本帖最后由 qingmeizhuma 于 2011-1-2 09:36 编辑
Wondershare Time Freeze 2 使用杂谈 小弟在win7下使用Wondershare Time Freeze 2(以下简称wtf2)的时候,有时候系统什么操作都没做,但是发现硬盘灯狂闪,接下来wtf的缓冲区没多久就满了,很是不解,后来调查后发现win7在空闲的时候会自动启动defrag.exe进行系统的磁盘碎片整理,即使系统上没有设置按计划磁盘整理,这个defrag.exe还是会被某个windows组件启动起来,执行磁盘碎片整理,进行大量的磁盘读写,导致wtf的缓冲区很快就用完,对win7的这个行为感觉有些讨厌,偷偷进行磁盘碎片整理,后来仔细一想可能是win7的Disk Defragmenter服务捣的鬼,于是毫不犹豫的禁用了Disk Defragmenter这个服务,再试,似乎就没有出现自动defrag了,小弟认为既然使用影子系统,只要进入影子前磁盘是整理好的,以后也不要进行什么碎片整理了,因为重启后都还原了,所以就干脆禁用了Disk Defragmenter这个服务, 对这个win7强制启动defrag.exe实在是不需要。除了磁盘碎片整理会占用wtf的缓冲区,另外我再说说我使用wtf2以来如何最大限度减少wtf缓冲区使用的心得。因为我觉得减少缓冲区的使用即意味着减少系统读写,客观上wtf中缓冲区的使用状态可以反映系统盘读写的频率,所以可以想办法采取措施减少硬盘读写,另外就是wtf2有个内存缓冲模式,如果成功减少缓冲区的使用,可以用这个内存缓冲模式,感觉内存缓冲模式是非常好的,因为它的效率肯定比文件缓冲要高,而且又不会写硬盘,感觉很好!这个我觉得是wtf2的一个特色。 目前通过观察,wtf在xp下使用1G文件缓冲,vista,win7系统下是2.5G的文件缓冲,我用文件缓冲一天下来很少有超过30%的,文件缓冲应该是很够用,但对于物理内存模式来说,就应该尽量要减少wtf的缓冲区的使用,(其实不只是wtf,我觉得任何一个影子系统应该都有缓冲区,只不过有的显示出来,有的不显示),小弟认为最关键的就是要减少系统盘下的文件写的机会,基于这一点,我在使用wtf前,会对系统做如下设置,以充分减少系统盘下文件的写的行为,这里只讨论windows系统本身的设置和服务对硬盘读写的影响,不讨论第3方软件对硬盘读写的影响,第3方软件那是五花八门,种类繁多。 一, 关闭windows的自动更新 这一点不说,大家都知道,windows自动更新肯定会去写windows文件,如图
二, Win7系统下关闭磁盘碎片整理服务
运行services.msc,可以看到一堆windows服务,建议把Disk Defragmenter禁用,原因前面讲过了, 如图
三,关闭windows的系统还原
windows自带的系统还原也会在某些时候进行数据备份,狂写硬盘,占据缓冲,强烈建议关掉windows自带的系统还原,win7下好像被称作“系统保护”,如图
四,win7系统关闭Windows Defender服务
Windows Defender是Win7自带的系统保护软件,主要功能就是清除简单的木马和流氓软件,
五,Win7系统关闭Windows Search服务
Windows Search是提供索引服务的,当你搜索电脑内某个文件时,它能加快搜索速度,但实际上即便是关掉它,搜索速度也不会受到明显影响,
六,关闭Volume Shadow Copy服务 xp,win7下都有这个服务, 这个服务是windows系统备份组件需要的服务,相信大家不会用windows自带的备份,,所以强烈建议关掉 七,取消文件压缩和索引 其中文件压缩的目的是为了节约磁盘空间,但实际上这个功能并不能节约出多大的硬盘空间,几乎没有什么实际效果。而文件索引的目的是让用户能够更快地找到硬盘上的文件,这个功能本来很好,但Win7系统会经常在空闲时检查索引,造成大量的硬盘读写操作。所以强烈建议取消!鼠标右键单击分区盘符,在菜单上选择“属性”,在弹出的界面上,将“压缩此驱动器以节约磁盘空间”和“除了文件属性外,还允许索引此驱动器上文件的内容”这两项前面的小钩去掉。如图 八,关闭Superfetch服务 下面是引用在网上看到的别人写的一种硬盘读写现象,仅供参考! “关于“win 7使用时,硬盘灯老是会闪”的解决方法 很多朋友安装vista后,开机后会出现很长一段时间的硬盘灯狂闪的现象,而且电脑也变得很慢,打开“进程管理器”,cpu利用率是不是很高,几乎 100%。这时留意看一下一个是否有一个名为“taskeng.exe”的进程的cpu利用,如果它很高,恭喜你,可以用我的方法解决:
1、左下角的“开始”--“所有程序”--“附件”--“系统工具”,找到“任务计划程序”并运行。
2、在“任务计划程序”的左边依次展开“任务计划程序库”--Microsoft--win,并在其下找到“MObilePC”项,点击后中间会出现两个任务名称HotStart和TMM。
3、双击TMM,在弹出的框中选择“触发器”标签,在其下的看到“登录时”,双击他,再次弹出一个框“编辑触发器”,在最下方有一个“启用”选项是打勾的,去掉其前面的勾,确定退出。
4、重启电脑,看看硬盘灯是否还会在开机后30秒后狂转,打开“进程管理器”,再看看是否还有“taskeng.exe”长时间100%的cpu利用率。如果开机后30秒后电脑不在狂读硬盘就一切OK了!
5、如果开机後仍然有超过1分钟的狂转和“taskeng.exe”的100%,再次进入“任务计划程序”,将前7项(如果你要使用“Media Center”,就不停它的)中的所有计划任务全部取消,再重启,看看,一般就OK了。
另外就是想问一下各位大侠使用wtf2是如何防穿的,wtf2对于非驱动型病毒的穿透处理的还可以,对于内核驱动型病毒(典型的如机器狗之流)穿透似乎处理的不好,其实内核驱动型病毒穿透从技术上说没什么稀奇,因为内核驱动本就是拥有最高权限的,内核驱动一经加载运行,自然是想做什么都可以,当然也可以劫持其他的驱动,包括影子系统的驱动服务,就好比我们不能说某一项武功绝技是正义的还是邪恶的,关键是要看这项武功绝技被谁使用,被大侠使用,自然是造福万民,被奸恶之徒掌握,自然是为祸天下,客观的说安全软件和驱动型病毒软件就是这么个关系,使用的技术都是内核驱动,后果却大相径庭,呵呵,又扯远了,话说回来,为了防止驱动型病毒对wtf的破坏,小弟采用的是 wtf+占资源小的驱动防火墙或hips结合起来使用,我的目的很简单,就是拦截可疑的驱动对影子系统的破坏。真的很讨厌某些病毒动不动一上来就加载驱动运行搞破坏,驱动程序权限最高,也是最危险的,所以到后来微软也意识到了这一点,为了安全考虑,在后来的vista 64位,win7 64位系统中就不允许随随便便上来就加载驱动,win7 64位系统只能加载运行有数字签名的驱动,保证一定的安全性!所以如果软件硬件允许的话,不妨可以考虑使用64位的win7,这样在一定程度上可以防范一些驱动型病毒,毕竟我想不会有很多业余病毒为了加载驱动去搞数字签名吧,数字签名是需要一定费用的,当然商业病毒除外,商业病毒为了谋取更大利益,也可能会不惜数字签名,弄它一个天翻地覆。 到如今,影子系统可谓是先秦诸子,百家争鸣,各有各的特色,各有各的看家本事,小弟再来谈谈我钟情的Wondershare Time Freeze 2的认识。小弟为什么如此喜爱wtf2,是出于以下几点。 1, 稳定性和兼容性 刚推出市场不久的wtf, 官方最新版才2.0.3,但稳定性却很好,我在自家的台式机电脑(XP系统),惠普笔记本(win7 64位系统)上都使用wtf, 至今2个多月,从未出现过系统蓝屏现象,也没有出现稀奇古怪的系统问题,兼容性也不错,从古老的2000系统到,xp,Vista,Win7(含64位)都是兼容支持的, 起初不想当小白鼠来试验这个新的影子系统,但正所谓我不入地域,谁入地域,哈哈,; 2, 操作性和实用性 Wtf2使用起来非常方便,几乎是傻瓜式操作,首先是选择是否进入影子系统的时间点很好,这个时间点都不同于我用过的SD ,RVS, wtf 是在系统将要登录时,会提示是否需要进入影子系统,如果不想进入影子系统,可以按Esc键选择退出从而进入到正常模式,和开机时某些杀毒软件询问你是否需要扫描一样,可以有选择的余地,这一点wtf同系统本身结合的很好。另外wtf不会改写硬盘MBR,小弟很奇怪有怪癖,有种强烈的偏见,不喜欢改写MBR的软件,不知道为什么,总感觉不安全,呵呵,我的偏见; 其次就是当进入影子系统后,在不重新启动windows的情况下, 依然可以选择退出影子模式,进入到正常模式,当然有个前提就是进入正常模式前wtf会把数据全部转储到正常系统,小弟觉得这个功能很有特色,也很实用方便,感觉满强大的,好像是我见过的第一个不需要重启就能在影子模式和正常模式间来回切换的,当然切换前你必须确保此时影子的状态是健康的,如果影子不健康,而你又把这种不健康切换到正常模式,那就糟了,所以这个功能是把双刃剑,用的好会方便,用的不好,把影子的病毒带到正常系统就麻烦了; 3, 物理内存缓冲模式 这个在前面已经提到了,我觉得也是wtf的一大特色,它的好处简单的说就是提高效率,减少系统硬盘读写,因为毕竟内存缓冲肯定比文件缓冲速度快,内存的读写速度和硬盘的读写速度和效率可不是一个级别的,所以如果说,按照小弟前面提到的减少缓冲的方法,如果奏效的话,这个物理内存缓冲模式将是很有用处的,个人强烈推荐使用物理内存缓冲模式,关于物理内存缓冲的大小设定,wtf好像是根据当前内存来设置的,我的台式机电脑是2G的内存条,XP的系统,可以选择的物理内存缓冲最大可以选择到1500MB的内存缓冲,我选择400MB作为缓冲大小,不过这个内存缓冲大小的不同设定可能会影响开机时进入影子系统的速度,wtf在进入影子之前会提示,英文翻译过来的意思大概是“进入物理内存模式,内存分配中。。。”,所以缓冲越大,分配的时间应该是越长,进入影子相应就要多等待一会,但一般好像不会超过15秒。起初我怀疑wtf是不是有欺骗性,谎称物理内存,实际上用的是硬盘文件,但是使用后通过任务管理器发现,系统可用内存明显相应减少了,说明确实是真正的物理内存模式,如图 4,wtf影子系统效率 使用wtf后,个人感觉影子模式下和正常模式下的性能没什么区别,没有感觉到系统拖慢,起初很担心wtf会不会使系统变慢,但是还好,没有这种感觉,至少是感觉不出来有什么变化,至于性能影响几何,可能需要一个更专业的评测; 5, 方便实用有创意的文件夹(包括非系统分区)保护 看到有玩家说wtf不具备多分区保护,其实小弟倒不这样认为,小弟觉得 wtf挺独特,刚出来没有一味模仿其他影子系统,推出多分区影子,而取而代之的是以不同于影子的保护方式保护非系统分区,这就是以文件夹禁止更改保护方式来保护非系统分区,被保护了的文件夹不能被重命名,新建,更改,删除文件等等操作,我个人喜欢文件夹保护,我的台式机电脑上有4个分区,C(系统分区),D(部分重要文件夹),E(重要数据区),F(重要数据区) ,其中C盘是以影子模式保护的,而其他的,E,F是用文件夹保护方式保护起来,D盘的部分重要文件夹也保护起来,只剩下D:\Download\这个临时文件夹允许存取文件,这样既能保证重要的文件不被病毒破坏,又能存一些临时的文件在Download文件夹下,感觉很实用方便且具有创意, 如图 ,然后我对E,F两个保护了的分区进行格式化操作,发现格式化失败,当然也不能删除和更改里面的文件,起到了一定的保护作用!如图 6, MBR保护 Wtf支持MBR保护,这没什么好说的了,影子系统都应该具备保护MBR不被改写的基本能力,这里的MBR保护应该是指不会被随随便便一个Win32上层(专业一点的说法叫Ring3层应用程序,并非内核驱动Ring0层)就能改写MBR,是有一定的前提条件的,小弟用“猪头3”,“鬼影”,“王云禾硬盘终结者”等程序测试WTF,系统重启后似乎都回归正常,WTF均能防范,这些应该都属于Ring3层的程序,当然还有部分玩家用Sector Editor软件来改写MBR,发现MBR能被修改,殊不知Sector Editor也是带内核驱动的软件,它的内核驱动是sedisk.sys文件,当启动Sector Editors时会加载sedisk.sys驱动程序,这一点可以通过另一款带拦截驱动加载运行的“傲盾还原V2.0”来证实,以下是我用傲盾还原V2.0时运行Sector Editor软件时截图,
,当点否以后,就会弹出无法加载磁盘IO驱动的提示框,如图 ,
这样拒绝它的磁盘驱动加载运行后,再去改MBR,重启后发现更改失败,这充分说明Sector Editor改写MBR是通过自己的磁盘IO驱动程序sedisk.sys来完成的,所以能改就没什么奇怪了,那如果更狠一点更龌龊一点更变态一点的还可以写个内核驱动软件把硬盘从头到尾扇区数据全部清空,让你的硬盘数据全盘报废,那能说是影子系统失去了作用吗?还有一个类似的叫passallpt.exe的穿透程序,也是通过加载驱动来完成的,如图,
所以,所谓的保护都应该是建立在某种条件下,你拿一个没有带驱动防火墙功能的影子系统去测试一个带内核驱动功能的穿透程序的穿透能力,这不是徒劳吗?这事实上不叫做测试影子防穿,这实际叫做“测试病毒程序在内核驱动中写硬盘数据是否成功,是否有BUG“!,内核驱动程序毫无疑问是有直接权限获得硬盘控制权的!你故意去放任某个内核驱动去做某些事情,那它当然能做了,不做白不做,所以都是内核驱动做的事情,只不过一个做好事情,一个做坏事情,不过倒是可以对MBR这个硬盘扇区做一个定期回写机制,尽量做到不被其他的内核驱动改写MBR,当然定期回写肯定是会损耗一些性能,这一点官方希望能够在以后的版本中改进!!影子系统又不是杀毒软件,它有它的功能和作用,有它的应用场合,要想保证系统不被恶意的内核驱动破坏, 还是要结合第三方防御软件来一起使用的!自己主观故意放任使用第三方带具备高权限特性的内核驱动的软件或病毒来测试影子系统的防穿性能,在小弟看来,未免有些徒劳,因为结果很明显,是你自己给它们权限破坏,它当然能破坏!这叫“天作孽尤可活,自作孽不可活”,做一个不太恰当的比喻, 就好比某个女人为了验证自己的男人对它是否忠诚,特意找来一个含情脉脉的绝色美女和自己的男人在深夜里独处一室,以验证该男人是否出轨是否忠诚,其结果我不敢说100%的男人能守住,至少90%的正常男人过不了这一关,至少小弟我肯定过不了,呵呵!所以说,指望一个影子系统就能解决所有问题,那是不可能的,这个残酷现实是必须要面对的,也不可能有任何一个软件可以解决所有安全问题,世界上不会有这样的软件,现在不会有,将来也不会有,因为矛盾永远都是客观存在的,就象不可能存在能防御100%病毒(包括既有病毒和未来病毒)的杀毒软件!那种以前只要装个影子系统就能裸奔的时代一去不复返了,如今的病毒不象早期那样只玩Ring3 层了,现在动不动就Ring0层了,你有什么办法? 7, wtf很小巧,安装简单而快速,不过当系统中如果装有微软官方之外的磁盘驱动的话,安装会提示可能有冲突,个人认为只是提示而已,可能是软件自身的免责考虑,万一有冲突导致蓝屏或者不稳定,那就不是wtf问题了,呵呵,是同其他的软件兼容性问题!因为之前提示有可能冲突了,另外软件界面清爽,清晰,一目了然,非常容易上手, Wtf的不足之处: 1,
不具备排除列表功能, 个人觉得排除列表也是把双刃剑,而且列表管理起来也挺不容易,适合有经验的资深级高手使用,小白用户就不建议使用了,搞的不好自己把病毒给“列表”进来啦,呵呵,所以如果喜欢排除列表功能的影子系统,那就没必要考虑使用WTF,强烈建议选择使用SD 2,
对内核驱动穿透型病毒防范不够彻底,这一点希望官方尽量改进,但是客观的说这也挺难的,驱动病毒变种何其多,没有一种好的防御机制,光靠打补丁,何年是个头?所以我是把wtf和耗资源少的hips或驱动防火墙结合起来使用以对付这类内核驱动穿透型病毒; 影子系统没有最好的,只有适合自己的,找寻最适合自己的影子系统,而我暂时选择了Wondershare Time Freeze 2,期待将来能有更好的影子! 以上就是小弟我对Wondershare Time Freeze 2的使用感受及心得,觉得wtf还不错,特此分享一下,第一次发帖,字字拙劣,浅薄认识,错漏之处还请各位大侠批评指正,欢迎讨论,理性拍砖,呵呵! |