请问Shadow Defender 类软件的工作原理是什么？

szxy

这类软件是创建一个虚拟的系统来吗？还是类似一键GHOST这样的软件只是备份了一份系统？
如果是创建一个虚拟系统环境这样的话
1、在这样的虚拟环境下如果有木马病毒运行了对系统是不是没有任何的影响的？
2、在这样的虚拟环境下如果有木马病毒运行了，密码是不是还是会被盗的？比如QQ等。
谢谢！

zuo

是把所有对硬盘的操作指向一个空白磁盘空间
1，，有的病毒能够穿影子的，不过一般的病毒应该不行
2，如果你中毒后用了QQ，号还是会被盗，因为他并没有把病毒和QQ分开

nazisoft

GHOST是镜像备份，与影子原理不同，不作讨论。冰点、影子系统等还原产品在关键的技术原理上没有本质区别，都是在磁盘过滤驱动一层对特定的扇区IO进行了重定位处理。当系统里安装了磁盘“还原”类软件并保护后，所有应用层文件的写操作——创建、修改、删除，以及各种系统设置、注册表的变化，甚至包括分区格式化，在系统重启后都被完全恢复到激活还原软件时的状态。这种“恢复”的表象背后，并不是真的有什么机制在帮我们把文件系统的各种操作回退到最初的状态。事实上，一旦还原软件被激活后，我们的对文件的所有写操作就不再是有效的，全都被写到磁盘上的一些临时空间中，比如未使用的簇或预先分配的特定存储文件内，而磁盘分区内已分配给文件占用的有效扇区，一个也不会被写入！由于文件系统下层的还原驱动程序通过内存中的一个重定位表，帮我们维护着这些新写入的脏数据块与上层文件系统结构的链接关系，所以我们仍然觉得各种文件操作都在正常进行。但是当系统重启后，内存中非持久的重定位表消失了，驱动程序也处于初始化状态，更关键的是，文件系统的原来分配的有效扇区一个也没变！所以我们通过文件系统看到的磁盘分区结构也是没有变化（其实是有变化的，你在系统重启前写入的那些文件都在磁盘未分配簇或临时转储文件里）。
SD还有文件系统过滤驱动，用于排除和转存文件，网吧还原的自我穿透更新功能也是这样实现的。
影子系统可以防御常见的病毒，但是无法防御针对还原系统的病毒，如果病毒对磁盘的读写请求没有经过过滤驱动的处理而直接发送到了下层设备，我们就认为病毒穿透了还原。影子系统只是保证一个干净的系统，它不能防止木马盗号。

zby_1991

学习楼上

FreeEquFraT

影子的原理nazisoft大侠已经讲的比较明白了，我对技术相关的原理我也不是很清楚。但是我可以和楼主讲讲影子比较直观的感受。
就如很多电影故事一样，进入影子就如同进入了一个梦，对大多数人来说，你做梦的时候并不知道自己是在做梦，你去上班就是去上班了，你去上课就是去上课，你被人追就想真实的被人追着跑一样，一切的一切看起来就像是真实的一样，但如果你醒了，你就会发现这一切的一切就如果根本没发生过一样。
那病毒木马呢？楼主应该看过盗梦空间吧，如果你在梦境中被坏人用手枪击中了，那就像是真的被击中了一样，所以病毒木马在影子中是有影响的。比如说盗号木马，如果在梦中有人问你QQ密码是多少，而你说了，那么这个密码就是真实的被人得到了，但是中枪就不一定了，因为一觉醒来你根本就没事，所以像格式化、感染性的病毒在影子还原后就根本不存在了，但是盗号就不一样了，因为不管你是不是在做梦，你的密码之类的都是真实的，梦境里和现实中都是一样的，所以盗号木马在影子中窃取了真实的密码，那确实就是盗走了密码，除非它还没发挥作用就被你给还原，不知道这么说楼主明白了没有。
我个人觉得shadow用在影子系统上的翻译，其实用幻影比影子更能反映其真实的意义。

聆听心声

5楼讲的实在是经典

nazisoft

FreeEquFraT 发表于 2011-8-19 18:21
影子的原理nazisoft大侠已经讲的比较明白了，我对技术相关的原理我也不是很清楚。但是我可以和楼主讲讲影子 ...

比喻很贴切，“影子”有映射、虚拟之意

FreeEquFraT

nazisoft 发表于 2011-8-19 19:32
比喻很贴切，“影子”有映射、虚拟之意

谢谢幻影幻影，一幻一影
其实说影子应该很多人都能明白，但是也有很多人不能理解

romman

中木马后，密码会被盗的，所以还要是装杀软或HIPS！！！！

Raid

貌似是把受保护的分区中此次开机写入的文件保存在一个文件里（SD为diskpt0.sys），重启后就没了
第二点只要你在开SD时没中毒 就OK 当然穿影子的也有