查看: 63601|回复: 244
收起左侧

[评测] 影子系统评测(加入了EXE感染的测试)

  [复制链接]
mz123456
发表于 2014-10-11 19:13:09 | 显示全部楼层 |阅读模式
本帖最后由 mz123456 于 2014-10-13 15:23 编辑

Hi!大家好我是奶瓶仔!!
这次给大家带来的是知名的影子系统新版的测评!
影子系统官方决定把这个版本在卡饭论坛进行首次的发公开亮相,我也十分荣幸的成为了首批内测的用户,并光荣地承担了为这个版本书写测评的任务!
这次更新的要点就是有很多细节UI的优化,还有对Windows7的完全兼容
那么这里要说明的是,这篇测评并不是如我之前那篇Windows10的测评那样是对一个版本的测评,这次的测评针对的是影子系统这个软件,是写给对影子系统不了解的新人们,那么高手如果发现我这篇帖子中有不实之处请及时指出哦!
对了,忘记介绍一下影子系统:
影子系统,是隔离保护Windows操作系统,同时创建一个和真实操作系统一模一样的虚拟化影像系统。进入影子系统后,所有操作都是虚拟的,所有的病毒和流氓软件都无法感染真正的操作系统。系统出现问题了,或者上网产生垃圾文件,只需轻松的重启电脑,一切又恢复最佳状态。
原理上,影子系统的软件层面相当于bios扩展而不是windows的一部分,我们看到的程序只相当于是一个调用bios扩展的应用,所以即使这个应用被切断,这个“bios扩展”仍然可以按照原定计划继续运行。
说明一下测试环境:Windows10技术预览版X642.40GHz双核CPU4GB双通道内存,1TB希捷SSHD固态混合硬盘
先来看一下UI
2.jpg
3.jpg
4.jpg
5.jpg
6.jpg
可以看到UI还是十分简洁的,其中有:“经典蓝” “宝石蓝” “春江绿” “玫瑰红”  “木纹” “金属拉丝” “透明背景板” “自定义背景贴图”多种背景模式可供选择,尤其是“宝石蓝”,相信看过的坛友们绝对拍手叫绝
好了,切入正题!
这次测试的项目是:
1.     性能测试
2.     功能易用性测试
3.     优缺点调查
No.1性能测试:Start!
测试一款新系统,和一款新软件的大致内容都是一样的,性能都是必须要在测试项目里的。
十分客观地以一个公众的角度来看,影子系统对系统的启动速度影响较小
7.jpg 大家知道,自Windows8以来,进入系统前都会有密码的确认,影子系统还会在进入系统之前有模式的选择(Model Chose),那么这些都是需要耗费时间的。
笔者的电脑今天还有该死的Windows Update在作怪。所以开机时间小幅上涨也就不是什么问题啦!(后面会讲到)
8.jpg 当我更新完update之后,并且关闭了开机密码,我的启动速度瞬间就降到了平均19s左右,所以使用影子系统的用户们完全不用担心拖慢开机速度!
9.jpg 这个也就是比较有公信力的证据啦,影子系统的内存占用只有4.5MB左右,比QQ的一个附加进程的后台占用还要小是不是不敢相信!?
综上所述,影子系统的存在完全可以忽视,并且在我使用电脑的过程中也没有被拖慢速度的现象。
No.2功能性测试
接下来测试的是影子系统的功能是否有效、易用、易理解
影子系统包括一个非常实用的功能,“目录迁移
10.jpg

它的功能是将桌面、我的文档、收藏夹、微软邮件客户端缓存迁移到其他非系统盘目录中,原因是在影子系统还原前,用户往往会修改一些桌面等地址的文件,为免这些有用的文件被影子系统还原,故开设此功能。
还有诸如以下功能
11.jpg
12.jpg
包括显示一些提醒文字,提醒您现在所在模式,系统托盘提示状态,设置密码防止病毒篡改影子系统主程序等等,但是诸如目录迁移、密码建立、系统托盘这些功能为了保护用户计算机安全和功能限制都是只在正常模式下才能够更改的。
结论:影子系统的占用较小,开机时能较为迅速完成恢复过程并完成开机;安全措施也较为完善,一些重要的改动在正常模式下才能够使用。涉及到恢复的功能比较完善。
现在进行最主要的功能测试
现在进行的是影子系统最主要的功能的测试,
测试方案:我们在Administration管理员账户下设立一个加所有拒绝权限的文件夹,一个普通的空白无权限文件夹(均在系统盘根目录下),一个无权限隐藏文件夹,测试影子系统能否全部删除。
13.jpg
14.jpg
文件夹建立后
15.jpg
重启后效果
那么根据测试的结果我们可以看到,加权限的文件、无权限文件、隐藏文件均被影子系统恢复原状态。那么无论是什么文件都可以被影子系统恢复了。
下面另一个测试项:捆绑\病毒测试
此病毒感谢热心坛友提供病毒样本和动作
动作:安装大量流氓软件
16.jpg (好吧我承认图标有点屌) 17.jpg
现在我们运行它
18.jpg
好吧,首先是百度杀毒,后面就没那么简单了
19.jpg
21.jpg
……看看我千疮百孔的桌面,还没完事呢
20.jpg
控制面板
……
22.jpg
终于受不了了,果断按电源键重启!效果如上图(其实我想用图里的那个专业些的软件记录这个程序的动作,由于保存位置设成了默认,被影子系统组特了,我也不忍心再让我的电脑受一次苦,就没有再次测试)

这次测试凭借的是捆绑\流氓软件普遍安装在C\的性质,直接让影子系统运行单一模式,直接将注册表、开始菜单、C盘各目录的更改直接还原
结论:影子系统能够删除隐藏文件、加权限文件、无权限文件等特殊文件,亦能够恢复注册表更改、修复开始菜单等较特殊的损伤。当然EXE感染等重启之后自然也可以恢复之前的更改了!
MBR篡改测试
感谢热心饭友提供病毒样本
动作:修改MBR引导扇区导致无法正常引导系统启动
环境:VMware windowsXP SP3,内存1GB,处理器单核2.4GHz
测试过程:首先打开此文件,修改MBR致使软件崩溃,EXPLORER崩溃,致使不得不强制重启。(详细篡改文件见附件)
首先关机,之后再打开(切勿直接重启),一切正常
26.jpg

类似熊猫烧香样本(EXE)测试
结束指定进程;禁用任务管理器;通过修改注册表禁用Explore的相关功能;利用全局消息钩子注入指定文件到其他进程;inline Hook 函数入口代码;删除注册表中“安全模式”相关的项,使系统无法进入安全模式;创建进程;搜索指定窗口;疑似查找杀软进程;拷贝自身到其他目录;提升权限;建立文件类型关联,双击指定扩展名文件时自动运行;创建互斥体;inline hook 自身进程;隐藏指定窗口;其他注册表信息;启动指定服务;查找文件;检测是否存在指定注册表键;创建服务;设置文件属性;添加开机自启动项
24.jpg
运行后……
25.jpg
禁用安全模式,更换EXE图标,复制自身到其他文件夹
26.jpg
双击其他EXE文件时自动运行,禁用右键菜单防止粉碎和降权
29.jpg
注册表被封锁,防止修改注册表病毒失效
30.jpg
cmd命令行无法打开,所有由可执行文件引导的软件系统全部失效(就是说全部文件都无法运行)
27.jpg
重启后,影子系统正常运行
28.jpg
恢复正常状态,开机启动项被删除,C盘内所有被篡改和感染的EXE文件删除(当时都无法关机了,开始菜单也被禁用,power键失效)
上传病毒样本和分析报告供大家玩耍

3.优缺点调查
影子系统的优点可见一斑,可以恢复任何类型的文件,占用小、不拖开机,体积小。另外由于其广义上是bios扩展,安全性也是比杀软要高得多的。
优点
事实上,影子模式并非仅供喜欢尝鲜的用户玩耍,它可以像重要领导人的替身那样对原系统进行完美的保护,如果进入影子模式,所有危险的操作都会被拒绝在原系统之外。
而且很多共享软件都有使用时间的限制,这并非简单的卸载后重新安装就能解决的,不过我们利用影子模式可以很轻松的突破这一限制,由于影子系统对系统分区的任何操作都会在重启后失效,因此重新安装共享软件就是轻而易举的了。(也就是说以后打游戏可以不激活了!)
作为影子系统来说,采用的是虚拟技术,将所有的操作都定向于被保护的虚拟分区
1、合理设置保护区域后可以防止一切误操作、病毒、恶意破坏等
2、具有很强的保护性与还原性,完美将被保护的区域恢复至保护时的样子
3、适用于特殊环境,如网吧、学校机房等
影子系统适合人群
对安全性要求高的用户(影子系统与杀毒软件的配合使用实属上上之选,不怕盗号的危险了)
企业中的用户(不再担心员工的误操作和恶意破坏等行为,提高工作效率)
电脑初学者(怕自己的实践操作会搞坏系统的,重启恢复)
下载安装软件爱好者(试验软件的好帮手,但是别忘了保存应用产物)
但其亦有一些有待完善的缺点,比如:
23.jpg
1.     反复不停地安装更新
2.     其对于应用程序自带的木马束手无策,当木马已经把获取的隐私数据会传到服务器之后,影子系统反倒销毁了证据
3.     另外杀软更新病毒库时也会被恢复
结:
世界上没有完全安全的软件,也没有无漏洞的应用,亦没有能防护一切病毒的杀毒软件。
防毒防毒,说白了就是只能靠自身的力量和经验来判断文件的真假好坏,杀软,只不过是应急状态下的防护工具,软件永远也不可能做到像人脑一样的智能,我们能做的,就只有控制自己的上网环境,不浏览不安全的网站,积极相信杀软,也要相信自己的判断。
影子系统作为这几年新兴的恢复工具,具有很大的用途和前景,但是恢复动作缺乏智能性,会将许多有用的文件付之一炬,在下一个版本的影子系统中会加入自定义恢复路径的功能,希望影子能越做越好、越智能!为互联网安全贡献出自己的一份力量!!
使用影子系统须知!目录迁移一定要用,否则你会后悔的!!
(像笔者一样……呜呜呜……)

另:如果在影子系统的产品技术方面有任何意见、建议或者问题的话可以在此帖中@影子系统驻卡饭官人,@影子系统 @小兔黑黑
上传病毒样本供大家玩弄,切记小心运行!

MBR篡改样本.rar

288.6 KB, 下载次数: 6230

MBR行为.rar

620 Bytes, 下载次数: 2028

捆绑样本.rar

194.48 KB, 下载次数: 6454

特洛伊木马.rar

110.94 KB, 下载次数: 2315

EXE感染样本分析报告.rar

5.72 KB, 下载次数: 3853

EXE感染测试.zip

337.14 KB, 下载次数: 8251

评分

参与人数 8魅力 +1 人气 +12 收起 理由
xflcx1991 + 1 精品文章
辽宁大连~~小海 + 1 精品文章
聆听心声 + 3 精品文章
马云波波波 + 1 精品文章
mylfcgerrard + 1 感谢解答: )

查看全部评分

mz123456
 楼主| 发表于 2014-10-15 12:32:32 | 显示全部楼层
本周五晚加入MBR引导扇区的篡改和安全模式全屏蔽的样本测试,究竟谁能更胜一筹,敬请期待!
敢敢 该用户已被删除
发表于 2014-10-11 19:52:41 | 显示全部楼层
没开个完全模式么,你这样玩毒,是小毒吧?
给你个EXE感染
mz123456
 楼主| 发表于 2014-10-11 19:57:06 | 显示全部楼层
敢敢 发表于 2014-10-11 19:52
没开个完全模式么,你这样玩毒,是小毒吧?
给你个EXE感染

捆绑而已啦,EXE感染不敢玩
敢敢 该用户已被删除
发表于 2014-10-11 19:58:40 | 显示全部楼层
mz123456 发表于 2014-10-11 19:57
捆绑而已啦,EXE感染不敢玩

这样不好,你要写得更详细,给别人更多的了解,
所以,楼下的,给点牛点的毒供楼主测试,让他完善测试报告
mz123456
 楼主| 发表于 2014-10-11 19:59:33 | 显示全部楼层
敢敢 发表于 2014-10-11 19:58
这样不好,你要写得更详细,给别人更多的了解,
所以,楼下的,给点牛点的毒供楼主测试,让他完善 ...

我电脑不中毒你很不爽是不是!!
敢敢 该用户已被删除
发表于 2014-10-11 20:00:42 | 显示全部楼层
mz123456 发表于 2014-10-11 19:59
我电脑不中毒你很不爽是不是!!

折腾精神与贡献精神!
没有完美的验证全模式,会让有的人却步的~
mz123456
 楼主| 发表于 2014-10-11 20:02:00 | 显示全部楼层
敢敢 发表于 2014-10-11 20:00
折腾精神与贡献精神!
没有完美的验证全模式,会让有的人却步的~

感谢支持,明日增加
敢敢 该用户已被删除
发表于 2014-10-11 20:04:18 | 显示全部楼层
mz123456 发表于 2014-10-11 20:02
感谢支持,明日增加

感谢你的贡献精神,
重点是影子无法控制的时候,你找到补救方法!
mz123456
 楼主| 发表于 2014-10-11 20:07:27 | 显示全部楼层
敢敢 发表于 2014-10-11 20:04
感谢你的贡献精神,
重点是影子无法控制的时候,你找到补救方法!

我手刃过EXE感染,但是文件没救回来
敢敢 该用户已被删除
发表于 2014-10-11 20:11:51 | 显示全部楼层
mz123456 发表于 2014-10-11 20:07
我手刃过EXE感染,但是文件没救回来

虚拟机中可否测试影子系统?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-21 22:52 , Processed in 0.142765 second(s), 22 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表