影子系统、还原精灵、冰点还原优缺点比较【转贴】
qiaodan89 · 2008-07-06 01:27 · 56555 次点击
**影子系统工作原理:**
所谓影子系统,即重启系统一切测试(操作)将不复存在。意即硬盘还原卡、还原精灵等性质一样。由原系统进入影子系统,再退出影子系统返回原系统的整个过程,,所做的档案储存,上网记录,软体安装等等都不会被记录。
说其原理,应和还原精灵类似。说其真正原理,我不和乱说,仅是通过测试猜测了一下,大家应该用过InstallWatch之类的监测软件吧,它是监控每个操作记录。这类在重启时进行反操作。
PowerShadowMaster(影子系统)是款很奇特的小软体,当你安装它并重新启动电脑以后,电脑会类似安装了双系统一样,多出一个启动项,选择其中PowerShadowMaster的启动项后,原系统是完全一样的使用,但是你的一切操作,包括安装程式(甚至运行病毒)在下次用原系统启动时,都是无效的,对做程式安装测试非常有用,不会因为安装卸载而产生LJ档!所谓影子系统!-----重启系统一切测试将不复存在!
但是系统到底怎么样是不是真的像传说中的那样厉害百毒不侵!现在我们来看一个测试~~
1PowerShadow的工作原理测试报告(转)
1.先确保系统无毒,对C盘做个ghost备份
2.在单一保护模式下,打开影子保护
3.用冰刀(IceSword)等内核工具强行中止影子的所有进程
4.用冰刀等内核工具强制删除几个操作系统锁定的重要组成文件,假如系统安装在C:\WINDOWS\目录下,可以删除c:\NTDETECT.COM文件,c:\ntldr文件,C:\WINDOWS\system32\drivers\目录下的所有文件,C:\WINDOWS\repair\目录下的所有文件(C:\WINDOWS\repair\目录是不可见目录,保存着注册表信息,在冰刀下可以删除)
另外再删除几个C盘中的大文件
5.核对一下C盘的容量,C盘所有文件占据的容量+C盘空闲空间容量,是否等于C盘硬件分区的总容量,如果小于C盘硬件分区总容量,说明影子系统把被删除的文件隐藏在C盘的其他地方了,破坏失败,不用再往下做了
如果,C盘所有文件占据的容量+C盘空闲空间容量=C盘硬件分区总容量,继续往下做
6.这一步很关键,关系到破坏最终能否成功
用bcwipe等硬盘擦除软件擦除C盘的空闲空间,最好擦3遍以上,看擦除软件是否能成功擦除C盘的空闲空间
7.如果成功擦除了C盘的空闲空间,关机重启,看看还能不能正常开机?那些被强制删除的文件还在不在?
如果还能正常开机,被删除的文件自动恢复,影子系统确实厉害!为它鼓鼓掌!
如果不能正常开机或有文件不能恢复,请用第1步的ghost备份恢复C盘
为便于测试,把测试方式修改为不对系统具有破坏性,否则把系统文件破坏了,后面的测试不一定能进行得下去,步骤如下:
1.拷贝几个大的影像文件到C盘,把C盘的空闲空间压缩到500M
2.安装影子,重启时选择进入单一保护模式
3.中止ShadowService.exe和ShadowTip.exe进程
4.删除C盘原有的一个影像文件(700M),C盘显示空闲空间约为1200M
5.用bcwipe擦除C盘空闲空间,失败!bcwipe显示写硬盘出错,这是从未发生过的事情
6.另外拷贝一个光盘镜像文件(400M)到C盘,可以正常导入虚拟光驱运行,C盘显示空闲空间约800M
7.继续拷贝一个新影像文件(300M)到C盘
问题出现了,系统频繁弹出如附图的对话框,提示windows延缓写入失败,这种情况一般只有在硬盘空间不够时才出现,但此时即使算上新影像文件(300M),C盘应有500M左右的空闲空间
8.不理会频繁弹出的“延缓写入失败”对话框,后来甚至出现C盘的主文件表$MFT延缓写入失败,都不管,持续拷贝了将近10分钟,新影像文件(300M)居然拷贝到C盘,“延缓写入失败”对话框消失后,可以用播放器正常播放这个影像文件
分析1:
如果影子系统把被删除的原来的影像文件(700M)保存在C盘空闲空间的隐藏部分,那么C盘实际可用的空闲空间只有500M,刚才拷贝新影像文件(300M)到C盘时,频繁弹出对话框似乎证明了这点,但是后来拷贝到C盘的两个文件加起来已经超过500M,为什么还能正常使用?
9.调出工具查看内存,发现512M物理内存只有20M可用,几个工具都不能显示失踪的几百M内存被哪个进程使用了
10.删除拷贝到C盘的新影像文件(300M),失踪的内存回来了,可用物理内存上涨到300多M
分析2:
先拷贝到C盘的光盘镜像文件因为没有超过C盘实际可用的空闲空间,保存在硬盘上,此时虽然显示C盘空闲空间有800M,但实际可用的空闲空间只有100M,后拷贝到C盘的新影像文件(300M)超过了C盘实际可用的空闲空间,被保存在内存中,删掉新影像文件(300M)后,“失踪”的内存就回来了
11.用工具查看system进程,发现system进程加载了一个c:\windows\system32\driver\SnpShot.sys,这个文件是影子系统的组成文件,只有28K,system进程将此文件加载到内存中
12.再拷贝一个超过512M物理内存的新影像文件2(700M)到C盘,此时C盘显示空闲空间有约800M,理论上应该能拷贝,实际上拷贝失败,这一次仍然频繁弹出“延缓写入失败”对话框,但持续近2个小时都无法拷贝完成(能拷贝完成才怪呢,内存只有512M,700M往哪放?),并且系统假死,因为可用内存被耗尽,只能reset重启
13.重启时仍然进入单一保护模式,C盘原来的文件都在,后拷贝过去的文件都不在,为影子鼓鼓掌!
分析3:
影子启动单一保护模式后,C盘原有文件在硬盘上都不能动,即使删除也只是显示为删除,实际上这部分删除后多出来的空间是无法动用的,对后来写入的文件,如果能动用的硬盘空间够用就写在硬盘里,否则就写在内存里,如果内存也不够用则系统假死,重启后恢复原状
结论:
1.影子的核心进程不是ShadowService.exe和ShadowTip.exe,这两个是摆摆噱头的,影子真正的进程是system,这是系统核心进程,无法中止,即使不开启影子保护模式,system进程仍然加载SnpShot.sys,一旦加载即驻留内存,即使删除SnpShot.sys也没用
2.影子需要Windows系统支持,在DOS下影子是可以被干掉的,比如用软盘、光盘、U盘启动DOS,但这几乎不可能在远程操作,不知道有没有DOS上网软件?
3.影子启动保护后,如果能让system进程把SnpShot.sys从内存中卸下,则影子会被干掉,这可能是以后病毒的主攻方向
4.影子没有改写硬盘MBR,这一点大家可以放心
影子系统缺点:
1、采用单一影子模式时,不能选择排除某个文件夹在外。比如我选择的是保护系统盘C盘,但我又想在使用影子系统重启后能保留杀软的升级结果。这样的功能影子系统没有,(shadowuser这个软件有)
2。进入影子系统后不能随时退出随时进入,必须重启系统,这是最大的一个遗憾,降低了便利性。
下面还有一篇摘于一篇论坛上论影子系统的漏洞之处的文章
“在论坛上经常碰到有人使用PowerShadow也遇到很多的受害者.今天我抽出时间专门就PowerShadow这个软件做简要的说明,以正视听
PowerShadow作为一款还原类的软件,在国内的互联网很火,不少人认为我的系统装了PowerShadow是万事大吉,百毒不侵,互联网中也这么宣传.实际上这种说法是完全错误的.
装了PowerShadow真的是安全了吗?答案显然是否定的
一盗号木马面前PowerShadow束手无策
我们知道互联网中有一种广泛使用的木马叫盗号木马(所有人都该知道的).盗号木马严格意义上说是一次性的木马,为什么呢?盗号木马以盗走你的特定的帐号密码为目的.一旦植入系统盗走你的帐号和密码后木马完成了使命.你再去清理他,木马清理后损失已经造成了,无法挽回了.然而你在PowerShadow的保护下中了此类木马,因为影子是虚拟的系统而不是具有保护功能的防火墙,当你重启系统后,木马消失了同时帐号和密码已经在黑客的手中了.PowerShadow不但没有保护作用反而替黑客做了销毁证据的工作.
二再坚固的保护依旧得敞开
大家经常会安装各式各样的软件,在PowerShadow的保护下安装是无法安装的,我们必须在正常的模式下安装软件,如果这时候安装包中捆绑了木马.你依旧会中木马,再启动PowerShadow的保护,除非你发现了否则这个木马会一直陪伴你.
三先入为主
很多人喜欢在做完系统后装上所有应该装的软件后再装PowerShadow予以保护以求安全,如果你的应用软件不干净,结果会和第二点一样.
四系统崩溃
PowerShadow和其他还原类软件一样,依旧存在系统崩溃的问题.有过崩溃经验的PowerShadow用户应该有过开机后发现找不到**文件而不得已全部重装的经历.其实原因很简单PowerShadow还原出错,就会导致系统无法启动和文件目录丢失,而且PowerShadow改写了分区信息和引导程序数据,很容易造成系统崩溃.
五无法彻底卸载
如果通过简单的卸载程序进行卸载是无法卸载PowerShadow的.大家在卸载完PowerShadow以后用sreng软件看一下驱动程序会发现snpshot.sys依旧在running(运行)看图用SREng在安全模式下删除或改动这个文件后,系统即崩溃,不能启动也不能进入安全模式.为啥呢?很简单这个文件的启动方式是bootstart你在安全模式下删肯定会出问题的.然而PowerShadow卸载并没有还原修改的主引导.系统崩溃并不奇怪了.
有人问那咋卸载呢.有这么几种方式.
其中能彻底卸载影子的是低格和换硬盘….
低格就是debug,一般硬盘厂商有debug工具下载后按照提示做.但是低格是很伤硬盘的.
除了上述两种办法,可以尝试用系统安装盘光驱引导后进入安装界面删除所有的分区再建立新的分区然后开始漫长的系统重装……
其次有全盘ghost的用户可以尝试ghost还原但是根据反馈的效果依旧有部分残留.
对于仅仅格式化系统盘的用户根据反馈的信息看是无法彻底卸载的.”
看到这大家心里也有个了解了吧,什么事物不可能十全十美的,根据自己的爱好去选择自己喜欢的还原软件吧!个人见解:冰点还原还是蛮稳定的,而且密码保护很强,很难破解,安全性很高。就是操作起来有点麻烦,但是还是个不错的还原软件的!个人爱好吧
**还原精灵的工作原理**
还原精灵修改了硬盘的引导扇区,硬盘的引导扇区又被称为MBR(主引导记录),它位于硬盘的0磁头0柱面1扇区。
还原精灵的工作原理涉及到中断概念:中断是指CPU暂停当前运行的程序,转而执行中断提交的程序。
int13是中断指令,其中int是指令助记符,13(十六进制数)是中断号。当用户对硬盘进行操作时,基本输入输出系统(BIOS)向CPU提出中断请求,CPU转而执行int13提交的程序。
int13提交给CPU执行的MBR位于是0扇区。如果在BIOS中设置了硬盘启动的话,系统会首先载入这个扇区的MBR到内存,然后运行这个代码,还原精灵就是用自己的引导代码来代替标准的引导代码。这个方法与引导型病毒一样。不过,引导型病毒的目的是破坏系统,而还原精灵的目的是保护系统。
还原精灵的代码接管了引导扇区后,每当我们向硬盘的文件分配表写入数据时,总是被导入硬盘数据区,没有真正修改硬盘中的文件分配表FAT。例如:我们在做硬盘的写操作。由于INT13的服务程序被接管,当还原精灵发现是写硬盘操作,便将原先数据的目的地址指向它自己定义的一段连续的空磁盘空间,并将先前备份的FAT中相关数据指向这片空间。所以还原精灵需要被保护的磁盘上有较大的空闲空间,它需要利用这段空间。进一步地,用户不可能格式化真正的硬盘,因为所有对硬盘的操作都要通过还原精灵的处理。
根据以上原理,有人提出了一个破解还原精灵的方法:
从光盘引导系统后,在dos下将原先C盘的数据全部删除,然后往C盘里狂拷垃圾数据,直到C盘满为止,下次从硬盘启动时,因为保护区数据(即扇区中的数据)被替换为垃圾数据而系统瘫痪?此时还原精灵就失效了。
大家认为这种说法是否可行???
大家是否意识到,还原精灵只是修改13号中断,如果我从光盘引导系统,(假设我在还原精灵里设置为自动还原C盘)然后把C盘的文件统统删除(注意,不是格式化),按照你的说法,
1。如果是从硬盘引导,那么将会增加C盘非保护区的空间占用;
2。如果是从光盘或其他介质引导,那么此次删除操作则是将真正在保护区内的文件删除咯?如果此时我再往C盘里狂复制数据,直到其满为止,那么保护区的数据也将被全部抹掉
**然后说一下还原精灵的蔽端吧**
1密码太容易破解早在几年前在网吧盛行还原精灵的时候,那时候的病毒和一些电脑高手不是太多的时候破解还原精灵就非常的普遍了。不信的话你可以随便到些软件下载站找一下破解还原精灵的工具和方法随处一抓都是一大把~~哈哈~~这个就不多做介绍了!
2引导区容易出现错误这是致命的错误啊!
本人原来装的篮球3。0的系统一进用的还原精灵,后来用时间长了想换系统(本人喜新厌旧啊,老大不要打我啊),把还原卸载了,把C盘格掉,换了个系统装(不是克隆系统),装好系统,装好应用软件以后装还原,提示重新启动,重启后出现分区表错误,当时头一蒙,用PQ查看一下硬盘,完了,分区表数据全部丢失,我的硬盘可是160大G啊,里面有很多本人喜欢的MP3、电影,最主要的是还有公司很多重要的数据啊,当时那个气啊,一下爆发成MAX,当时因为对数据恢复这方面的知识浅薄,而且还急于恢复系统就直接Format分区装系统了,如果当时想办法恢复一下数据至少有%90以上的数据可以恢复吧。现在不说这个了。
一些使用过还原精灵软件或还原卡的硬盘,我们能够对硬盘进行分区,格式化,但是重新启动电脑后就恢复原状态;或者是还原精灵密码丢失,我们无法正常卸载还原精灵;甚至是我们对硬盘低格后,虽然能够安装系统,但是无法从硬盘自检,检查激活分区,系统分区都正常。对于此类故障,其原因就是硬盘主引导区(MBR)的引导程序代码没有被更新,仍然是被还原精灵软件所控制,这时我们只要从光盘引导启动系统,使用”FDISK/MBR”命令就可以解决此类问题。
另外使用”FDISK/MBR”命令进行重写主引导扇区时,此法可能会丢失硬盘中的数据,只能在万不得已时使用,注意不要在多于四个分区的硬盘上.
其实有时候“fdidsk/mbr”命令也不会起作用
原因:还原精灵确实卸载了还原精灵确实好用,恢复系统的时候很方便,不过它也会把系统引导区加入自己的引导信息,所以在重装系统的时候不允许随便更改引导区,导致分区表错误,有些经过一些程序编辑过的还原精灵即使你卸载了是卸不干净的!
**冰点还原工作原理:**
冰点的还原是争夺南桥芯片的I0控制权来实现的,当装入正确的驱动后,冰点就可以正确的拿到I0控制器的控制权,就达到了任何关于硬盘的写入都要经过他的控制,这样就可以轻易的达到还原目的,同样,双系统或者GHOST恢复的话,正确装上了冰点的系统才会有还原功能,如果没有装的话,当然就没有啦.所以GHOST下可以无限制的添加文件,而windows下添加文件就被还原了.
补充一点:冰点是随着windows的启动才启动的,windows启动加载驱动的时候冰点就通过某种方式触发启动了,由于冰点有I0控制器的控制权,所以,他可以把任何写入硬盘的东西放到任何地方,不知道大家有没看过temp(windows临时文件夹)下有个DF5.TMP对不?具体的文件名我记不到蛮清楚了,而且,我现在不在我的网吧里,这家网吧把C盘屏蔽了!@#$%$%所以不能提供具体的名称了,大家可以自己看看
补充,冰点的转储一般是随着windows的临时文件夹的,所以,系统做完以后一定要把windows临时文件夹转移到一个比较空闲的盘里,不然,就会出现丢失文件的情况的(下载大文件后丢失文件就是这样引起的),因为,DF把所有写入的文件都放在那里面,虽然表面上看你丢在了别处,但是存储位置实际上还是在临时文件夹里,只是windows显示给你的路径给你了误导,它在硬盘上的实际位置应该是在临时文件夹下面。
DOS下面不可能操作冰点啊,就算是使用NTFSDOS修改了它,就可能启动不好了
另外,DF设计用于NTFS的时候就认为NTFS不被DOS支持,所以,没有提供DOS下的支持,甚至在FAT32的win98的DOS下都不提供支持,DF的设计是面向windows的
你只有重刻系统一种方法了
最好把系统的文件格式改为NTFS,但是NTFS确实也存在丢失文件的,我曾经遇到过,但是,NTFS丢失文件绝大部分是与硬件相关的,我遇上问题的那次是键盘的接口接触不好,更换键盘,文件丢失现象就解决了,
windows2000/XP/2003下有个NTDETECT.COM文件,这个文件是在windows启动的时候负责读取硬件信息的程序,ntldr在每次启动的时候第一个加载的就是它,然后它会给分别读取每个硬件的信息,决定ntldr需要加载的驱动程序,因为这个程序不是windows下的程序,设计的也很简便,所以,硬件如果有某些小问题,造成没有发现某些必须的硬件,某些驱动便不能加载,然后提示文件丢失(有时候BIOS能通过,能报错哪些硬件损坏,但windows在启动的时候没有告诉你什么硬件坏了吧?要么启动失败,要么启动成功以后告诉你什么什么坏了),我们有时候遇到这样的事情,机器不能启动了,但,放几天又好了,或者放几天又坏了,就存在某些元件受潮?受热?很多小小小的不能小的问题集中起来就要出大问题的.我的说法很偏激,是一种比较的钻牛角尖的说法的,如果你每台机器都是那样的话那就不存在硬件上的问题了,但在我看来,丢失文件的几率真的很低啊(NTFS).所以,NTFS下丢文件,基本上是硬件引起的,不知道哪位兄弟能给出点意见啊.又或者我分析的不对了.
在补充点NTDETECT.COM这个文件在启动的时候会往注册表里的一个键下面添加硬件环境信息,具体我不清楚啦,以此来决定加载什么驱动的,没有检测什么哪个硬件就不会加载相应的驱动,ntldr在加载系统文件的时候就有可能发生错误,说什么什么文件丢失,其实,那个文件还是存在的,只是没有按NTDETECT.COM给出的列表加载进去而已。
缺点嘛现在目前唯一发现的一点就是:操作起来非常麻烦,要想保存一次数据至少要重启2次不像还原精灵那样点一下“转储”就OK了。