查看: 2578|回复: 5
收起左侧

[已解决] 请问SD在用户没有登陆的时候会提供系统保护吗?

 关闭 [复制链接]
luos86
发表于 2008-5-18 15:16:39 | 显示全部楼层 |阅读模式
本帖最后由 107 于 2010.9.15 21:04 编辑

请问SD在用户没有登陆的时候会提供系统保护吗?
另外有什么还原软件只需注册为系统服务项就可以提供系统保护吗?
SONGBOWEN
发表于 2008-5-18 16:40:54 | 显示全部楼层
汗,关键看设置。。。。。

如果选重启后继续进入影子模式,那么重启后,登录前就会处于SD的保护之下,甚至安全模式也是如此。

这一点,LZ可以了解一下Windows的启动顺序,驱动的加载比登录界面要早很多。

至于第二项,服务貌似没有磁盘底层的权限,需要驱动才能实现。。。。
ssyknuwyg
发表于 2008-5-18 17:06:10 | 显示全部楼层
所有影子都是基于磁盘过滤驱动的
luos86
 楼主| 发表于 2008-5-18 22:51:30 | 显示全部楼层
学习了,谢谢宋版主!
rx-79
发表于 2008-5-19 02:55:11 | 显示全部楼层
我有个亲身经历,不知道宋版版能不能加以解释:
我自己装的是kv2008,但不知怎么的kv的兼容性一直不够好,导致我的系统一星期会蓝屏一次。我从RVS换到SD后也蓝屏了这么一次。情况是这样的:
开机,见滚动条,立马蓝屏。只得关机重启,重启后正常进入系统。进入桌面时,系统提示:windows从严重错误中恢复过来。进而,windows目录内发现多出来minidump目录及当天的出错内存转储文件(我设影子保护的时候Windows下并没有minidump文件夹)。通过微软debug工具分析这个内存转储文件,得出产生蓝屏的原因是kv的kvreg.sys程序。再重启系统,minidump目录及其中文件消失了

搞脑筋的是什么呢= 为什么minidump这个文件夹会出现?
如果说蓝屏的那时,kvreg.sys先于sd的驱动加载,kvreg.sys导致系统蓝屏,因为SD驱动尚未加载,所以系统自动产生了minidump文件夹和dump文件,并被保留在windows文件夹下了。可是蓝屏后我是关机后再正常开机的。SD的驱动正常加载后进入XP。那为什么我会看见minidump目录和其中文件呢,而且系统有提示,系统从严重错误中恢复过来。也就是说,蓝屏后的重启SD并没有完全回到保护的初始状态,只有当再重启后,才让系统回到了保护的初始状态。难道SD想要恢复到保护的初始状态需要上次windows的“正常”退出时所产生的某些信息做参照? 所以当蓝屏发生后重启电脑,SD找不到这些信息,所以SD保留了minidump,而再重启后,SD得到了,所以minidump消失了。还是SD对minidump文件夹做过什么特殊处理?那系统从严重错误中恢复过来这条信息又怎么解释。。。

废话说了一大堆,希望宋版版在回这贴时,直接告诉我们:从没有minidump的系统中正常关机----》开机加载驱动时遇到蓝屏———》重启进入系统接到系统错误信息并发现minidump------》再次重启minidump消失,一切回到最初保护状态。这个过程中究竟SD和系统发生了什么事?


参考资料:
当我装RVS保护系统遇到同样的事情时(我用premium的),蓝屏后第一次进入系统后,系统没有报告说系统刚从严重错误中恢复过来。但windows目录中也同样出现了minidump,并且不管你重启几次,minidump依然存在。(除非你关闭影子保护删除minidump,否则它将永远存在) 这个minidump文件夹,不能被外部系统看到。因为我不想关闭保护,但想删除minidump目录,所以我就用pe启动,却发现minidump并不存在于windows目录下,但当运行真实系统的时候,minidump就在windows目录下。也就是说minidump只能在装有RVS的系统中看到。遂,我猜测。minidump应该在rvs创建的虚拟内存里。并不真在windows目录中。只是开机后把虚拟内存里的minidump映射到windows目录中而已,因为蓝屏发生时,rvs把改变存在了虚拟内存里?

啊~~~~~~~~~~~~~~~~糊涂了,请宋版版分析一下看看

PS2.Powershadow,遇蓝屏重启也会出现'系统从崩溃中恢复过来的提示“至于有没有保留minidump因为年代久远,无从查证了

以上 静候宋版版佳音

[ 本帖最后由 rx-79 于 2008-5-19 03:11 编辑 ]
SONGBOWEN
发表于 2008-5-19 09:49:56 | 显示全部楼层

回复 5楼 rx-79 的帖子

从没有minidump的系统中正常关机----》开机加载驱动时遇到蓝屏———》重启进入系统接到系统错误信息并发现minidump------》再次重启minidump消失,一切回到最初保护状态。这个过程中究竟SD和系统发生了什么事?

可能是SD的驱动加载过程中与KV的驱动产生冲突,导致蓝屏,而微软将内存Dump到硬盘的一个特定扇区中,而并不是直接写入MiniDump文件,因为蓝屏后,磁盘驱动也挂了,是无法对文件进行操作的。
而重新开机后,系统检测到上次启动失败(检测方法我也不知道,但肯定是检测到了),于是从特定扇区中读出Dump的内存,还原为MiniDump文件,这个过程是在影子中完成的。
再次重启,影子将系统盘还原,MiniDump文件随之消失。

提示:以上结论纯属推测,不一定属实。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 21:21 , Processed in 0.120983 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表