[转]关于"影子系统"的 工作原理,测试,客观分析,以及使用应注意的问题
软件原理浅析
有人可能使用了这个软件之后觉得它有点太过神奇,反而心中有不放心,所以想了解它的工作原理.大部分网友有了解它原理的愿望,却又不具备自己分析的技术知识.对于影子公司来说,在这点上他是被动的——涉及到知识产权和商业秘密他或许不能太多地披露该软件的具体细节,但是面对广大网友的质疑完全保持沉默又让人造成他是心虚的印象.而在这一点上,正好给其他诋毁该软件的枪手和公司造成口实和绝佳攻击点,也正好是利用了绝大部分的网友没有自己分析的技术知识这一点,于是各种各样的奇怪言论都出现了.
从个人使用感受来说,到目前为止,一些人反映的问题比如"蓝屏""cpu占用100%""硬盘响得厉害"等问题,在我的电脑上从来没有出现过.我对技术也是不懂,对于影子的原理和是否会对硬件造成影响不做任何判断,这里仅从网上收集两种意见,大家自己看.
【负面】:
影子系统其实就是还原卡,说白了,就是一个磁盘过滤驱动.在硬盘上划一个区域,然后把你所有的操作全部保存到这个区域里,重启就撤销这种映射关系.
长期,大量,重复地对硬盘特定的区域进行读写操作,将对硬盘产生致命的伤害,最终减损硬盘的寿命.因此,对于网吧机房等数据存储行为较少,数据重要性差的公共用机,这种损伤是可以承受的.但是对于企业办公,家庭娱乐等数据存储频繁,数据安全性要求高的计算机,硬盘的部分损坏将是致命的,事实证明,影子系统是为了减少中国硬盘使用寿命而设计的!
影子系统的作者写程序能力应该是很差的,这跟他们出身还原卡作坊是有关的,从大量的蓝屏现象来看,几乎是驱动开发入门级别的水平.过了1年时间都无法解决Vista兼容的问题,我觉得作者能力真的好差.
【正面】:
硬件系统启动时,在Windows加载之前,建立被保护磁盘的磁盘分配表副本,副本分配表中标记原已分配区域为只读,影子系统PowerShadow重新定向所有来自Windows的磁盘操作到副本分配表,并且只刷新分配表副本.一旦系统重新启动,原分配表和原分配表标记的已分配区域数据毫无变化,以此达到在不增加任何额外的磁盘读写的前提下实现对原磁盘操作系统数据(Windows 系统的有效磁盘数据)的完整保护.在副本分配表基础上运行的操作系统powershadow称之为影子系统.
原理上,影子系统PowerShadow的软件层面相当于bios扩展而不是windows的一部分,如果影子系统PowerShadow本身没有漏洞和bug,硬件没有故障和bug,一旦影子系统PowerShadow的保护功能启动,任何windows程序都无法攻破影子系统PowerShadow的磁盘保护.
==============================
★★★网友对影子系统工作原理测试〖结果是正面的〗★★★
【1】.先确保系统无毒,对C盘做个ghost备份.
【2】.在单一保护模式下,打开影子保护.
【3】.用冰刀(IceSword)等内核工具强行中止影子的所有进程.
【4】. 用冰刀等内核工具强制删除几个操作系统锁定的重要组成文件,假如系统安装在C:\WINDOWS\目录下,可以删除c:\NTDETECT.COM文件, c:\ntldr文件,C:\WINDOWS\system32\drivers\目录下的所有文件,C:\WINDOWS\repair\目录下的所有文件(C:\WINDOWS\repair\目录是不可见目录,保存着注册表信息,在冰刀下可以删除) 另外再删除几个C盘中的大文件.
【5】.核对一下C盘的容量,C盘所有文件占据的容量+C盘空闲空间容量,是否等于C盘硬件分区的总容量,如果小于C盘硬件分区总容量,说明影子系统把被删除的文件隐藏在C盘的其他地方了,破坏失败,不用再往下做了如果,C盘所有文件占据的容量+C盘空闲空间容量=C盘硬件分区总容量,继续往下做.
【6】.这一步很关键,关系到破坏最终能否成功.用bcwipe等硬盘擦除软件擦除C盘的空闲空间,最好擦3遍以上,看擦除软件是否能成功擦除C盘的空闲空间.
【7】.如果成功擦除了C盘的空闲空间,关机重启,看看还能不能正常开机 那些被强制删除的文件还在不在 如果还能正常开机,被删除的文件自动恢复,影子系统确实厉害!为它鼓鼓掌! 如果不能正常开机或有文件不能恢复,请用第1步的ghost备份恢复C盘.为便于测试,把测试方式修改为不对系统具有破坏性,否则把系统文件破坏了,后面的测试不一定能进行得下去,步骤如下:
⑴拷贝几个大的影像文件到C盘,把C盘的空闲空间压缩到500M.

下一页