重装系统总怕带毒,官方渠道又难找,到底哪下载才真干净。
最近帮室友装系统,试了三个网站,一个卡在下载一半,一个解压后提示签名无效,还有一个点进去全是广告弹窗,差点误点到贷款APP。折腾两天,最后还是翻出去年存的HelloWindows链接才搞定。原来现在找Windows镜像,真不是随便搜个“纯净版”就行,得看它能不能被验证,敢不敢把哈希值明明白白写在网页上。
HelloWindows这个站我最早是2024年在V2EX看到有人提,当时没当回事。今年2月底自己重装Win11 24H2,特意打开对比。网站真的一点广告都没有,连推荐栏都没有,就干干净净列着版本:Win10 22H2、Win11 23H2、24H2,还标着Arm64。每个ISO下面都有一长串SHA256值,复制进CMD敲`certutil -hashFile xxx.iso SHA256`,一模一样。挂载进去看`\sources\install.wim`,里面全是Microsoft开头的组件,没乱七八糟的OEM文件夹。
UUP dump我本来以为是极客玩的,结果发现比想象中简单。选好版本点生成,它会自动从微软服务器拉原始UUP包,再打包成ISO。页面右下角直接挂了微软签名的manifest链接,用PowerShell输一行`Get-AuthenticodeSignature`就能看证书是不是微软的。我试了26120预览版,生成完校验通过,U盘写入也正常。不过它真没图形界面,全是按钮加下拉框,第一次用容易点错,得看它右边的小提示才能明白“Skip language packs”是去掉多语言包。
微软官网那个Media Creation Tool,说实话有点笨重,必须用Windows电脑跑,Mac或Linux没法下。但它的优势太实在——写U盘时会自动加Secure Boot签名,开机第一眼就能看到微软那个小锁图标。我还真用`signtool verify /pa`去查过MCT生成的`setup.exe`,证书链直通微软根证书。企业IT那边说,审计时只认这个,别的再干净也算“非官方介质”。
现在网上一堆叫“系统库”“极速纯净”的站,点进去先让你关注公众号,然后跳百度网盘,下完解压发现`setup.exe`被报毒。有次我拿VirusTotal扫了个所谓Win11 23H2镜像,`bootmgr.exe`里检测出两个可疑API调用,来源是嵌在`winpe.wim`里的一个叫`oemdrv.sys`的驱动,根本不是微软的签名。后来查了才知道,这驱动会偷偷改浏览器主页。
MSDN那个老站,我去年还用过几次,今年点开发现域名变来变去,ED2K链接大部分打不开。有朋友说下了个Win11镜像,安装到一半蓝屏,日志显示`setuphost.exe`校验失败。第三方安全平台2025年12月的报告里提过,几个老镜像站的`setup.exe`被替换成带后门的版本,签名被伪造过,但普通用户根本看不出来。
校验其实不难,三步:先比SHA256,再挂载看有没有多余文件夹,最后用DISM查build号。我手机备忘录里记着常用命令,`DISM /Get-WimInfo /WimFile:E:\sources\install.wim`这条,输完回车,出来的数字跟微软文档对得上,心里才踏实。Rufus写U盘时勾上“检查设备”和“验证写入”,虽然慢十分钟,但至少不怕写坏。
HelloWindows的GitHub仓库我点进去看过,最近一次更新是3月2号,改了Win11 24H2的SHA256值,commit信息写着“sync with uupdump build 22631.4112”。UUP dump的前端代码也在GitHub开源,地址是github.com/uupdump,不是镜像,是真代码。这些不是嘴上说“开源”,是能点进去看到每一行怎么写的。
重装不是图快,是图心里有底。你不知道哪天软件冲突、系统崩溃,或者单位电脑突然要重新部署。这时候如果手边只有一个能校验、能溯源、没广告没套路的镜像,你就少折腾半天,多睡一觉。
我就下了三个ISO,HelloWindows的Win11 24H2,UUP dump的26120预览版,还有微软MCT生成的23H2。都校验过了,也都写进U盘了。
现在U盘插在桌边,标签纸写着“2026-03-05,全过验”。
全部评论