影子系统原理及相关问题求证.docVIP

影子系统原理及相关问题求证 我开始接触影子系统的时间是今年3月份，起由是系统中了木马，上网寻找相关防范软件时偶然接触。从我个人使用影子系统的感受来说是：觉得这是一个好软件。最近一段时间注意到百度的影子系统吧当中出现了大量内容重复、标题耸人听闻的刷屏帖，都是说影子系统如何的烂以及如何影响系统本身以及电脑硬件的。这里发的也都是一些从网上收集而来的关于影子系统的信息，包括官方的介绍，一些网友和自己的使用感受、问题等等。为了更加客观起见，我会尽量把正面和负面的感受都贴出来，广大网友可以擦亮眼睛，自己进行甄别。 ★★★软件原理浅析★★★ 大部分网友有了解它原理的愿望，却又不具备自己分析的技术知识。对于影子公司来说，在这点上他是被动的——涉及到知识产权和商业秘密他或许不能太多地披露该软件的具体细节，但是面对广大网友的质疑完全保持沉默又让人造成他是心虚的印象。从个人使用感受来说，到目前为止，一些人反映的问题比如“蓝屏”“cpu占用100％”“硬盘响得厉害”等问题，在我的电脑上从来没有出现过。我对技术也是不懂，对于影子的原理和是否会对硬件造成影响不做任何判断，这里仅从网上收集两种意见，大家自己看。 【负面】 影子系统其实就是还原卡，说白了，就是一个磁盘过滤驱动。在硬盘上划一个区域，然后把你所有的操作全部保存到这个区域里，重启就撤销这种映射关系。 长期、大量、重复地对硬盘特定的区域进行读写操作，将对硬盘产生致命的伤害，最终减损硬盘的寿命。因此，对于网吧机房等数据存储行为较少，数据重要性差的公共用机，这种损伤是可以承受的。但是对于企业办公，家庭娱乐等数据存储频繁，数据安全性要求高的计算机，硬盘的部分损坏将是致命的，事实证明，影子系统是为了减少中国硬盘使用寿命而设计的！ 【正面】 硬件系统启动时，在Windows加载之前，建立被保护磁盘的磁盘分配表副本，副本分配表中标记原已分配区域为只读，影子系统PowerShadow重新定向所有来自Windows的磁盘操作到副本分配表，并且只刷新分配表副本。一旦系统重新启动，原分配表和原分配表标记的已分配区域数据毫无变化，以此达到在不增加任何额外的磁盘读写的前提下实现对原磁盘操作系统数据（Windows?系统的有效磁盘数据）的完整保护。在副本分配表基础上运行的操作系统PowerShadow称之为影子系统。 原理上，影子系统PowerShadow的软件层面相当于bios扩展而不是windows的一部分，如果影子系统PowerShadow本身没有漏洞和bug，硬件没有故障和bug，一旦影子系统PowerShadow的保护功能启动，任何windows程序都无法攻破影子系统PowerShadow的磁盘保护。 ●网友对影子系统工作原理测试〖结果是正面的〗 【1】先确保系统无毒，对C盘做个ghost备份。 【2】在单一保护模式下，打开影子保护。 【3】用冰刀（IceSword）等内核工具强行中止影子的所有进程。 【4】用冰刀等内核工具强制删除几个操作系统锁定的重要组成文件，假如系统安装在C:\WINDOWS\目录下，可以删除c:\NTDETECT.COM文件，c:\ntldr文件，C:\WINDOWS\system32\drivers\目录下的所有文件，C:\WINDOWS\repair\目录下的所有文件（C:\WINDOWS\repair\目录是不可见目录，保存着注册表信息，在冰刀下可以删除）。另外再删除几个C盘中的大文件。 【5】核对一下C盘的容量，C盘所有文件占据的容量+C盘空闲空间容量，是否等于C盘硬件分区的总容量，如果小于C盘硬件分区总容量，说明影子系统把被删除的文件隐藏在C盘的其他地方了，破坏失败，不用再往下做了如果，C盘所有文件占据的容量+C盘空闲空间容量=C盘硬件分区总容量，继续往下做。 【6】这一步很关键，关系到破坏最终能否成功。用bcwipe等硬盘擦除软件擦除C盘的空闲空间，最好擦3遍以上，看擦除软件是否能成功擦除C盘的空闲空间。 【7】如果成功擦除了C盘的空闲空间，关机重启，看看还能不能正常开机？那些被强制删除的文件还在不在？如果还能正常开机，被删除的文件自动恢复，影子系统确实厉害！为它鼓鼓掌！?如果不能正常开机或有文件不能恢复，请用第1步的ghost备份恢复C盘。 为便于测试，把测试方式修改为不对系统具有破坏性，否则把系统文件破坏了，后面的测试不一定能进行得下去，步骤如下： ⑴拷贝几个大的影像文件到C盘，把C盘的空闲空间压缩到500M。 ⑵安装影子，重启时选择进入单一保护模式。 ⑶中止ShadowService.exe和ShadowTip.exe进程。 ⑷删除C盘原有的一个影像文件（700M），C盘显示空闲空间约为1200M。 ⑸用bcwipe擦除C盘空闲空间，失败！bcwipe显示写硬盘出错，这是