为影子正名----关于影子改写MBR的问题

taiyang143

看到论坛上有人说最新版的影子在注册的时候要改写硬盘MBR，就给影子的技术支持去信了解详情，下面是他们的回复：


写引导扇区并不代表技术是否先进,是否对系统有危害.这个要根据实际需要而定.

影子系统并不改写引导区和MBR,为了方便激活使用,我们在磁盘的特殊位置设置了一个标志位(很多软件都要这样做).

下面将会有很冗长的技术介绍，为了方便，我首先告诉大家：

影子系统不会改写MBR!

MBR是什么？MBR是master boot record的缩写，指的是存放在硬盘第一扇区上的引导程序，通常在第一扇区上还存放着分区表。在大多数情况下，第一扇区也被称为MBR。

哪些程序会改写MBR,程序改写MBR是否会对用户带来伤害呢？市面上常见的硬盘保护软件，多操作系统引导软件等会改写MBR，传统的引导型病毒也会改写MBR。对于给用户带来危害的问题，正规厂家提供的有质量保证的产品，都不会给用户带来危害，改写MBR只是提前执行程序的一个方法。在几乎所有的品牌电脑中，都通过定制BIOS来实现提前执行，同改写MBR是一样的效果。特别值得注意的是，影子系统的激活绝对不会改写MBR。

影子系统的激活，为什么看上去改写了MBR？

很高兴有这么多的电脑专家关注着影子系统，有了你们的监督会促使我们更真诚地服务广大网民，为大家提供有价值的产品。下面我解释影子系统激活的原理。

硬盘上除了MBR，分区，分区表以外，还存在大量的自由空间，也就是不使用的空间。这包括分区间间隙和磁道外介质，分区间间隙通过软件接口可以访问，磁道外的介质，通过控制磁盘芯片或者低级格式化也能够访问。影子系统使用分区间隙存放激活信息，并且，当影子系统被卸载时，该间隙的内容也将被复原。影子系统为什么使用分区间隙来存放激活信息呢？假如影子系统采用分区内的文件存放激活信息，在影子模式下，当收到用户态程序传来的激活数据时，负责磁盘的模块将会把激活文件写入到分区内，这是一个非常大的安全隐患，下面我介绍攻击过程。

黑客首先破解影子系统用户态程序，找到组件间接口。

在用户的电脑上运行程序，通过各种黑客技术装载核心态代码。

黑客的核心态代码检查系统内核内存空间，查找影子系统内核组件。

将影子系统内核组建中激活文件写入的部分修改为写入他们希望的任意文件名。

模拟影子系统用户态发起激活操作。

将恶意代码写入系统分区。

为了避免这一安全漏洞，我们将激活信息写入到磁盘间隙，并且可以100%的保证不会对用户系统带来任何的影响。

PS：去信后不到3小时就回复了，今还是周末，对他们的效率感到满意~~
欢迎大家讨论~~~~

[ 本帖最后由 taiyang143 于 2006-12-16 15:09 编辑 ]

yzt1004

原来是这样……虽然看不懂，也放心了~

学习怪男

我还从来没有考虑过该引导扇区的危害～～～
不过影子系统的口碑的确不错～～

夏春秋

那就是和微点写隐藏扇区一样吧，不过它说卸载会复原的这点不错

[ 本帖最后由 rushmore 于 2006-12-16 16:49 编辑 ]

2052

影子不改写的，还原精灵改写的。

装了影子的硬盘可以直接执行 ghost  format 格式化的命令。

taiyang143

哈 再一听大家这样说
准备换成最新的版本了
老版看繁体老是不习惯~~~~~

颓废凌云

我一直在使用中
发现很不错~~
出问题大不了重新装系统

pietrojiang

卸载会复原的话,真的是不错的软件

zxc789

好文标记～～前段时间的谣传吓坏很多人啊～感觉这股风有点不正常～现在还是用2.6～

lijiejack

终于放心了．．．
支持一下影子系统．　用了几个月了，很满意的