标题:
让病毒见鬼去吧!影子系统深入评测
[打印本页]
作者:
YY2006
时间:
2006-11-22 11:06
标题:
让病毒见鬼去吧!影子系统深入评测
近期在网上听到了很多网友的对影子系统提出了许多疑问。为了让大家更全面地了解
PowerShadow Master
,笔者为读者“赴汤蹈火”,利用PowerShadow Master(下简称PowerShadow)进行了一些高危险性操作,从而测试其关键功能的安全性,并进行深入评析。希望笔者的意见能给大家带来参考价值。
软件原理浅析
Powershadow会克隆本机内硬盘的某个分区或所有分区,并形成一个影子,称之为
“影子模式”
。它和主系统有着相同架构和功能,用户可以在影子模式下做相同的事。影子模式顾名思义,用户可以任意摧残系统,而影子却有着无限复活之身。用户可以删改文件、安装测试各种软件(包括流氓软件、病毒),可以在明显漏洞出现情况下,实现“裸奔”,最终实现使用系统后不留任何痕迹(如图1)
图1
安装PowerShadow之后,该软件有几项重要操作:
a、注册一个
Windows
服务;
b、开机启动一个shadowtip的进程;
c、修改boot.ini配置文件实现开机时“正常模式”与“影子模式”的选择。当你开启影子模式,
PowerShadow
会生成一个ShadowService.txt文件,记录相关信息。
PowerShadow可以选择保护不同的分区,有单一影子模式与完全影子模式之分:(如图2)
图2
图一 PowerShadow的两种影子模式
危险操作测试
使用PowerShadow的影子模式到底能不能保证系统的金刚不败之身呢?相信只有实践才能证明一切:
1、删改文件
在启动单一影子模式后,笔者删改了C盘系统分区下的许多文件(包括文档数据、程序文件、Windows下的dll文件、system32下的系统文件),恢复到
正常模式
后,发现一切被删改的文件恢复如初。
2、安装风险软件
为了更一步测试安全性,笔者在单一
影子模式
下安装了几个网上流行的流氓软件:Yahoo助手、搜狗直通车、CNNIC中文上网工具条。安装后,面目全非的IE浏览器样子(如图3)
图1
图三 安装了流氓软件后的Internet Explorer
再一次回到正常模式下,我的IE浏览器简洁如初:(如图4)
图4
图四 回到正常模式后的Internet Explorer
3、打开病毒文件
在单一影子模式下,笔者打开了含有大量病毒样本的病毒包,其中含有危害程度最大的CIH病毒。在
卡巴斯基
发现病毒后。笔者不做任何处理并卸载卡巴,到再重新进行正常模式,结果一切恢复正常状态,系统毫发不损。(如图5)
图5
图五 在影子模式下,打开了大量的病毒文件(包括CIH病毒)
4、上网“裸奔”
上网裸奔是电脑爱好者的梦想,但是却往往因为裸奔造成大量的系统伤害,不得不花时间手工处理一些病毒木马。笔者使用影子系统进行了长达两天的裸奔试用,结果发现,一旦回到正常状态,原系统依旧如初。
最后,笔者将种种在影子系统下进行的危险行为汇总于下表: (如图6)
图6
个人隐私不安全、被流氓软件入侵、感染病毒、黑客入侵、无法预测的攻击。
小评:可见PowerShadow的安全性相当的强。影子模式启动后,应用层上只有一个功能,就是关闭影子系统。因此任何应用层上的程序都无法针对powershadow实施对于任何受影子模式保护文件的攻击。要损害系统的唯一方法只能是启动
正常模式
。
资源占用问题
实现如此周全的安全保护,PowerShadow对系统的要求并不高,占用的资源也很少:(如图7)
图7
图七 单一影子模式下的进程分析
整个软件安装下来,将临时文件算上也只有12MB左右,比起GHOST等生成上G的分区镜像来说真是小巧极了。更多数据信息,笔者列出下表: (如图8)
图8
关于版本与免费的问题
PowerShadow当下只有繁体版本与英文版本,据官网介绍,简体版本近期将会推出。不过网上流传有汉化版本,这给用户带来了方便。最近PowerShadow流行甚热的重要原因就是其对中国用户
免费的策略
。你只需要按下面的信息注册即可免费长期使用,这对于像笔者这样的“破解一族”确实是个福音:
用户名:PowerShadow
序列号:VVR29E-R4WCK2-K4T111-V1YHTP-4JYJDD
影子系统官方下载地址:
http://www.powershadow.com/cn/
与GHOST、虚拟机、还原精灵等软件的区别
与GHOST、虚拟机、还原精灵等软件一样,PowerShadow都是为了使系统长用如新,避免造成重装系统与安装软件的麻烦。对于一般的家用用户,和入门级用户来说,PowerShadow有很大的优势:
GHOST的运行文件比较小,但是需要生成镜像文件,而且镜像文件GHO的文件动不动就几G。还原的时候比较麻烦,需要大面积重写硬盘,覆盖文件。
虚拟机
也是可以创造一个很好的虚拟环境,但与PowerShadow不一样的地方虚拟机要占用大量硬盘空间与系统资源。
还原精灵,安装设置需要一定的电脑水平。有的需要新增硬件,有的需要设定硬盘扇区用于还原精灵使用,这都给安装带来了麻烦。
总评
PowerShadow相当适合初学者使用。笔者就打算给父母的电脑安装一个
PowerShadow
,省去经常回家修复的麻烦。也适合笔者这样的新软爱好者使用,可以试用各种各样新型的软件,免得给真系统增加垃圾信息。更适合那些专业测试人员,冒着重要风险研究病毒等风险软件。
不过PowerShadow却有一些不尽人意的地方。进入影子系统后,任何东西都不能保存。而且影子和正常系统之间需要重启才能切换,不能任意切换比较麻烦。最重要的是影子系统不能延续,重启后刚才使用的数据与设置都不复存在,又将是一个新的“影子”。
所以说软件也是具有两面性,关键是其功能与用户的需求是否对应,这才是关键。如果你觉得适合自己,那就赶快下载安装吧。
[
本帖最后由 飘香一剑 于 2006-11-22 13:14 编辑
]
作者:
无敌于天下
时间:
2006-11-24 19:23
谢谢,在体验中,看看如何
作者:
today010
时间:
2006-11-30 18:42
前段时间就用了,这里顶下
作者:
chj1975
时间:
2006-12-4 10:48
用的有一段时间了,不错,支持一下!
作者:
太平天国
时间:
2006-12-4 14:46
谢谢指教,我喜欢
作者:
没事闲逛
时间:
2006-12-11 18:03
最新的简体中文2.8怎么没有注册的,要上网激活。还不支持代理
作者:
marshalwang
时间:
2006-12-15 17:36
就是不知道对于系统的安全性如何
作者:
sandbank
时间:
2006-12-18 17:18
看来不错,支持一下
作者:
sandbank
时间:
2006-12-18 17:25
看了介绍,觉得值得一试,支持一下。
作者:
冬日暖楊
时间:
2006-12-18 18:59
感謝LZ提供測試哈!!!!!!!!!~
作者:
fybao
时间:
2006-12-20 13:10
新手用着不错...
作者:
tieguo
时间:
2006-12-21 16:41
用过还不错,一般很少用
作者:
spiker1981
时间:
2006-12-22 11:03
shadowtip.exe这个文件总是会请求网络连接。。。而且在官方的论坛上没有人出来对这个平凡替换连接地址的文件做任何说明,我是用了这个软件,但是很少在影子系统 模式下用系统。。。。在这个问题没有解决之前。。。我是不会去用太多时间。。。现在可好。。。影子系统的官方论坛 现在关了~!
作者:
58302999
时间:
2006-12-22 18:56
支持一下!
谢谢提供!
作者:
acekfc
时间:
2006-12-24 10:20
谢
谢
楼
主
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
作者:
ytythb
时间:
2006-12-26 10:23
不能激活?我也想用
作者:
至尊
时间:
2006-12-26 14:08
PowerShadow Master(影子系统)是款很奇特的小软体,当你安装它并重新启动电脑以后,电脑会类似安装了双系统一样,多出一个启动项,选择其中PowerShadow Master的启动项后,原系统是完全一样的使用,但是你的一切操作,包括安装程式(甚至运行病毒)在下次用原系统启动时,都是无效的,对做程式安装测试非常有用,不会因为安装卸载而产生LJ档!所谓影子系统!-----重启系统一切测试将不复存在!
SS近日非常火热,但汉化、破解不全,一直困扰着我们....
我是xp sp2系统,反复测试此方法都没异常。但有网友说出现系统无法启动的情况。现经过修改已将附件更新。此外,请按1-4步骤做,先导入注册表也可能导致无法启动。
方法 :
1. 卸载SS
2. 导入“删除影子系统时间信息”文件
3. 重装SS
4. 重启
***破解文件ShadowSettingt和ShadowTip覆盖到下面目录
C:\WINDOWS\system32\shadow\
这样已经过期的SS又便能重新使用。管他那个破解补丁能用一月还是一年半载,只需按照上面的方法便能无限使用,够简单吧,呵呵....
影子系统2.6.0511中文破解版下载
作者:
ruoshi
时间:
2006-12-26 22:30
我在用影子系统,感觉的确非常放心了.
作者:
mfkwgij
时间:
2006-12-28 14:00
用的有一段时间了,不错,支持一下!
作者:
jzy288
时间:
2006-12-29 09:46
一直在用,谢谢指教
欢迎光临 IT家园 (http://bbs.it998.com/)
Powered by Discuz! 7.2
