影子卫士Shadow Defender还原能力可能不及预期

杀软病综合医院

实机装了影子卫士，实机测试样本区的时候发现个事情。就是影子卫士偶尔并没有还原文件。（多次）
比如本次测试我先下载了样本压缩包，再开影子卫士开启全盘影子，然后智量关闭基础防护，解压样本包在桌面。（桌面设在在D盘）
双击测试。测试完后，重启机子。
发现，样本包解压后的文件夹还在。智量的基础防护还关着，这些是影子开启之后才改动的。

该样本应该没有针对影子卫士。

这说明影子卫士可能受其他软件的影响比较大（尤其高权限的杀软），哪怕不是特意针对他，也有可能造成不工作，还原失效。
猜想1.开机启动时加载影子，要比开机后运行一段时间再加载影子，要安全一些。
      2.D盘上有运行着的程序，尤其是无法关闭的程序如杀毒，中途加影子的效果有可能失效。

nazisoft

关闭Windows的快速启动看看

杀软病综合医院

nazisoft 发表于 2021-7-24 20:34
关闭Windows的快速启动看看

我这win7 64位没找到那个设置

温馨小屋

是的，我早就体验过这个问题，点样本时偶尔会漏，从那之后就再也没装过SD


            

  Windows 10 企业版  21H1【 19043.1110 】

【Mozilla Firefox 90 】

我是隔壁的小号

SD本身就脆弱啊，把SD本身干掉就不行了，系统自带BL加密也互斥，快速起动也互斥，我后来就纯用夏软还原和PS了。
https://bbs.kafan.cn/thread-2211318-1-1.html

PS：http://www.yingzixitong.cn/zt/

总体感觉比SD好用（是指易用性）

而且现在SD这类的已经快跟不上时代了：
https://www.52pojie.cn/thread-871104-1-1.html

这个分析的也清楚。
“有网友谈论冰点，可以很负责的说冰点的安全性不如Shadow Defender，很容易被穿透。
就算是Shadow Defender，也有穿透的可能，一键转储commit.exe，如果没有设置密码，
可能被其他程序调用，被注入（针对于需要签名或所有权验证的情况，没有验证的话可以直接对内核对象进行IO无需注入），利用、穿透。
有设置密码也并不绝对的安全，设置密码的话Ring0下还是能Patch密码验证过程从而穿透。
感兴趣的话可以参看一下我写过的一款主动防御 EzH!PS 的核心思路。http://www.vbgood.com/thread-97267-1-1.html”

coldplay2011

试下老版本，比如Shadow Defender v1.4.0.519

whf20

用过冰点、影子、闪维等，个人比较喜欢冰点还原。不过也多年未使用这些自动还原类软件了。

滑稽VMware15

这类软件有安全隐患，推荐用虚拟机测试病毒。

qq892640791

请使用冰点企业版

huzi969696

这个要测试下，正要用。