IT家园 - Powered by Discuz! Board

标题: [分享] 卸载影子系统经验 [打印本页]

作者: sunflow 时间: 2007-4-10 10:57 标题: 卸载影子系统经验

PowerShadow作为一款还原类的软件,在国内的互联网很火,不少人认为我的系统装了PowerShadow是万事大吉,百毒不侵,互联网中也这么宣传.实际上这种说法是完全错误的.

装了PowerShadow真的是安全了吗?答案显然是否定的

一盗号木马面前PowerShadow束手无策
我们知道互联网中有一种广泛使用的木马叫盗号木马(所有人都该知道的).盗号木马严格意义上说是一次性的木马,为什么呢? 盗号木马以盗走你的特定的帐号密码为目的.一旦植入系统盗走你的帐号和密码后木马完成了使命.你再去清理他,木马清理后损失已经造成了,无法挽回了. 然而你在PowerShadow 的保护下中了此类木马,因为影子是虚拟的系统而不是具有保护功能的防火墙,当你重启系统后,木马消失了同时帐号和密码已经在黑客的手中了. PowerShadow不但没有保护作用反而替黑客做了销毁证据的工作.

二再坚固的保护依旧得敞开
大家经常会安装各式各样的软件,在PowerShadow的保护下安装是无法安装的,我们必须在正常的模式下安装软件,如果这时候安装包中捆绑了木马.你依旧会中木马,再启动PowerShadow的保护,除非你发现了否则这个木马会一直陪伴你.

三先入为主
很多人喜欢在做完系统后装上所有应该装的软件后再装PowerShadow 予以保护以求安全,如果你的应用软件不干净,结果会和第二点一样.

四系统崩溃
PowerShadow 和其他还原类软件一样,依旧存在系统崩溃的问题.有过崩溃经验的PowerShadow用户应该有过开机后发现找不到**文件而不得已全部重装的经历.其实原因很简单 PowerShadow还原出错，就会导致系统无法启动和文件目录丢失,而且PowerShadow改写了分区信息和引导程序数据，很容易造成系统崩溃.

五无法彻底卸载
如果通过简单的卸载程序进行卸载是无法卸载PowerShadow的.大家在卸载完PowerShadow以后用sreng软件看一下驱动程序会发现 snpshot.sys依旧在 running(运行) 用SREng在安全模式下删除或改动这个文件后，系统即崩溃，不能启动也不能进入安全模式.为啥呢?很简单这个文件的启动方式是boot start 你在安全模式下删肯定会出问题的.然而PowerShadow卸载并没有还原修改的主引导.系统崩溃并不奇怪了.

有人问那咋卸载呢.有这么几种方式.
其中能彻底卸载影子的是低格和换硬盘….
低格就是debug,一般硬盘厂商有debug工具下载后按照提示做.但是低格是很伤硬盘的.
除了上述两种办法, 可以尝试用系统安装盘光驱引导后进入安装界面删除所有的分区再建立新的分区然后开始漫长的系统重装……

其次有全盘ghost的用户可以尝试 ghost还原但是根据反馈的效果依旧有部分残留.

对于仅仅格式化系统盘的用户根据反馈的信息看是无法彻底卸载的.

我对影子也没有多少的好感，我发现他一运行，硬盘就响得厉害，只是玩玩才装他的，我自己并不需要这么一个累赘系统，我相信自己+KV/Panda/McAfee任何一款软件，一般浏览网页中的病毒不会杀不掉的，再不行我就ghost，怕什么，呵呵。

朋友又提到影子不好卸，我想，用TU试试好了。

先运行影子自带的卸载，卸载很快，甚至都不要重启（安装时重启了啊），看来不老实，哼！

用TU，卸载发生一处错误，就是那个驱动sys，我重启。

再次用TU，那个sys被卸载掉了，我打开sreng，没有异常，的确被卸掉了。

但问题是，我再次重启后，开机就提示大概5，6个未知硬件设备需要安装驱动，我点击安装，当然找不到驱动了，哼，死东西，在这里等着呢，我清理了以下注册表（菜鸟没办法，虽然心知这招也不太管用），呵呵，随后看那几个未知设备的属性，都是ROOT_LEGACY_XXX，灵机一动，只要删掉这些注册表相关不就好了。哈哈。

他们的位置因为自己多次卸杀软很清楚——虽然不晓得这个地方的注册表是干什么的，知道的告诉我一声啊，路径是：HKLM_SYSTEM_CONTROLSET001_ENUM_ROOT_XXX
HKLM_SYSTEM_CONTROLSET002_ENUM_ROOT_XXX,HKLM_SYSTEM_CURRENTCONTROLSET_ENUM_ROOT_XXX，这几处基本是重复的内容，似乎一个是一个的备份之类的关系，但总之都删一遍比较好，然后我一一点开属性，找到相应的XXX位置，删？呵呵，没那么容易，你的权限不够，这个倒不是很担心，ICESWORD来，一一删除，但那些XXX的名字，我头比较昏，且有5，6个，记不大清了，大家自己去看吧，不过要小心，别删错了，呵呵。

删掉之后就好了，不弹出发现硬件无法驱动的提示了，那个很烦，这个办法大家看下，有用得着的就好了，我的目的也就达到了，bs一下影子。

作者: ruoshi 时间: 2007-4-12 00:23 标题: 影子有什么错？

并不是什么东西都能彻底解决电脑中毒的问题，影子也一样不是万能的.
   1.中盗号木马不是影子的错，拿来说影子不好有点牵强。
   2.正常模式下安装软件中了木马也和你用不用影子没有什么关系。
   3.影子的恢复也就是恢复到你本次使用前的状态，你的这个状态有病和使用影子与否也没有关系。
   4.系统崩溃的原因很多，如果因为喝水可能导致被水呛死而不喝水了有点荒谬。
   5.无法彻底卸载，这个就是影子的不是了，符合流氓软件的特征！
   我用影子系统有小半年了吧。装上以后经常在影子系统下面关闭杀软防火墙裸奔，速度非常快，什么网站我都敢上，什么新软件我都喜欢去测试一下，有很多携带有流氓东西的特别象网络电视软件在影子上面开着看，取我所需，其他的管也不需要管它：改主页改去吧，流氓插件想自动给我安就安吧，有了好软件（带流氓插件的）我还可以在影子系统下面把主程序提炼出来，然后发到自己的网盘或者邮箱一放就是，非常方便。影子是免费的，用着不错，没有想过不用影子，所以也还没有面临卸载不干净的问题，半年来，也还没有遇见系统崩溃的事情，所以，我还是可以给影子90分。为什么扣十分呢，因为切换状态需要关机不方便。

[ 本帖最后由 ruoshi 于 2007-4-12 00:27 编辑 ]

作者: 神雕大侠 时间: 2007-4-12 13:14

我也发现影子系统有问题,不如用冰峰,卸载不干净

作者: enzo999 时间: 2007-4-13 22:03

我一直在用影子系统,很爽!!!!将影子进行到底!!!!

:lol

作者: 飘香剑雨 时间: 2007-4-24 21:38

不用影子有救护中心就好了

作者: yaoshijie06 时间: 2007-7-15 00:02

坚决支持二楼,入情入理.我一直在用影子系统,很爽.

作者: dangdang 时间: 2007-7-16 14:41

我也是一直在用影子系统，没有发现什么不妥的地方。

作者: 寒沙 时间: 2007-11-1 16:40

谢谢楼主了,学习

欢迎光临 IT家园 (http://bbs.it998.com/)