影子系统中文版深入评测（转）

飞翔精鹰

为了更全面地了解PowerShadow Master，笔者为读者“赴汤蹈火”，利用PowerShadow Master(下简称PowerShadow）进行了一些高危险性操作，从而测试其关键功能的安全性，并进行深入评析。希望笔者的意见能给大家带来参考价值。软件原理浅析
　　Powershadow会克隆本机内硬盘的某个分区或所有分区，并形成一个影子，称之为“影子模式”。它和主系统有着相同架构和功能，用户可以在影子模式下做相同的事。影子模式顾名思义，用户可以任意摧残系统，而影子却有着无限复活之身。用户可以删改文件、安装测试各种软件（包括流氓软件、病毒），可以在明显漏洞出现情况下，实现“裸奔”，最终实现使用系统后不留任何痕迹。
软件名称：　PowerShadow Master
软件版本：　2.6.0511
软件大小：　3.18MB
软件授权：　免费
适用平台：　Windows XP/2000/2003
下载地址：　HTTP：//5gdown.com/Software/Catalog52/6509.html
　　安装PowerShadow之后，该软件有几项重要操作：注册一个Windows服务；开机启动一个shadowtip的进程；修改boot.ini配置文件实现开机时“正常模式”与“影子模式”的选择。当你开启影子模式，PowerShadow会生成一个ShadowService.txt文件，记录相关信息。
　　PowerShadow可以选择保护不同的分区，有单一影子模式与完全影子模式之分：
　　

图一 PowerShadow的两种影子模式
危险操作测试
　　使用PowerShadow的影子模式到底能不能保证系统的金刚不败之身呢？相信只有实践才能证明一切：
　　1、删改文件
　　在启动单一影子模式后，笔者删改了C盘系统分区下的许多文件（包括文档数据、程序文件、Windows下的dll文件、system32下的系统文件），恢复到正常模式后，发现一切被删改的文件恢复如初。
　　2、安装风险软件
　　为了更一步测试安全性，笔者在单一影子模式下安装了几个网上流行的流氓软件：Yahoo助手、搜狗直通车、CNNIC中文上网工具条。安装后，面目全非的IE浏览器样子如图二：
　　

图二 安装了流氓软件后的Internet Explorer　　再一次回到正常模式下，我的IE浏览器简洁如初：
　　

图三 回到正常模式后的Internet Explorer　　3、打开病毒文件
　　在单一影子模式下，笔者打开了含有大量病毒样本的病毒包，其中含有危害程度最大的CIH病毒。在杀毒软件没做任可处理的情况下，笔者卸载了杀毒软件。再重新进行正常模式，结果一切恢复正常状态，系统毫发不损。
　　

图四 在影子模式下，打开了大量的病毒文件（包括CIH病毒）　　4、上网“裸奔”
　　上网裸奔是电脑爱好者的梦想，但是却往往因为裸奔造成大量的系统伤害，不得不花时间手工处理一些病毒木马。笔者使用影子系统进行了长达两天的裸奔试用，结果发现，一旦回到正常状态，原系统依旧如初。
　　小评：可见PowerShadow的安全性相当的强。影子模式启动后，应用层上只有一个功能，就是关闭影子系统。因此任何应用层上的程序都无法针对powershadow实施对于任何受影子模式保护文件的攻击。要损害系统的唯一方法只能是启动正常模式。
资源占用问题
　　实现如此周全的安全保护，PowerShadow对系统的要求并不高，占用的资源也很少：
　　

图五 单一影子模式下的进程分析
　　整个软件安装下来，将临时文件算上也只有12MB左右，比起GHOST等生成上G的分区镜像来说真是小巧极了。更多数据信息，笔者列出下表：
安装文件大小　　　3.70MB
安装后文件大小　　12MB左右
正常模式下　占用进程数　1　　占用内存量　420KB
影子模式下　占用进程数　1　　占用内存量5－8MB
关于版本与免费的问题
　　PowerShadow当下只有繁体版本与英文版本，据官网介绍，简体版本近期将会推出。不过网上流传有汉化版本，这给用户带来了方便。最近PowerShadow流行甚热的重要原因就是其对中国用户免费的策略。你只需要按下面的信息注册即可免费长期使用，这对于像笔者这样的“破解一族”确实是个福音：
　　用户名：PowerShadow
　　序列号：VVR29E-R4WCK2-K4T111-V1YHTP-4JYJDD
与GHOST、虚拟机、还原精灵等软件的区别
　　与GHOST、虚拟机、还原精灵等软件一样，PowerShadow都是为了使系统长用如新，避免造成重装系统与安装软件的麻烦。对于一般的家用用户，和入门级用户来说，PowerShadow有很大的优势：
　　GHOST的运行文件比较小，但是需要生成镜像文件，而且镜像文件GHO的文件动不动就几G。还原的时候比较麻烦，需要大面积重写硬盘，覆盖文件。
　　虚拟机也是可以创造一个很好的虚拟环境，但与PowerShadow不一样的地方虚拟机要占用大量硬盘空间与系统资源。
　　还原精灵，安装设置需要一定的电脑水平。有的需要新增硬件，有的需要设定硬盘扇区用于还原精灵使用，这都给安装带来了麻烦。
总评
　　PowerShadow相当适合初学者使用。笔者就打算给父母的电脑安装一个PowerShadow，省去经常回家修复的麻烦。也适合笔者这样的新软爱好者使用，可以试用各种各样新型的软件，免得给真系统增加**信息。更适合那些专业测试人员，冒着重要风险研究病毒等风险软件。
　　不过PowerShadow却有一些不尽人意的地方。进入影子系统后，任何东西都不能保存。而且影子和正常系统之间需要重启才能切换，不能任意切换比较麻烦。最重要的是影子系统不能延续，重启后刚才使用的数据与设置都不复存在，又将是一个新的“影子”。
　　所以说软件也是具有两面性，关键是其功能与用户的需求是否对应，这才是关键。如果你觉得适合自己，那就赶快下载安装.

有没有更多人用过呢，实际效果如何？

丫头

这个软件不错~~~我经常用它来测试病毒~~~~

wangjay1980

不能保存有用的东西，遗憾啊！

taiyang143

我正在用这个  哈不错的
PS：简体版本已经出了~~~~~

chiosou527

原帖由 wangjay1980 于 2006-12-26 13:31 发表
不能保存有用的东西，遗憾啊！

不能保存什么有用的东西？？？
影子模式有两种，单一和全部模式 用单一就是了

不过这种软件用来玩玩好，真正用还是比较麻烦

陈青锋

可是它對硬盤有傷害么！

68213411

【转贴】【资源荟萃】慎用PowerShadow（影子系统）【已搜索无重复】

  
作者：taylor0577


本文仅做技术讨论,本文所产生的后果本人概不负责
在论坛上经常碰到有人使用PowerShadow 也遇到很多的受害者.今天我抽出时间专门就PowerShadow这个软件做简要的说明,以正视听

PowerShadow作为一款还原类的软件,在国内的互联网很火,不少人认为我的系统装了PowerShadow是万事大吉,百毒不侵,互联网中也这么宣传.实际上这种说法是完全错误的.

装了PowerShadow真的是安全了吗?答案显然是否定的

一 盗号木马面前PowerShadow束手无策
我们知道互联网中有一种广泛使用的木马叫盗号木马(所有人都该知道的).盗号木马严格意义上说是一次性的木马,为什么呢? 盗号木马以盗走你的特定的帐号密码为目的.一旦植入系统盗走你的帐号和密码后 木马完成了使命.你再去清理他,木马清理后 损失已经造成了,无法挽回了. 然而你在PowerShadow 的保护下中了此类木马,因为影子是虚拟的系统而不是具有保护功能的防火墙,当你重启系统后,木马消失了同时帐号和密码已经在黑客的手中了. PowerShadow不但没有保护作用反而替黑客做了销毁证据的工作.


二 再坚固的保护依旧得敞开
大家经常会安装各式各样的软件,在PowerShadow的保护下安装是无法安装的,我们必须在正常的模式下安装软件,如果这时候安装包中捆绑了木马.你依旧会中木马,再启动PowerShadow的保护,除非你发现了否则这个木马会一直陪伴你.

三 先入为主
很多人喜欢在做完系统后 装上所有应该装的软件后 再 装PowerShadow 予以保护以求安全,如果你的应用软件不干净,结果会和第二点一样.

四 系统崩溃
PowerShadow 和其他还原类软件一样,依旧存在系统崩溃的问题.有过崩溃经验的PowerShadow用户应该有过 开机后发现找不到**文件而不得已全部重装的经历.其实原因很简单 PowerShadow还原出错，就会导致系统无法启动和文件目录丢失,而且PowerShadow改写了分区信息和引导程序数据，很容易造成系统崩溃.

五 无法彻底卸载
如果通过简单的卸载程序进行卸载是无法卸载PowerShadow的.大家在卸载完PowerShadow以后 用sreng软件 看一下驱动程序 会发现 snpshot.sys依旧在 running(运行)看图 用SREng在安全模式下删除或改动这个文件后，系统即崩溃，不能启动也不能进入安全模式.为啥呢?很简单这个文件的启动方式是boot start 你在安全模式下删 肯定会出问题的.然而PowerShadow卸载并没有还原修改的主引导.系统崩溃并不奇怪了.

有人问那咋卸载呢.有这么几种方式.
其中能彻底卸载影子的是低格和换硬盘….
低格就是debug,一般硬盘厂商有debug工具 下载后按照提示做.但是低格是很伤硬盘的.
除了上述两种办法, 可以尝试用系统安装盘光驱引导 后 进入安装界面删除所有的分区再建立新的分区 然后开始漫长的系统重装……

其次有全盘ghost的用户可以尝试 ghost还原 但是根据反馈的效果 依旧有部分残留.

对于仅仅格式化系统盘的用户 根据反馈的信息看 是无法彻底卸载的.

本文到此就结束了,希望网友能够在以后的上网过程中注意明辨是非.对于网络上的所谓菜鸟高手以及不切实际的宣传要提高警惕避免被误导.尤其要注意国内  就有那么一帮 "菜鸟高手" 在 不懂 软件原理的情况下看了点英文的简介 就开始想当然了,什么  不死  永久   不用杀软 /防火墙的 词语  就出来了. 直接结果 就是导致  成千上万的人受害.

lyg_haige

呵呵，针锋相对啊，说的好像都有理，但愿有高人做出个最终的评测，让我们用的放心

chiosou527

8楼大部份观点赞同 不过那个什么卸载不了？？？我都装了两次卸载了两次了
啥问题也没有呀