USBOS V3.0能启动M1虚拟机,PE工具越“强大”反而越让人不敢用,它到底干了啥没明说。
最近重装电脑,又翻出U盘里的PE工具。不是什么高大上的事,就是硬盘坏了想把文件拷出来,结果搜个“PE启动盘”,首页弹出来全是大白菜、老毛桃,点进去下载完一运行,桌面突然多了个“极速浏览器”,后台还占着15%的CPU,我连关都关不掉。后来问了个搞运维的朋友,他说:“现在90%的免费PE,连镜像都没法验签,你点的不是启动盘,是别人的后门入口。”
USBOS V3.0是去年底下载的,版本号20221031,官网说支持Win2003到Win10所有位数,还能启动Surface Pro 9和M1虚拟机。我试了,真能进——用OpenCore搭了个虚拟机,选USBOS ISO,直接进了桌面。没有广告弹窗,也没自动装软件,桌面上就几个图标:DiskGenius精简版、HD Tune、还有个叫“BitLocker解密助手”的小工具。但点开DiskGenius,版权信息里没写授权类型,官网也没说明是免费商用还是仅限个人。
微PE我也试了。体积不到200MB,启动快,进系统三秒内。但它卡在Win10 1803内核,我的新本子是锐龙7 7840HS,第一次启动黑屏,换USB口、关Secure Boot才勉强进去。查了GitHub,最近一次更新是2022年11月,issue里一堆人问UEFI+TPM2.0兼容问题,没人回。不过它整个ISO里没一个外链域名,驱动全带微软签名,用火绒扫了一遍,零风险。
老毛桃和大白菜我删了。不是因为它们不能用,是真不敢用。去年火绒报告里写的清清楚楚:老毛桃v9.9的IO.SYS里嵌了远程控制模块,大白菜v10.0会悄悄往硬盘隐藏分区写一个叫“autochk.dat”的文件,开机自动执行。我没逆向,但我用diskpart看了下,那个分区确实存在,属性是“隐藏、系统、只读”,我删不掉。
USBOS的网卡驱动包是可选加载的,得手动点一下“网络支持”,不然连不上WiFi。这听着挺干净,可它的驱动包没开源,也没提供签名证书查询方式。我用sigcheck扫了下,几个.inf文件签名是“USBOS Team”,但没看到OV或EV证书,也不是微软WHQL认证。也就是说,它没联网,但谁也不能保证驱动里没埋个悄悄读内存的小动作。
对比下来,微PE适合救急:拷文件、查坏道、删引导故障,够用,也放心。USBOS适合折腾:比如帮朋友修一台带TPM的国产机,或者测下ARM虚拟环境能不能跑WinPE工具链。但它不适合交给父母用——他们不会校验sha256,也不会看驱动签名。我下了官网提供的sha256值,用certutil -hashfile核对过,没错。可这只能证明文件没被中间篡改,不能证明代码本身没问题。
企业里根本不用这些。同事说他们批量装机直接用微软ADK+MDT,整个PE自己搭,驱动、脚本、日志全在内网可控,启动时连网线都不插。USBOS虽然开了GitHub,放了几段构建脚本,但核心PE镜像、所有驱动模块、BitLocker模块源码全没公开。Issues页面空空如也,最新一条是2022年10月发的,标题是“V3.0发布”。
有人说USBOS比微PE“强大”,因为它能做的事多。可我觉得,“强大”不是功能多,是出了问题我能查到哪一步。微PE启动失败,我能看到日志里卡在哪句命令;USBOS黑屏,我连日志都进不去,只能重插U盘再试。它支持的内核多,但多出来的那几个,没人告诉你哪个有漏洞,哪个驱动已经三年没更新补丁。
我重新做了个U盘,微PE放主分区,USBOS放第二个分区标成“备用”。不是迷信谁,是留个后手。万一哪天遇到个加密硬盘,微PE打不开,就切过去试试那个BitLocker助手。用之前,照样核对SHA256,照样用sigcheck扫驱动。不嫌麻烦,因为上次丢了客户三份合同,就因为信了某款PE说的“智能修复”。
它没删我文件,也没偷我密码。但它让我记住了:再干净的界面,也可能是盖在黑盒上的白纸。
USBOS V3.0,能进M1也能进Surface,但它的驱动没签名,也没源码,你敢信它哪部分。
全部评论