各类影子系统是保存到硬盘中,还是内存中?或者哪种更常见?

显示全部楼层 · 发表于 2014-12-6 13:57:54

本帖最后由菩提祖师于 2014-12-6 14:12 编辑

各类影子系统是保存到硬盘中,还是内存中?或者哪种更常见?
想到测试方法就是疯狂向被保护分区写入大文件,使其超过内存容量,以此判断.
另一个就是像被保护分区写入少量数据故意编造的指定数据,然后用16进制编辑器对全盘进行搜索,看能否找到.
最好是全盘保护状态下,以防止软件借用其它非保护分区(我的猜测),或自己输入时不小心进入到非保护分区.
Sat Dec 6 14:12:39 CST 2014:
欢迎讨论

显示全部楼层 · 发表于 2014-12-6 14:11:13

像

≠向。楼主没发现吗？
一般来说不是保存在内存中的。最终还是要保存在硬盘中的，因为断电以后内存里面的东西就没了

显示全部楼层 · 发表于 2014-12-6 14:15:23

imcw 发表于 2014-12-6 14:11
≠向。楼主没发现吗？
一般来说不是保存在内存中的。最终还是要保存在硬盘中的，因为断电以后内存里面的东 ...

感谢提醒,已经编辑.
影子系统的被保护分区是临时存储的,保存到内存也没关系吧?
当然需要转储除外,我说的是直接重启之后数据恢复.

显示全部楼层 · 发表于 2014-12-18 22:56:36

Shadow Defender和PowerShadow应该都是保存在硬盘里，Shadow Defender可以设置保存在内存，不过一般关机时SD占用的空间会达到1G左右，不可能完全保存在内存里。

显示全部楼层 · 发表于 2014-12-24 15:25:40

不用测试了，肯定都是保存在硬盘里，利用硬盘剩余空闲空间作为缓冲区。少部分支持内存缓写的影子可以利用一部分内存减少写入硬盘的数据，但超过设置内存部分还得写入硬盘的。
好比你保护了一个分区，往那个保护分区内下载或者复制一个大块头电影文件，然后退出影子重启用数据恢复软件扫描，肯定能找到那个文件的。

例证是论坛里以前有人反映的在影子全盘保护下浏览网站以为能保护隐私，退出影子后用软件检测上网记录还能看到访问了哪些网站。。。

[求助] 各类影子系统是保存到硬盘中,还是内存中?或者哪种更常见?

评分