影子系统、还原精灵等软件比较和分析报告.doc

影子系统、还原精灵等软件比较和分析报告操作系统特性适用人群影子系统2008Windows XP/2000/2003全新内核、口令保护、多启动模式选择、自我保护、多用户支持、离线激活想打造一台不需维护的电脑或者一台百毒不侵的电脑一键还原WIN98/ME/2000/XP/2003/VISTA系统安全、快速、保密性强、压缩率高、兼容性好适合电脑新手和担心操作麻烦的人使用一键GHOSTWin XP/2000/2003/Vista/2008/Win7（32位和64位）安全、稳定、快速等4种版本同步发布的启动盘，适应各种用户需要，既可独立使用又能相互配合。冰点还原Windows 7/2000/XP/ Visita轻松安装、动态保护、实时瞬间恢复、操作简单适合网吧和个人一、类型:影子系统：(属于镜像)影子系统主要用于保护您的系统，它构建现有操作系统的虚拟影像(即影子模式)，它和真实的系统完全一样，用户可随时选择启用或者退出这个虚拟影像。用户进入影子模式后，所有操作都是虚拟的，不会对真正的系统产生影响，一切改变将在退出影子模式后消失。因此所有的病毒、木马程序、流氓软件都无法侵害真正的操作系统，它们的所有操作都只是假象。在您启动影子模式后，仍然和原系统完全一样使用，但是在下次启动前如果您遭到了病毒、木马的入侵，破坏了您的系统，您不必担心，一切的操作都是针对您的原系统的影子的。您的一切操作，包括安装程序在下次用原系统启动时，也都是无效的，这对做程序安装测试非常有用，不会因为安装卸载而产生垃圾文件！影子系统不同于还原类软件，不需做任何镜象，PowerShadow 也并非虚拟系统，它是你原操作系统的“影子系统”。还原精灵：(属于备份) 还原精灵可以保护你硬盘上的全部数据，而备份和恢复数据时所花费的时间却只有几秒钟，并且占用的空间只有整个硬盘空间的万分之一大小。 还原精灵是南京远志公司推出的新型纯软件版硬盘还原工具。它可以保护您的硬盘免受病毒侵害，重新恢复删除或覆盖的文件，彻底清除安装失败的程序，并避免由于系统死机带来的数据丢失等问题。只需简单的几步安装，即可安全地保护您的硬盘数据。还原精灵的安装不会影响硬盘分区和操作系统。轻松安装、动态保护、实时瞬间恢复。还原精灵采用新的内核技术，安装时由软件动态分配保留空间，无须预先设置其位置和大小，从而能够最大限度的利用硬盘空间。二、工作原理影子系统工作原理：所谓影子系统，即重启系统一切测试（操作）将不复存在。意即硬盘还原卡、还原精灵等性质一样。由原系统进入影子系统，再退出影子系统返回原系统的整个过程,，所做的档案储存， 上网记录，软体安装等等都不会被记录。 说其原理，应和还原精灵类似。说其真正原理，仅通过测试猜测了一下，大家应该用过InstallWatch之类的监测软件吧，它是监控每个操作记录。这类在重启时进行反操作。PowerShadow Master（影子系统）是款很奇特的小软体,当你安装它并重新启动电脑以后,电脑会类似安装了双系统一样,多出一个启动项,选择其中 PowerShadow Master的启动项后,原系统是完全一样的使用,但是你的一切操作,包括安装程式(甚至运行病毒)在下次用原系统启动时,都是无效的,对做程式安装测试非常有用,不会因为安装卸载而产生LJ档!所谓影子系统!重启系统一切测试将不复存在。特点： 影子启动单一保护模式后，C盘原有文件在硬盘上都不能动，即使删除也只是显示为删除，实际上这部分删除后多出来的空间是无法动用的，对后来写入的文件，如果能动用的硬盘空间够用就写在硬盘里，否则就写在内存里，如果内存也不够用则系统假死，重启后恢复原状1. 影子的核心进程不是ShadowService.exe和ShadowTip.exe，这两个是摆摆噱头的，影子真正的进程是system，这是系统核心进程，无法中止，即使不开启影子保护模式，system进程仍然加载SnpShot.sys，一旦加载即驻留内存，即使删除SnpShot.sys也没用2.影子需要Windows系统支持，在DOS下影子是可以被干掉的，比如用软盘、光盘、U盘启动DOS，但这几乎不可能在远程操作，不知道有没有DOS上网软件？3.影子启动保护后，如果能让system进程把SnpShot.sys从内存中卸下，则影子会被干掉，这可能是以后病毒的主攻方向4.影子没有改写硬盘MBR，这一点大家可以放心。影子系统缺点：1.采用单一影子模式时，不能选择排除某个文件夹在外。比如我选择的是保护系统盘C盘，但我又想在使用影子系统重启后能保留杀软的升级结果。这样的功能影子系统没有。2.进入影子系统后不能随时退出随时进入，必须重启系统，这是最大的一个遗憾，降低了便利性。影子系统软件简要说明：PowerShadow作为一款还原类的软件,在国内的互联网很火,不少人认为系统装了PowerShadow是万事大吉,百毒不侵,互联网中也这么宣传.实际上这种说法是完全错误的. 装了PowerShadow真的是安全了吗?答案显然是否定的。一 木马面前PowerShadow束手无策 我们知道互联网中有一种广泛使用的木马叫木马.木马严格意义上说是一次性的木马,为什么呢? 木马以盗走你的特定的帐号密码为目的.一旦植入系统盗走你的帐号和密码后木马完成了使命.你再去清理他,木马清理后损失已经造成了,无法挽回了. 然而你在PowerShadow 的保护下中了此类木马,因为影子是虚拟的系统而不是具有保护功能的防火墙,当你重启系统后,木马消失了同时帐号和密码已经在黑客的手中了. PowerShadow不但没有保护作用反而替黑客做了销毁证据的工作. 二 再坚固的保护依旧得敞开 大家经常会安装各式各样的软件,在PowerShadow的保护下安装是无法安装的,我们必须在正常的模式下安装软件,如果这时候安装包中捆绑了木马.你依旧会中木马,再启动PowerShadow的保护,除非你发现了否则这个木马会一直陪伴你. 三 先入为主 很多人喜欢在装完系统后装上所有应该装的软件后再装PowerShadow予以保护以求安全,如果你的应用软件不干净,结果会和第二点一样. 四 系统崩溃 PowerShadow和其他还原类软件一样,依旧存在系统崩溃的问题.有过崩溃经验的PowerShadow用户应该有过开机后发现找不到*文件而不得已全部重装的经历.其实原因很简单PowerShadow还原出错，就会导致系统无法启动和文件目录丢失,而且PowerShadow改写了分区信息和引导程序数据，很容易造成系统崩溃. 五 无法彻底卸载 如果通过简单的卸载程序进行卸载是无法卸载PowerShadow的.大家在卸载完PowerShadow以后用sreng软件看一下驱动程序会发现snpshot.sys依旧在running(运行)看图用SREng在安全模式下删除或改动这个文件后，系统即崩溃，不能启动也不能进入安全模式.为啥呢?很简单这个文件的启动方式是boot start 你在安全模式下删肯定会出问题的.然而PowerShadow卸载并没有还原修改的主引导.系统崩溃并不奇怪了. 有人问那咋卸载呢.有这么几种方式. 其中能彻底卸载影子的是低格和换硬盘. 低格就是debug,一般硬盘厂商有debug工具下载后按照提示做.但是低格是很伤硬盘的. 除了上述两种办法, 可以尝试用系统安装盘光驱引导 后 进入安装界面删除所有的分区再建立新的分区 然后开始漫长的系统重装。其次有全盘ghost的用户可以尝试 ghost还原 但是根据反馈的效果 依旧有部分残留. 对于仅仅格式化系统盘的用户根据反馈的信息看是无法彻底卸载的.”还原精灵的工作原理： 还原精灵修改了硬盘的引导扇区，硬盘的引导扇区又被称为MBR(主引导记录)，它位于硬盘的0磁头0柱面1扇区。还原精灵的工作原理涉及到中断概念：中断是指CPU暂停当前运行的程序,转而执行中断提交的程序。int 13是中断指令，其中int是指令助记符，13(十六进制数)是中断号。当用户对硬盘进行操作时，基本输入输出系统(BIOS)向CPU提出中断请求，CPU转而执行int 13提交的程序。int 13提交给CPU执行的MBR位于是0扇区。如果在BIOS中设置了硬盘启动的话，系统会首先载入这个扇区的MBR到内存，然后运行这个代码，还原精灵就是用自己的引导代码来代替标准的引导代码。这个方法与引导型病毒一样。不过，引导型病毒的目的是破坏系统，而还原精灵的目的是保护系统。还原精灵的代码接管了引导扇区后，每当我们向硬盘的文件分配表写入数据时，总是被导入硬盘数据区，没有真正修改硬盘中的文件分配表FAT。例如：我们在做硬盘的写操作。由于INT 13的服务程序被接管，当还原精灵发现是写硬盘操作，便将原先数据的目的地址指向它自己定义的一段连续的空磁盘空间，并将先前备份的FAT中相关数据指向这片空间。所以还原精灵需要被保护的磁盘上有较大的空闲空间,它需要利用这段空间。进一步地，用户不可能格式化真正的硬盘，因为所有对硬盘的操作都要通过还原精灵的处理。还原精灵缺点：1 密码太容易破解，早在几年前在网吧盛行还原精灵的时候，那时候的病毒和一些电脑高手不是太多的时候破解还原精灵就非常的普遍了。2. 引导区容易出现错误。一些使用过还原精灵软件或还原卡的硬盘，我们能够对硬盘进行分区，格式化，但是重新启动电脑后就恢复原状态;或者是还原精灵密码丢失，我们无法正常卸载还原精灵;甚至是我们对硬盘低格后，虽然能够安装系统，但是无法从硬盘自检，检查激活分区，系统分区都正常。对于此类故障，其原因就是硬盘主引导区(MBR)的引导程序代码没有被更新，仍然是被还原精灵软件所控制，这时我们只要从光盘引导启动系统，使用”FDISK /MBR”命令就可以解决此类问题。另外使用”FDISK /MBR”命令进行重写主引导扇区时，此法可能会丢失硬盘中的数据，只能在万不得已时使用，注意不要在多于四个分区的硬盘上其实有时候 “fdidsk/mbr”命令也不会起作用原因：还原精灵确实好用，恢复系统的时候很方便，不过它也会把系统引导区加入自己的引导信息，所以在重装系统的时候不允许随便更改引导区，导致分区表错误，有些经过一些程序编辑过的还原精灵即使你卸载了是卸不干净的。冰点还原工作原理： 冰点的还原是争夺南桥芯片的I0控制权来实现的,当装入正确的驱动后,冰点就可以正确的拿到I0控制器的控制权,就达到了任何关于硬盘的写入都要经过他的控制,这样就可以轻易的达到还原目的,同样,双系统或者GHOST恢复的话,正确装上了冰点的系统才会有还原功能,如果没有装的话,当然就没有啦.所以 GHOST下可以无限制的添加文件,而windows下添加文件就被还原了. 补充一点:冰点是随着windows的启动才启动的, windows启动加载驱动的时候冰点就通过某种方式触发启动了,由于冰点有I0控制器的控制权,所以,他可以把任何写入硬盘的东西放到任何地方,冰点的转储一般是随着windows的临时文件夹的，所以，系统做完以后一定要把windows临时文件夹转移到一个比较空闲的盘里，不然，就会出现丢失文件的情况的（下载大文件后丢失文件就是这样引起的），因为，DF 把所有写入的文件都放在那里面，虽然表面上看你丢在了别处，但是存储位置实际上还是在临时文件夹里，只是windows显示给你的路径给你了误导，它在硬盘上的实际位置应该是在临时文件夹下面。DOS下面不可能操作冰点，就算是使用NTFSDOS修改了它，就可能启动不好了另外，DF设计用于NTFS的时候