Shadow Defender 的一个问题！急！

怡宝

我用的星空斑竹的Shadow Defender V1.1.0.331 中文注册封装版，默认是计划保护C盘，由于我当时想试个病毒（这个时候C盘本身是处于影子下的，SD设置的是只有桌面不保护），然后我打开SD，选择把D,E,F盘都进入了影子。然后我运行病毒，然后我由于特殊原因，我手动设置了桌面右下角的系统时间，然后我弄完后，重启计算机，然后惊讶的发现我的系统时间没有被还原！难道是SD不保护系统时间设置？或者说难道SD不保护手动操作的系统更改？还是病毒把SD穿了？  但是我运行的只是女鬼病毒而已（http://u.115.com/file/dna7e9av）。     我windows7  SP1     

l02210221

以前用SD确实不防修改系统时间的。。。我记得RVS似乎会防

怡宝

l02210221 发表于 2011-6-6 16:02
以前用SD确实不防修改系统时间的。。。我记得RVS似乎会防

汗，那如果病毒修改的也不防？杯具。。。SD还有哪些不防额？

nazisoft

系统时间是保存在主板CMOS记忆体中的，影子系统只保护硬盘数据，操作系统应该与硬件有一个通信接口，通过这个接口来修改时间。默认情况下，Windows将自动同步时间。可以用组策略来防止时间更改
单击“开始”菜单→“运行”输入“gpedit.msc”打开“组策略编辑器”，在左侧窗格依次单击“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”，接着在右侧窗格双击“更改系统时间”打开属性对话框，把不希望更改系统时间的用户删除即可(可以全部删除，这样会更安全)，单击“确定”退出，重新启动系统后这个策略即生效。如果你想修改系统时间，只要重新设置“更改系统时间”策略，把自己的账户加进去即可。

zby_1991

学习楼上的~~~

北方星空

影子系统基本上都不保护时间，目前还没发现

只有还原类软件有保护时间，比如还原精灵，可以包含cmos。

怡宝

北方星空 发表于 2011-6-6 22:58
影子系统基本上都不保护时间，目前还没发现

只有还原类软件有保护时间，比如还原精灵，可以包含cmos。

额，谢谢斑竹！学习了

nazisoft

即使还原精灵、还原卡保护CMOS，也无法做到保护时间，因为时间是动态的。冰点能够保护时间，也是通过组策略来实现的，其它的可以通过时间同步和HIPS来实现

3690036

nazisoft 发表于 2011-6-7 10:36
即使还原精灵、还原卡保护CMOS，也无法做到保护时间，因为时间是动态的。冰点能够保护时间，也是通过组策略 ...

把设置系统时间的API给HOOK也就行了。