【影子系统】工作原理

7even

和影子相处有一个星期了，不禁大呼过瘾，有种相见恨晚的感觉，，一些朋友也想了解她，特转两篇有关影子系统的工作原理的短文，希望对这款国产软件有更多的认识学习。强烈建议配合杀软+防火墙使用:

                                    
                                                          影子系统工作原理

                                                                【普及篇】

      影子系统的工作原理其实非常简单，就是把需要保护的硬盘已有内容，通过特有的技术保护起来（其实也就是弄成了只读），对已有内容的编辑操作等，均是在空白的硬盘区进行，并做有标记。重启机器的时候，放弃新编辑的内容。所有的这些操作只是做做标记而已，并没有真正备份拷贝什么文件内容，所以影子系统程序运行几乎没有影响到机器的速度。

当然，由于在被影子了的分区删除文件，其实并没有真正被删除，删除的只是一个影子的假象而已，所以在影子模式下，被保护的分区硬盘容量计算应该是另外一套算法。这一点现有的影子系统版本考虑有点不周，只要保障被影子了的分区有足够的剩余空间，一般3个G或以上，用影子系统，没有任何问题。


                                                                【专家篇】

      系统启动时，在windows加载之前，建立被保护磁盘的磁盘分配表副本，副本分配表中标记原已分配区域为只读，PowerShadow重新定向所有来自windows的磁盘修改操作到原空余区域，并且只刷新分配表副本。一旦系统重新启动，原分配表和原分配表标记的已分配区域数据毫无变化，以此达到在不增加任何额外的磁盘读写的前提下实现对原磁盘数据的保护。

原理上，PowerShadow的软件层面相当于bios扩展而不是windows的一部分，如果ps本身没有漏洞和bug，硬件没有故障和bug，任何windows程序都无法攻破PowerShadow的磁盘保护。而PowerShadow程序核心规模很小，做到无bug也是很容易的。

唯一难以解决的问题是如何让windows准确地报告剩余磁盘空间。例如8g磁盘，已经用掉4g，进入windows后删除2g数据，windows会报告剩余6空间，而实际上只有仍然只有4g可用空间。


还有一个功能类似的软件，也叫影子系统shadowuser，但是软件实现层面完全不同，健壮性和powershadow无法相提并论， powershadow相当于bios扩展不属于window控制范围，shadowuser则属于windows应用程序，尽管能实现更多样的程序功能，但是其健壮级别等同于windows自身，他只相当于windows磁盘api的扩展，理论上，任何windows级别的恶意程序都可以对他的保护实行致命的攻击，完全是自欺欺人的所谓保护。

联想lenovo的冰封系统 即是PowerShadow的OEM版本：-）


                                                                    【沙盘篇】

        与影子系统有些相似，但还是不同的是【沙盘】，Sandboxie运行的程序对系统作的任何改动（文件操作、注册表操作）都会被Sandboxie拦截并将其限制在一个虚拟的环境里，例如，若程序要修改系统上某个文件时，sandboxie会将此文件拷贝一份放在一个虚拟文件夹里让程序修改、访问，从而保护系统不会被真的修改。这样可以防止感染病毒。

与虚拟机不同之处在于，sangboxie并不需要虚拟整个计算机，它只根据现有系统虚拟一个环境让指定程序运行在其中，因此，若你的真实系统是windowsXP的，则在sandboxie中运行的程序也是在windowsXP环境中运行的，也可以访问你磁盘上的现有文件，只是其改动会被虚拟。这样，会很省系统资源，一般的电脑都能流畅运行，而虚拟机对电脑配置要求很高，内存基本上要有1G才能顺利运行。

影子系统与沙盘的区别，影子系统会使整个系统在虚拟环境下运行，所有程序的改动都会被阻止。而sandboxie只针对指定程序。另外，目前此软件所有汉化版均不能正常运行，只能用英文版。

[ 本帖最后由 gaoqi 于 2007-4-28 09:36 编辑 ]

7even

沙发我来坐

大阿福

板凳我来坐

klovecui

以前已用过。。但觉得还是不够人性化。。如果你开了全盘保护。。那么如果你突然想下点东西就得重启到单一模式。。或用U盘保存。。。但用单一的模式保护又不觉得够。。

lhx1984

原帖由 klovecui 于 2007-4-21 21:04 发表
以前已用过。。但觉得还是不够人性化。。如果你开了全盘保护。。那么如果你突然想下点东西就得重启到单一模式。。或用U盘保存。。。但用单一的模式保护又不觉得够。。

影子系统就是没有办法实现不用重新启动就可以相互转换，这是一个很大的缺点啊～～

7even

原帖由 klovecui 于 2007-4-21 21:04 发表
以前已用过。。但觉得还是不够人性化。。如果你开了全盘保护。。那么如果你突然想下点东西就得重启到单一模式。。或用U盘保存。。。但用单一的模式保护又不觉得够。。

建议在单一影子模式下，可用主动防御软件只对D:\  下的文件夹进行【文件夹保护】。比如说ssm，风云防火墙。

保护方案：   用影子映射系统盘 【C盘】，
                    用主动防御软件来保护你的其他非系统盘【D.E..盘]
                    
                   更有效，更安全的防御方案

wooyard

原帖由 lhx1984 于 2007-4-21 21:18 发表

影子系统就是没有办法实现不用重新启动就可以相互转换，这是一个很大的缺点啊～～

现在有可以不用启动便切换的类似软件吗？！

morningssun

原帖由 wooyard 于 2007-4-21 21:21 发表

现在有可以不用启动便切换的类似软件吗？！

貌似没有吧

xpn282

世界上那会那么容易中毒了..

7even

原帖由 lhx1984 于 2007-4-21 21:18 发表

影子系统就是没有办法实现不用重新启动就可以相互转换，这是一个很大的缺点啊～～

[:26:] 9494， 很大的缺点！！不过【沙盘】可以，不过工作原理不一样......，