大白菜U盘启动盘手动去除捆绑第三方赞助软件

笔者最近在使用大白菜U盘安装微软官方Windows标准镜像后出现了大量第三方捆绑软件：

笔者在早些年使用老毛桃U盘也有类似问题，这类启动盘将会以一个可执行程序加入刚刚安装好后的系统开机启动项内，在这个过程中程序会自动更改一个随机的名字（这个做法和病毒木马很像），据观察大多数以大写字母开头，系统刚刚安装完毕在第一次进入系统后立即会运行此程序，此程序会预定设置好目录下的大量的第三方软件进行安装。这时也就会看到桌面在不停的出现刚刚安装的捆绑程序。当捆绑程序全部安装完毕的时候执行程序会自我删除。

解决方法两种：

第一种方法

采用官方渠道，虽说对于捆绑软件目前可以使用官方的去除赞助商的方式进行去除，但是有些需要注册账号或者微信公众号获取密码等比较傻瓜的方式，网络上搜索到的方法大多是这种。

第二种方法

手动去除
笔者在早些年做的启动盘官方并没有留此功能 所以当时也是受到其他文章影响方法是自行手动去除。
鉴于早期处理这种手动删除掉对应部署程序后即可。所以最近使用大白菜U盘也想使用最传统的方式准备如法炮制。对于此方法适用于大部分主流启动盘，但是需要一定的动手能力和识别能力。

所以本文主要说明第二种方法分享一下过程

正文

我们先看看这个捆绑安装的特征：
刚刚安装完微软标准Win10企业版系统镜像在第一次开机
计算机启动项中出现一串随机字母+数字组合的程序 看样子作者很狡猾居然玩起了改名术据我分析每次安装完毕系统名字都会不同应该是随机生成。右下角还有系统正在部署,请耐心等待字样。

桌面图标还在不停的增加，大量捆绑第三方软件出现，顺势找到安装程序目录如下安装程序加一起占用将近200M磁盘空间，并且观察部署程序会安装完毕一个删除一个。

我们找到部署程序进程定位到文件查看一下发现它再Windows目录下面，我立刻将其Copy一下，待会分析一下。不料很快所有捆绑软件安装完成它已将自己删除掉了。看特征这个就是主要的部署程序消灭它应该就可以达到目的，我们需要从根源消除。

首先我们打开FbinstTool1.6 并将U盘插入电脑 查看启动盘内部的一些文件鉴于我查看捆绑软件总体积应当在100M以上所以我以大文件入手 我在IMGS列表中发现一个极为可疑的Important.IMG文件 我将其导出，我并不能打开它。

找了一圈并没有发现 100M以上可疑的对象，我准备将他先删除掉试试。将他删除后我重新测试安装系统。顿时的第三方捆绑软件安装程序目录是空的了，确实捆绑软件已经不见了。成功将捆绑软件移除，但是我发现它的部署程序依旧在运行 虽然没有安装包了但是部署程序依旧傻傻的工作，于是乎我又开始寻找这个 大写字母加数字开头的部署程序的源头。

首先我们进入PE系统来寻找一下可疑文件 不料 在System32目录下找到了一个名字为NUML0CK.EXE的 非常可疑的可执行文件

Win2003PE 下也有

不错！我们查看属性以及大小哈希计算一下确认和大写字母部署为同一程序！

那么我们着手将他干掉。因为我们运行的PE是临时加载在内存中的所以在PE中删除掉这个文件将没有任何作用，下次进入PE仍然会有，所以根据经验我们需要修改PE源镜像。

下面我们开始找源镜像
使用FbinstTool 我们打开左侧PE目录 看到了DBC2003和DBC8x64
这正好对应Win2003pe 和 Win8pe 两个镜像

我们可以点击Qemu测试 可以看到对应的启动盘菜单 对应的项目我们可以更改但不在本文范畴。

我们将 DBC2003.ISO和DBC8x64.ISO光盘镜像右键导出的对应目录下
先来修改Win8这个 通过UltraISO软碟通 加载DBC8x64.ISO镜像定位到PE目录下看到了名为DBC8x64.WIM映像文件
再将DBC8x64.WIM文件进行提取出来。通过WimTool工具进行解包

使用WimTool解开映像 选择好对应的文件和解包的目录

我们点击解开映像在对应目录下面看到了解包后的文件，这个就是我们运行PE系统的系统盘中的文件，我们进入子目录里面看看能否找到一些端倪。

在Windows和System32目录下面并没有发现可疑的安装程序部署文件

在System32目录下面按照 修改日期排序 最晚的也是2017年的这并不符合我们之前出现的大写首字母的部署程序。那个程序最近修改日期是2018年之后。（笔者当前系统时间位2020年）

既然我们在PE环境下的System32目录下面发现了对应的程序那么在这个PE镜像静态解包后却找不到，那么也就是能反映 此程序是通过PE系统运行后进行Copy到System32目录下面的，那么源程序到底在哪呢。我们继续搜其他文件夹 在我翻遍所有目录时候唯独发现Windows目录下Packages文件夹异常的可疑

其内容为7Z后缀名的压缩包，尝试打开却提示需输入密码
见此状况尤为可疑,我立即将PF.7z文件删除掉重新打包所有镜像将DBC8x64.ISO替换，准备U盘引导看看系统有何反映。

进入PE过程中一路顺利，很快就到了PE桌面在在加载程序，我立刻发现 桌面附带的一些软件少了很多几乎全部不见了。那么我内心立即清楚此7z压缩包为PE解包相应软件的母体。
那么我看到System32.7z的大小为 5087kb这个体积和之前部署程序的体积尤为接近 几乎就是5M左右。于是乎我毫不犹豫的删除掉了System32.7z ，同样从新打包镜像，进入PE系统
来到System32目录下面 没错NUML0CK.exe确实不见了。

再来安装系统测试 发现没有问题，不会出现 部署程序了。就此 大白菜启动盘清除捆绑软件工作完毕。可以放放心心装系统了。
新安装的官方镜像没有任何捆绑软件。一切OK。

Win2003PE镜像 我也进行了 处理方式大同小异。

总结

对于这种U盘启动盘 老毛桃、大白菜等免费供大家使用对于捆绑软件来换取收入最正常不过了。如果感觉此方法麻烦可以通过官方提供的方式进行解除。
对于其加密的压缩包密码、启动项的添加等，本文并没有深入分析。对于市面这类U盘启动盘其镜像一键安装程序内部定有蹊跷感兴趣的同学可以进行逆向分析。

本文 仅供学习参考。

																			 2020/5/5
																			 by MH8888