软件原理浅析太原理工大学,太原理工大学论坛0 i, g- F/ S- {; p5 _
Powershadow会克隆本机内硬盘的某个分区或所有分区,并形成一个影子,称之为“影子模式”。它和主系统有着相同架构和功能,用户可以在影子模式下做相同的事。影子模式顾名思义,用户可以任意摧残系统,而影子却有着无限复活之身。用户可以删改文件、安装测试各种软件(包括流氓软件、病毒),可以在明显漏洞出现情况下,实现“裸奔”,最终实现使用系统后不留任何痕迹。
太原理工大学,太原理工大学论坛" d4 h, x' U$ j7 o9 c5 s
, ?7 V' J0 t7 W% k 安装PowerShadow之后,该软件有几项重要操作:注册一个Windows服务;开机启动一个shadowtip的进程;修改boot.ini配置文件实现开机时“正常模式”与“影子模式”的选择。当你开启影子模式,PowerShadow会生成一个ShadowService.txt文件,记录相关信息。
- p; c5 [" r! e8 `2 H6 b. X太原理工大学论坛[龙城水秀] PowerShadow可以选择保护不同的分区,有单一影子模式与完全影子模式之分:
5 N7 M, y! R# g7 m' X5 c3 D 
/ Q# H K, u& n$ [1 S清泽论坛-太原理工大学网络家园图一 PowerShadow的两种影子模式
危险操作测试
使用PowerShadow的影子模式到底能不能保证系统的金刚不败之身呢?相信只有实践才能证明一切:
1、删改文件
在启动单一影子模式后,笔者删改了C盘系统分区下的许多文件(包括文档数据、程序文件、Windows下的dll文件、system32下的系统文件),恢复到正常模式后,发现一切被删改的文件恢复如初。
2、安装风险软件
为了更一步测试安全性,笔者在单一影子模式下安装了几个网上流行的流氓软件:Yahoo助手、搜狗直通车、CNNIC中文上网工具条。安装后,面目全非的IE浏览器样子如图二:
www.tyutbbs.com5 X8 a$ l& M6 D4 }6 \; R$ V* L
图二 安装了流氓软件后的Internet Explorer
再一次回到正常模式下,我的IE浏览器简洁如初:
' P' g. a6 [, q7 C) Q太原理工大学,太原理工大学论坛 
1 N7 o5 P8 j/ j1 X d6 {1 O太原理工大学,太原理工大学论坛图三 回到正常模式后的Internet Explorer
3、打开病毒文件
# K; p8 i) b6 S5 r- P% Q太原理工大学论坛[龙城水秀] 在单一影子模式下,笔者打开了含有大量病毒样本的病毒包,其中含有危害程度最大的CIH病毒。在杀毒软件没做任可处理的情况下,笔者卸载了杀毒软件。再重新进行正常模式,结果一切恢复正常状态,系统毫发不损。
太原理工大学论坛[龙城水秀]4 V6 N. s( ]- o7 W y! ]
太原理工大学|太原理工大学论坛|太原理工大学BBS. x* {3 z* J8 o6 e: `. w
图四 在影子模式下,打开了大量的病毒文件(包括CIH病毒)
4、上网“裸奔”
# f+ r' D3 ~. z/ v& C0 R 上网裸奔是电脑爱好者的梦想,但是却往往因为裸奔造成大量的系统伤害,不得不花时间手工处理一些病毒木马。笔者使用影子系统进行了长达两天的裸奔试用,结果发现,一旦回到正常状态,原系统依旧如初。
0 `5 \; R/ |$ O# U% c0 T# n4 k5 a# ?
最后,笔者将种种在影子系统下进行的危险行为汇总于下表:
+ P2 D f, `+ c) d# ywww.tyutbbs.com| 操作内容 | 危害程度 | 危险后果 | 是否成功保护 |
| 删改文件 | 高 | 重要文件丢失、程序无法运行、操作系统无法启动。 | 是 |
| 完装风险软件 | 中 | IE浏览器劫持、出现广告、无法卸载、影响正常使用、浪费系统资源。 | 是 |
| 打开病毒文件 | 高 | 系统崩溃、文件丢失、系统缓慢等一系列无法预测的危害。 | 是 |
| 上网“裸奔” | 高 | 个人隐私不安全、被流氓软件入侵、感染病毒、黑客入侵、无法预测的攻击。 | 是 |
小评:可见PowerShadow的安全性相当的强。影子模式启动后,应用层上只有一个功能,就是关闭影子系统。因此任何应用层上的程序都无法针对powershadow实施对于任何受影子模式保护文件的攻击。要损害系统的唯一方法只能是启动正常模式。
2 @4 T F5 O/ J6 Y6 w2 x太原理工大学,太原理工大学论坛 清泽论坛-太原理工大学网络家园* h: _7 m0 K2 Z9 Y) v/ A6 D
资源占用问题; I5 ^4 x4 J0 M. R, i
实现如此周全的安全保护,PowerShadow对系统的要求并不高,占用的资源也很少:www.tyutbbs.com0 E" X6 O! ~! \2 M, ~ Q
, m! h0 N( b- L. mwww.tyutbbs.com图五 单一影子模式下的进程分析 整个软件安装下来,将临时文件算上也只有12MB左右,比起GHOST等生成上G的分区镜像来说真是小巧极了。更多数据信息,笔者列出下表:
! n, Q) |% i5 S- o/ H- @清泽论坛-太原理工大学网络家园| 安装文件大小 | 3.70MB | | 安装后文件大小 | 12MB左右 | | 正常模式下 | 占用进程数 | 1 | | 占用内存量 | 420KB | | 影子模式下 | 占用进程数 | 1 | | 占用内存量 | 5-8MB |
关于版本与免费的问题
5 O3 L/ R# y7 S" d5 N& A" h清泽论坛-太原理工大学网络家园 PowerShadow当下只有繁体版本与英文版本,据官网介绍,简体版本近期将会推出。不过网上流传有汉化版本,这给用户带来了方便。最近PowerShadow流行甚热的重要原因就是其对中国用户免费的策略。你只需要按下面的信息注册即可免费长期使用,这对于像笔者这样的“破解一族”确实是个福音:
+ _# e* \- S2 s8 v! Mwww.tyutbbs.com 用户名:PowerShadow 太原理工大学,太原理工大学论坛: Z0 O8 o. h8 M0 H( B; }$ k2 S
序列号:VVR29E-R4WCK2-K4T111-V1YHTP-4JYJDD
" b8 O# b. z" H9 S- b清泽论坛-太原理工大学网络家园与GHOST、虚拟机、还原精灵等软件的区别
9 }- K. @, z0 E+ A; \太原理工大学|太原理工大学论坛|太原理工大学BBS 与GHOST、虚拟机、还原精灵等软件一样,PowerShadow都是为了使系统长用如新,避免造成重装系统与安装软件的麻烦。对于一般的家用用户,和入门级用户来说,PowerShadow有很大的优势:太原理工大学论坛[龙城水秀]# C* z8 W1 G6 b" A4 _/ G$ D
GHOST的运行文件比较小,但是需要生成镜像文件,而且镜像文件GHO的文件动不动就几G。还原的时候比较麻烦,需要大面积重写硬盘,覆盖文件。
; P7 m, \, t' h- o; [www.tyutbbs.com 虚拟机也是可以创造一个很好的虚拟环境,但与PowerShadow不一样的地方虚拟机要占用大量硬盘空间与系统资源。
3 Q5 C( [% d t清泽论坛-太原理工大学网络家园 还原精灵,安装设置需要一定的电脑水平。有的需要新增硬件,有的需要设定硬盘扇区用于还原精灵使用,这都给安装带来了麻烦。$ T# \ V/ `5 n# y4 h) L9 m4 E; I
总评
# ?! I+ W/ u& e! _- X% ~3 pwww.tyutbbs.com PowerShadow相当适合初学者使用。笔者就打算给父母的电脑安装一个PowerShadow,省去经常回家修复的麻烦。也适合笔者这样的新软爱好者使用,可以试用各种各样新型的软件,免得给真系统增加垃圾信息。更适合那些专业测试人员,冒着重要风险研究病毒等风险软件。 不过PowerShadow却有一些不尽人意的地方。进入影子系统后,任何东西都不能保存。而且影子和正常系统之间需要重启才能切换,不能任意切换比较麻烦。最重要的是影子系统不能延续,重启后刚才使用的数据与设置都不复存在,又将是一个新的“影子”。 所以说软件也是具有两面性,关键是其功能与用户的需求是否对应,这才是关键。如果你觉得适合自己,那就赶快下载安装吧。 |
