查看: 12733|回复: 54
收起左侧

[友情提醒] 慎用PowerShadow(影子系统)

[复制链接]
huxiqiuzhen
发表于 2007-12-2 18:54:38 | 显示全部楼层 |阅读模式
from http://bbs.hzva.org/viewthread.php?tid=32236&fpage=1&sid=3Aesrb
本文仅做技术讨论,本文所产生的后果本人概不负责
在论坛上经常碰到有人使用PowerShadow 也遇到很多的受害者.今天我抽出时间专门就PowerShadow这个软件做简要的说明,以正视听

PowerShadow作为一款还原类的软件,在国内的互联网很火,不少人认为我的系统装了PowerShadow是万事大吉,百毒不侵,互联网中也这么宣传.实际上这种说法是完全错误的.

装了PowerShadow真的是安全了吗?答案显然是否定的

一 盗号木马面前PowerShadow束手无策
我们知道互联网中有一种广泛使用的木马叫盗号木马(所有人都该知道的).盗号木马严格意义上说是一次性的木马,为什么呢? 盗号木马以盗走你的特定的帐号密码为目的.一旦植入系统盗走你的帐号和密码后 木马完成了使命.你再去清理他,木马清理后 损失已经造成了,无法挽回了. 然而你在PowerShadow 的保护下中了此类木马,因为影子是虚拟的系统而不是具有保护功能的防火墙,当你重启系统后,木马消失了同时帐号和密码已经在黑客的手中了. PowerShadow不但没有保护作用反而替黑客做了销毁证据的工作.



二 再坚固的保护依旧得敞开
大家经常会安装各式各样的软件,在PowerShadow的保护下安装是无法安装的,我们必须在正常的模式下安装软件,如果这时候安装包中捆绑了木马.你依旧会中木马,再启动PowerShadow的保护,除非你发现了否则这个木马会一直陪伴你.


三 先入为主
很多人喜欢在做完系统后 装上所有应该装的软件后 再 装PowerShadow 予以保护以求安全,如果你的应用软件不干净,结果会和第二点一样.


四 系统崩溃
PowerShadow 和其他还原类软件一样,依旧存在系统崩溃的问题.有过崩溃经验的PowerShadow用户应该有过 开机后发现找不到**文件而不得已全部重装的经历.其实原因很简单 PowerShadow还原出错,就会导致系统无法启动和文件目录丢失,而且PowerShadow改写了分区信息和引导程序数据,很容易造成系统崩溃.


五 无法彻底卸载
如果通过简单的卸载程序进行卸载是无法卸载PowerShadow的.大家在卸载完PowerShadow以后 用sreng软件 看一下驱动程序 会发现 snpshot.sys依旧在 running(运行)看图 用SREng在安全模式下删除或改动这个文件后,系统即崩溃,不能启动也不能进入安全模式.为啥呢?很简单这个文件的启动方式是boot start 你在安全模式下删 肯定会出问题的.然而PowerShadow卸载并没有还原修改的主引导.系统崩溃并不奇怪了.


有人问那咋卸载呢.有这么几种方式.
其中能彻底卸载影子的是低格和换硬盘….
低格就是debug,一般硬盘厂商有debug工具 下载后按照提示做.但是低格是很伤硬盘的.
除了上述两种办法, 可以尝试用系统安装盘光驱引导 后 进入安装界面删除所有的分区再建立新的分区 然后开始漫长的系统重装……

其次有全盘ghost的用户可以尝试 ghost还原 但是根据反馈的效果 依旧有部分残留.

对于仅仅格式化系统盘的用户 根据反馈的信息看 是无法彻底卸载的.


附 受害者的帖子(11楼本文的图片就来源于此)
http://bbs.hzva.org/viewthread.p ... ;page=2&fpage=1
本文到此就结束了,希望网友能够在以后的上网过程中注意明辨是非.对于网络上的所谓菜鸟高手以及不切实际的宣传要提高警惕避免被误导.尤其要注意国内  就有那么一帮 "菜鸟高手" 在 不懂 软件原理的情况下看了点英文的简介 就开始想当然了,什么  不死  永久   不用杀软 /防火墙的 词语  就出来了. 直接结果 就是导致  成千上万的人受害.
jpzy
发表于 2007-12-2 18:58:12 | 显示全部楼层
唉~~~反驳了好几次了~!
LZ或者有兴趣的朋友,自己搜一下吧~!
记得有人逐条说过这些问题~~~
huxiqiuzhen
 楼主| 发表于 2007-12-2 19:17:31 | 显示全部楼层
其实我原来也装过,后来卸载掉了
在后来重新装了系统,好几年的事情了
现在装虚拟机似乎比较流行
总之我对影子不怎么感冒
孤独王子
发表于 2007-12-2 20:30:39 | 显示全部楼层
唉  这个软件其实在于怎么用了吧    我个人还行  当然 如果按照以上所说  你什么都不用做了  连电脑也不用买了
jsh2005aa
发表于 2007-12-2 21:19:46 | 显示全部楼层
没用过没发言权!!!
henryronaldo
发表于 2007-12-4 09:25:49 | 显示全部楼层
不太好使,装了一段时间后,卸载了,感觉没什么效果
我不是
发表于 2007-12-4 10:43:39 | 显示全部楼层
装了一段时间后,卸载了,感觉没什么效果
一天一天过
发表于 2007-12-4 10:52:40 | 显示全部楼层
只是上一些不明网站时才启动一下
deadend1984
发表于 2007-12-4 14:43:20 | 显示全部楼层
一 盗号木马面前PowerShadow束手无策
我们知道互联网中有一种广泛使用的木马叫盗号木马(所有人都该知道的).盗号木马严格意义上说是一次性的木马,为什么呢? 盗号木马以盗走你的特定的帐号密码为目的.一旦植入系统盗走你的帐号和密码后 木马完成了使命.你再去清理他,木马清理后 损失已经造成了,无法挽回了. 然而你在PowerShadow 的保护下中了此类木马,因为影子是虚拟的系统而不是具有保护功能的防火墙,当你重启系统后,木马消失了同时帐号和密码已经在黑客的手中了. PowerShadow不但没有保护作用反而替黑客做了销毁证据的工作.


早看出来了  所以我没用过  号都被盗了  再搞其他的有啥用?  最好的办法还是让他进不来  就是装防火墙
風中Dè殘雲
发表于 2007-12-4 14:48:34 | 显示全部楼层
原帖由 huxiqiuzhen 于 2007-12-2 18:54 发表
二 再坚固的保护依旧得敞开
大家经常会安装各式各样的软件,在PowerShadow的保护下安装是无法安装的,我们必须在正常的模式下安装软件,如果这时候安装包中捆绑了木马.你依旧会中木马,再启动PowerShadow的保护,除非你发现了否则这个木马会一直陪伴你.



其他不想说什么了,自己看看这点,如果在正常的模式下安装软件,如果这时候安装包中捆绑了木马.



有木马,这个罪名也推到影子上去?没影子系统难道你安装的软件就保证没木马?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 19:16 , Processed in 0.121610 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表