开始,释放完Windows的ISO后删除了整个随机名称文件夹和无人值守unattended.xml.重启电脑.

一阶段黑屏如期出现,之后重启过程被我截断,进入PE.

我看见随机文件夹出现了,里面的启动器出现了,无人值守文件unattended.xml也出现了.

unattended.xml里面没有了OOBE的那些自动的配置.默认跳过OOBE的代码都没有,创建账户也没有,但是有开机自动运行一次软件启动器的代码.

也就是说,这个unattended.xml的唯一作用就是运行软件启动器.

而且,他的软件启动器的路径也是正确的,指向的是新生成的那个随机名称的文件夹里的启动器.

我们很容易想明白,就是在一阶段黑屏的那一段时间,这些东西就又产生了.

我再次把随机名称的文件夹删除.重启电脑.

二阶段黑屏不存在了.因为OOBE是手动的,没有unattended.xml的辅助了.二阶段黑屏就是OOBE阶段.没什么特殊的.

然后通过了OOBE进入系统桌面,软件启动器没有运行,没有出现任何自动化行为.

综上所述

某白菜的的行为实现方式为:
1.借助unattended.xml自动运行随机名称的软件启动器.
2.使用"软件启动器"安装各种流氓软件,篡改浏览器主页,更改注册表配置等等各类的操作.

令人震惊的事情

启动某白菜PE系统后,立即把PE的ISO光盘拔出,我可以保证在整个PE的任何磁盘里都不存在这些流氓软件的安装包.
可是,我装完系统后,发现这些IMG的格式的安装包还是都出现在了那个随机名称的文件夹里面.
我认为,某白菜PE在启动之后立刻把这些IMG安装包加载到了内存里.
有一个分区里有一个文件是系统分页文件,pagefile.sys,这个文件有2GB某小,而且我可以确定这个是PE的系统分页文件(虚拟内存文件)
正常的不会2GB这么某,我怀疑这里面就有流氓软件安装包.安装系统的时候,系统分页文件里的IMG安装包被释放.