影子系統工作原理: 本文來源按我連結
所謂影子系統,即重啟系統一切測試(操作)將不復存在。意即硬盤還原卡、還原精靈等性質一樣。由原系統進入影子系統,再退出影子系統返回原系統的整個過程,,所做的檔案儲存, 上網記錄,軟體安裝等等都不會被記錄。
說其原理,應和還原精靈類似。說其真正原理,我不和亂說,僅是通過測試猜測了一下,大家應該用過InstallWatch之類的監測軟體吧,它是監控每個操作記錄。這類在重啟時進行反操作。
PowerShadow Master(影子系統)是款很奇特的小軟體,當你安裝它並重新啟動電腦以後,電腦會類似安裝了雙系統一樣,多出一個啟動項,選擇其中PowerShadow Master的啟動項後,原系統是完全一樣的使用,但是你的一切操作,包括安裝程式(甚至運行病毒)在下次用原系統啟動時,都是無效的,對做程式安裝測試非常有用,不會因為安裝卸載而產生LJ檔!所謂影子系統!-----重啟系統一切測試將不復存在!
但是系統到底怎麼樣 是不是真的像傳說中的那樣厲害 百毒不侵!現在我們來看一個測試~~
1 PowerShadow的工作原理測試報告(轉)
1.先確保系統無毒,對C盤做個ghost備份
2.在單一保護模式下,打開影子保護
3.用冰刀(IceSword)等內核工具強行中止影子的所有進程
4. 用冰刀等內核工具強制刪除幾個作業系統鎖定的重要組成文件,假如系統安裝在C:\WINDOWS\目錄下,可以刪除c:\NTDETECT.COM文件, c:\ntldr文件,C:\WINDOWS\system32\drivers\目錄下的所有文件,C:\WINDOWS\repair\目錄下的所有文件(C:\WINDOWS\repair\目錄是不可見目錄,保存著註冊表資訊,在冰刀下可以刪除)
另外再刪除幾個C盤中的大文件
5.核對一下C盤的容量,C盤所有文件佔據的容量+C盤空閒空間容量,是否等於C盤硬體分區的總容量,如果小于C盤硬體分區總容量,說明影子系統把被刪除的文件隱藏在C盤的其他地方了,破壞失敗,不用再往下做了
如果,C盤所有文件佔據的容量+C盤空閒空間容量=C盤硬體分區總容量,繼續往下做
6.這一步很關鍵,關係到破壞最終能否成功
用bcwipe等硬盤擦除軟體擦除C盤的空閒空間,最好擦3遍以上,看擦除軟體是否能成功擦除C盤的空閒空間
7.如果成功擦除了C盤的空閒空間,關機重啟,看看還能不能正常開機?那些被強制刪除的文件還在不在?
如果還能正常開機,被刪除的文件自動恢復,影子系統確實厲害!為它鼓鼓掌!
如果不能正常開機或有文件不能恢復,請用第1步的ghost備份恢復C盤
為便於測試,把測試方式修改為不對系統具有破壞性,否則把系統文件破壞了,後面的測試不一定能進行得下去,步驟如下:
1.拷貝幾個大的影像文件到C盤,把C盤的空閒空間壓縮到500M
2.安裝影子,重啟時選擇進入單一保護模式
3.中止ShadowService.exe和ShadowTip.exe進程
4.刪除C盤原有的一個影像文件(700M),C盤顯示空閒空間約為1200M
5.用bcwipe擦除C盤空閒空間,失敗!bcwipe顯示寫硬盤出錯,這是從未發生過的事情
6.另外拷貝一個光碟鏡像文件(400M)到C盤,可以正常導入虛擬光碟機運行,C盤顯示空閒空間約800M
7.繼續拷貝一個新影像文件(300M)到C盤
問題出現了,系統頻繁彈出如附圖的對話方塊,提示windows 延緩寫入失敗,這種情況一般只有在硬盤空間不夠時才出現,但此時即使算上新影像文件(300M),C盤應有500M左右的空閒空間
8.不理會頻繁彈出的“延緩寫入失敗”對話方塊,後來甚至出現C盤的主文件表$MFT延緩寫入失敗,都不管,持續拷貝了將近10分鐘,新影像文件(300M)居然拷貝到C盤,“延緩寫入失敗”對話方塊消失後,可以用播放器正常播放這個影像文件
分析1:
如果影子系統把被刪除的原來的影像文件(700M)保存在C盤空閒空間的隱藏部分,那麼C盤實際可用的空閒空間只有500M,剛才拷貝新影像文件(300M)到C盤時,頻繁彈出對話方塊似乎證明了這點,但是後來拷貝到C盤的兩個文件加起來已經超過500M,為什麼還能正常使用?
9.調出工具查看內存,發現512M物理內存只有20M可用,幾個工具都不能顯示失蹤的幾百M內存被哪個進程使用了
10.刪除拷貝到C盤的新影像文件(300M),失蹤的內存回來了,可用物理內存上漲到300多M
分析2:
先拷貝到C盤的光碟鏡像文件因為沒有超過C盤實際可用的空閒空間,保存在硬盤上,此時雖然顯示C盤空閒空間有800M,但實際可用的空閒空間只有100M,後拷貝到C盤的新影像文件(300M)超過了C盤實際可用的空閒空間,被保存在內存中,刪掉新影像文件(300M)後,“失蹤”的內存就回來了
11.用工具查看system進程,發現system進程載入了一個c:\windows\system32\driver\SnpShot.sys,這個文件是影子系統的組成文件,只有28K,system進程將此文件載入到內存中
12.再拷貝一個超過512M物理內存的新影像文件2(700M)到C盤,此時C盤顯示空閒空間有約800M,理論上應該能拷貝,實際上拷貝失敗,這一次仍然頻繁彈出“延緩寫入失敗”對話方塊,但持續近2個小時都無法拷貝完成(能拷貝完成才怪呢,內存只有512M,700M往哪放?),並且系統假死,因為可用內存被耗盡,只能reset重啟
13.重啟時仍然進入單一保護模式,C盤原來的文件都在,後拷貝過去的文件都不在,為影子鼓鼓掌!
分析3:
影子啟動單一保護模式後,C盤原有文件在硬盤上都不能動,即使刪除也只是顯示為刪除,實際上這部分刪除後多出來的空間是無法動用的,對後來寫入的文件,如果能動用的硬盤空間夠用就寫在硬盤裏,否則就寫在內存裏,如果內存也不夠用則系統假死,重啟後恢復原狀
結論:
1.影子的核心進程不是ShadowService.exe和ShadowTip.exe,這兩個是擺擺噱頭的,影子真正的進程是system,這是系統核心進程,無法中止,即使不開啟影子保護模式,system進程仍然載入SnpShot.sys,一旦載入即駐留內存,即使刪除SnpShot.sys也沒用
2.影子需要Windows系統支援,在DOS下影子是可以被幹掉的,比如用軟碟、光碟、U盤啟動DOS,但這幾乎不可能在遠端操作,不知道有沒有DOS上網軟體?
3.影子啟動保護後,如果能讓system進程把SnpShot.sys從內存中卸下,則影子會被幹掉,這可能是以後病毒的主攻方向
4.影子沒有改寫硬盤MBR,這一點大家可以放心
影子系統缺點:
1、採用單一影子模式時,不能選擇排除某個文件夾在外。比如我選擇的是保護系統盤C盤,但我又想在使用影子系統重啟後能保留殺軟的升級結果。這樣的功能影子系統沒有,(shadowuser這個軟體有)
2。進入影子系統後不能隨時退出隨時進入,必須重啟系統,這是最大的一個遺憾,降低了便利性。
下面還有一篇摘于一篇論壇上 論影子系統的漏洞之處的文章
“在論壇上經常碰到有人使用PowerShadow 也遇到很多的受害者.今天我抽出時間專門就PowerShadow這個軟體做簡要的說明,以正視聽
PowerShadow作為一款還原類的軟體,在國內的網際網路很火,不少人認為我的系統裝了PowerShadow是萬事大吉,百毒不侵,網際網路中也這麼宣傳.實際上這種說法是完全錯誤的.
裝了PowerShadow真的是安全了嗎?答案顯然是否定的
一 盜號木馬面前PowerShadow束手無策
我們知道網際網路中有一種廣泛使用的木馬叫盜號木馬(所有人都該知道的).盜號木馬嚴格意義上說是一次性的木馬,為什麼呢? 盜號木馬以盜走你的特定的帳號密碼為目的.一旦植入系統盜走你的帳號和密碼後 木馬完成了使命.你再去清理他,木馬清理後 損失已經造成了,無法挽回了. 然而你在PowerShadow 的保護下中了此類木馬,因為影子是虛擬的系統而不是具有保護功能的防火牆,當你重啟系統後,木馬消失了同時帳號和密碼已經在駭客的手中了. PowerShadow不但沒有保護作用反而替駭客做了銷毀證據的工作.
二 再堅固的保護依舊得敞開
大家經常會安裝各式各樣的軟體,在PowerShadow的保護下安裝是無法安裝的,我們必須在正常的模式下安裝軟體,如果這時候安裝包中捆綁了木馬.你依舊會中木馬,再啟動PowerShadow的保護,除非你發現了否則這個木馬會一直陪伴你.
三 先入為主
很多人喜歡在做完系統後 裝上所有應該裝的軟體後 再 裝PowerShadow 予以保護以求安全,如果你的應用軟體不乾淨,結果會和第二點一樣.
四 系統崩潰
PowerShadow 和其他還原類軟體一樣,依舊存在系統崩潰的問題.有過崩潰經驗的PowerShadow用戶應該有過 開機後發現找不到**文件而不得已全部重裝的經歷.其實原因很簡單 PowerShadow還原出錯,就會導致系統無法啟動和文件目錄丟失,而且PowerShadow改寫了分區資訊和引導程式數據,很容易造成系統崩潰.
五 無法徹底卸載
如果通過簡單的卸載程式進行卸載是無法卸載PowerShadow的.大家在卸載完PowerShadow以後 用sreng軟體 看一下驅動程式 會發現 snpshot.sys依舊在 running(運行)看圖 用SREng在安全模式下刪除或改動這個文件後,系統即崩潰,不能啟動也不能進入安全模式.為啥呢?很簡單這個文件的啟動方式是boot start 你在安全模式下刪 肯定會出問題的.然而PowerShadow卸載並沒有還原修改的主引導.系統崩潰並不奇怪了.
有人問那咋卸載呢.有這麼幾種方式.
其中能徹底卸載影子的是低格和換硬盤….
低格就是debug,一般硬盤廠商有debug工具 下載後按照提示做.但是低格是很傷硬盤的.
除了上述兩種辦法, 可以嘗試用系統安裝盤光碟機引導 後 進入安裝界面刪除所有的分區再建立新的分區 然後開始漫長的系統重裝……
其次有全盤ghost的用戶可以嘗試 ghost還原 但是根據反饋的效果 依舊有部分殘留.
對於僅僅格式化系統盤的用戶 根據反饋的資訊看 是無法徹底卸載的.”
看到這大家心裏也有個了解了吧,什麼事物不可能十全十美的,根據自己的愛好去選擇自己喜歡的還原軟體吧!
個人見解:
冰點還原還是蠻穩定的,而且密碼保護很強,很難破解,安全性很高。就是操作起來有點麻煩,但是還是個不錯的還原軟體的!個人愛好吧
還原精靈的工作原理
還原精靈修改了硬盤的引導磁區,硬盤的引導磁區又被稱為MBR(主引導記錄),它位於硬盤的0磁頭0柱面1磁區。
還原精靈的工作原理涉及到中斷概念:中斷是指CPU暫停當前運行的程式,轉而執行中斷提交的程式。
int 13是中斷指令,其中int是指令助記符,13(十六進位數)是中斷號。當用戶對硬盤進行操作時,基本輸入輸出系統(BIOS)向CPU提出中斷請求,CPU轉而執行int 13提交的程式。
int 13提交給CPU執行的MBR位於是0磁區。如果在BIOS中設置了硬盤啟動的話,系統會首先載入這個磁區的MBR到內存,然後運行這個代碼,還原精靈就是用自己的引導代碼來代替標準的引導代碼。這個方法與引導型病毒一樣。不過,引導型病毒的目的是破壞系統,而還原精靈的目的是保護系統。
還原精靈的代碼接管了引導磁區後,每當我們向硬盤的文件分配表寫入數據時,總是被導入硬盤數據區,沒有真正修改硬盤中的文件分配表FAT。例如:我們在做硬盤的寫操作。由於INT 13的服務程式被接管,當還原精靈發現是寫硬盤操作,便將原先數據的目的地址指向它自己定義的一段連續的空磁片空間,並將先前備份的FAT中相關數據指向這片空間。所以還原精靈需要被保護的磁片上有較大的空閒空間,它需要利用這段空間。 進一步地,用戶不可能格式化真正的硬盤,因為所有對硬盤的操作都要通過還原精靈的處理。
根據以上原理,有人提出了一個破解還原精靈的方法:
從光碟引導系統後,在dos下將原先C盤的數據全部刪除,然後往C盤裏狂拷垃圾數據,直到C盤滿為止,下次從硬盤啟動時,因為保護區數據(即磁區中的數據)被替換為垃圾數據而系統癱瘓?此時還原精靈就失效了。
大家認為這種說法是否可行???
大家是否意識到,還原精靈只是修改13號中斷,如果我從光碟引導系統,(假設我在還原精靈裏設置為自動還原C盤)然後把C盤的文件統統刪除(注意,不是格式化),按照你的說法,
1。如果是從硬盤引導,那麼將會增加C盤非保護區的空間佔用;
2。如果是從光碟或其他介質引導,那麼此次刪除操作則是將真正在保護區內的文件刪除咯?如果此時我再往C盤裏狂複製數據,直到其滿為止,那麼保護區的數據也將被全部抹掉
然後說一下還原精靈的蔽端吧
1 密碼太容易破解 早在幾年前 在網吧盛行還原精靈的時候,那時候的病毒和一些電腦高手不是太多的時候破解還原精靈就非常的普遍了。不信的話你可以隨便到些軟體下載站找一下破解還原精靈的工具和方法 隨處一抓都是一大把~~哈哈~~這個就不多做介紹 了!
2 引導區容易出現錯誤 這是致命的錯誤啊!
本人原來裝的籃球3。0的系統 一進用的還原精靈,後來用時間長了想換系統(本人喜新厭舊啊,老大不要打我啊),把還原卸載了,把C盤格掉,換了個系統裝(不是克隆系統),裝好系統,裝好應用軟體以後裝還原,提示重新啟動,重啟後出現分區表錯誤,當時頭一蒙,用PQ查看一下硬盤,完了,分區表數據全部丟失,我的硬盤可是160大G啊,裏面有很多本人喜歡的MP3、電影,最主要的是還有公司很多重要的數據啊,當時那個氣啊,一下爆發成MAX,當時因為對數據恢復這方面的知識淺薄,而且還急於恢復系統 就直接Format 分區裝系統了,如果當時想辦法恢復一下數據至少有%90以上的數據可以恢復吧。現在不說這個了。
一些使用過還原精靈軟體或還原卡的硬盤,我們能夠對硬盤進行分區,格式化,但是重新啟動電腦後就恢復原狀態;或者是還原精靈密碼丟失,我們無法正常卸載還原精靈;甚至是我們對硬盤低格後,雖然能夠安裝系統,但是無法從硬盤自檢,檢查激活分區,系統分區都正常。對於此類故障,其原因就是硬盤主引導區(MBR)的引導程式代碼沒有被更新,仍然是被還原精靈軟體所控制,這時我們只要從光碟引導啟動系統,使用”FDISK /MBR”命令就可以解決此類問題。
另外使用”FDISK /MBR”命令進行重寫主引導磁區時,此法可能會丟失硬盤中的數據,只能在萬不得已時使用,注意不要在多於四個分區的硬盤上.
其實有時候 “fdidsk/mbr”命令也不會起作用
原因:還原精靈確實卸載了還原精靈確實好用,恢復系統的時候很方便,不過它也會把系統引導區加入自己的引導資訊,所以在重裝系統的時候不允許隨便更改引導區,導致分區表錯誤,有些經過一些程式編輯過的還原精靈即使你卸載了是卸不乾淨的!
冰點還原工作原理:
冰點的還原是爭奪南橋晶片的I0控制權來實現的,當裝入正確的驅動後,冰點就可以正確的拿到I0控制器的控制權,就達到了任何關於硬盤的寫入都要經過他的控制,這樣就可以輕易的達到還原目的,同樣,雙系統或者GHOST恢復的話,正確裝上了冰點的系統才會有還原功能,如果沒有裝的話,當然就沒有啦.所以GHOST下可以無限制的添加文件,而windows下添加文件就被還原了.
補充一點:冰點是隨著windows的啟動才啟動的,windows啟動載入驅動的時候冰點就通過某種方式觸發啟動了,由於冰點有I0控制器的控制權,所以,他可以把任何寫入硬盤的東西放到任何地方,不知道大家有沒看過temp(windows臨時文件夾)下有個DF5.TMP對不?具體的文件名我記不到蠻清楚了,而且,我現在不在我的網吧裏,這家網吧把C盤遮罩了!@#$%$%所以不能提供具體的名稱了,大家可以自己看看
補充,冰點的轉儲一般是隨著windows的臨時文件夾的,所以,系統做完以後一定要把windows臨時文件夾轉移到一個比較空閒的盤裏,不然,就會出現丟失文件的情況的(下載大文件後丟失文件就是這樣引起的),因為,DF把所有寫入的文件都放在那裏面,雖然表面上看你丟在了別處,但是存儲位置實際上還是在臨時文件夾裏,只是windows顯示給你的路徑給你了誤導,它在硬盤上的實際位置應該是在臨時文件夾下面。
DOS下面不可能操作冰點啊,就算是使用NTFSDOS修改了它,就可能啟動不好了
另外,DF設計用於NTFS的時候就認為NTFS不被DOS支援,所以,沒有提供DOS下的支援,甚至在FAT32的win98 的DOS下都不提供支援,DF的設計是面向windows的
你只有重刻系統一種方法了
最好把系統的文件格式改為NTFS,但是NTFS確實也存在丟失文件的,我曾經遇到過,但是,NTFS丟失文件絕大部分是與硬體相關的,我遇上問題的那次是鍵盤的介面接觸不好,更換鍵盤,文件丟失現象就解決了,
windows 2000/XP/2003下有個NTDETECT.COM文件,這個文件是在windows啟動的時候負責讀取硬體資訊的程式,ntldr在每次啟動的時候第一個載入的就是它,然後它會給分別讀取每個硬體的資訊,決定ntldr需要載入的驅動程式,因為這個程式不是windows下的程式,設計的也很簡便,所以,硬體如果有某些小問題,造成沒有發現某些必須的硬體,某些驅動便不能載入,然後提示文件丟失(有時候BIOS能通過,能報錯哪些硬體損壞,但windows在啟動的時候沒有告訴你什麼硬體壞了吧?要麼啟動失敗,要麼啟動成功以後告訴你什麼什麼壞了),我們有時候遇到這樣的事情,機器不能啟動了,但,放幾天又好了,或者放幾天又壞了,就存在某些元件受潮?受熱?很多小小小的不能小的問題集中起來就要出大問題的.我的說法很偏激,是一種比較的鑽牛角尖的說法的,如果你每台機器都是那樣的話那就不存在硬體上的問題了,但在我看來,丟失文件的幾率真的很低啊(NTFS).所以,NTFS下丟文件,基本上是硬體引起的,不知道哪位兄弟能給出點意見啊.又或者我分析的不對了.
<---->在補充點
NTDETECT.COM這個文件在啟動的時候會往註冊表裏的一個鍵下面添加硬體環境資訊,具體我不清楚啦,以此來決定載入什麼驅動的,沒有檢測什麼哪個硬體就不會載入相應的驅動,ntldr在載入系統文件的時候就有可能發生錯誤,說什麼什麼文件丟失,其實,那個文件還是存在的,只是沒有按NTDETECT.COM給出的列表載入進去而已。
缺點嘛 現在目前唯一發現的一點就是:操作起來非常麻煩,要想保存一次數據至少要重啟2次 不像還原精靈那樣點一下“轉儲”就OK了。
留言列表
留言列表
