无忧启动论坛

标题: 慎用影子系统（转贴）+卸载影子系统经验大家当心！！！ [打印本页]

作者: zyccb 时间: 2007-1-1 11:30
标题: 慎用影子系统（转贴）+卸载影子系统经验大家当心！！！
慎用PowerShadow（影子系统）http://bbs.hzva.org/viewthread.p ... ge=1&sid=3Aesrb

本文仅做技术讨论,本文所产生的后果本人概不负责
在论坛上经常碰到有人使用PowerShadow 也遇到很多的受害者.今天我抽出时间专门就PowerShadow这个软件做简要的说明,以正视听

PowerShadow作为一款还原类的软件,在国内的互联网很火,不少人认为我的系统装了PowerShadow是万事大吉,百毒不侵,互联网中也这么宣传.实际上这种说法是完全错误的.

装了PowerShadow真的是安全了吗?答案显然是否定的

一盗号木马面前PowerShadow束手无策
我们知道互联网中有一种广泛使用的木马叫盗号木马(所有人都该知道的).盗号木马严格意义上说是一次性的木马,为什么呢? 盗号木马以盗走你的特定的帐号密码为目的.一旦植入系统盗走你的帐号和密码后木马完成了使命.你再去清理他,木马清理后损失已经造成了,无法挽回了. 然而你在PowerShadow 的保护下中了此类木马,因为影子是虚拟的系统而不是具有保护功能的防火墙,当你重启系统后,木马消失了同时帐号和密码已经在黑客的手中了. PowerShadow不但没有保护作用反而替黑客做了销毁证据的工作.

二再坚固的保护依旧得敞开
大家经常会安装各式各样的软件,在PowerShadow的保护下安装是无法安装的,我们必须在正常的模式下安装软件,如果这时候安装包中捆绑了木马.你依旧会中木马,再启动PowerShadow的保护,除非你发现了否则这个木马会一直陪伴你.

三先入为主
很多人喜欢在做完系统后装上所有应该装的软件后再装PowerShadow 予以保护以求安全,如果你的应用软件不干净,结果会和第二点一样.

四系统崩溃
PowerShadow 和其他还原类软件一样,依旧存在系统崩溃的问题.有过崩溃经验的PowerShadow用户应该有过开机后发现找不到**文件而不得已全部重装的经历.其实原因很简单 PowerShadow还原出错，就会导致系统无法启动和文件目录丢失,而且PowerShadow改写了分区信息和引导程序数据，很容易造成系统崩溃.

:$五无法彻底卸载
如果通过简单的卸载程序进行卸载是无法卸载PowerShadow的.大家在卸载完PowerShadow以后用sreng软件看一下驱动程序会发现 snpshot.sys依旧在 running(运行)看图用SREng在安全模式下删除或改动这个文件后，系统即崩溃，不能启动也不能进入安全模式.为啥呢?很简单这个文件的启动方式是boot start 你在安全模式下删肯定会出问题的.然而PowerShadow卸载并没有还原修改的主引导.系统崩溃并不奇怪了.
有人问那咋卸载呢.有这么几种方式.
其中能彻底卸载影子的是低格和换硬盘….
低格就是debug,一般硬盘厂商有debug工具下载后按照提示做.但是低格是很伤硬盘的.
除了上述两种办法, 可以尝试用系统安装盘光驱引导后进入安装界面删除所有的分区再建立新的分区然后开始漫长的系统重装……

其次有全盘ghost的用户可以尝试 ghost还原但是根据反馈的效果依旧有部分残留.

对于仅仅格式化系统盘的用户根据反馈的信息看是无法彻底卸载的.

附受害者的帖子(11楼本文的图片就来源于此)
http://bbs.hzva.org/viewthread.p ... ;page=2&fpage=1
本文到此就结束了,希望网友能够在以后的上网过程中注意明辨是非.对于网络上的所谓菜鸟高手以及不切实际的宣传要提高警惕避免被误导.尤其要注意国内就有那么一帮 "菜鸟高手" 在不懂软件原理的情况下看了点英文的简介就开始想当然了,什么不死永久不用杀软 /防火墙的词语就出来了. 直接结果就是导致成千上万的人受害.

————————————————————————————————————————————
因为我比较重视系统的干净，所以安装影子时就用TOTAL UNINSTALL（一下简称TU）做了安装日志。

看到坛里（中天）的朋友说影子不好，我对影子也没有多少的好感，我发现他一运行，硬盘就响得厉害，只是玩玩才装他的，我自己并不需要这么一个累赘系统，我相信自己+KV/Panda/McAfee任何一款软件，一般浏览网页中的病毒不会杀不掉的，再不行我就ghost，怕什么，呵呵。

那位朋友又提到影子不好卸，我想，用TU试试好了。

先运行影子自带的卸载，卸载很快，甚至都不要重启（安装时重启了啊），看来不老实，哼！

用TU，卸载发生一处错误，就是那个驱动sys，我重启。

再次用TU，那个sys被卸载掉了，我打开sreng，没有异常，的确被卸掉了。

但问题是，我再次重启后，开机就提示大概5，6个未知硬件设备需要安装驱动，我点击安装，当然找不到驱动了，哼，死东西，在这里等着呢，我清理了以下注册表（菜鸟没办法，虽然心知这招也不太管用），呵呵，随后看那几个未知设备的属性，都是ROOT_LEGACY_XXX，灵机一动，只要删掉这些注册表相关不就好了。哈哈。

他们的位置因为自己多次卸杀软很清楚——虽然不晓得这个地方的注册表是干什么的，知道的告诉我一声啊，路径是：HKLM_SYSTEM_CONTROLSET001_ENUM_ROOT_XXX
HKLM_SYSTEM_CONTROLSET002_ENUM_ROOT_XXX,HKLM_SYSTEM_CURRENTCONTROLSET_ENUM_ROOT_XXX，这几处基本是重复的内容，似乎一个是一个的备份之类的关系，但总之都删一遍比较好，然后我一一点开属性，找到相应的XXX位置，删？呵呵，没那么容易，你的权限不够，这个倒不是很担心，ICESWORD来，一一删除，但那些XXX的名字，我头比较昏，且有5，6个，记不大清了，大家自己去看吧，不过要小心，别删错了，呵呵。

删掉之后就好了，不弹出发现硬件无法驱动的提示了，那个很烦，这个办法大家看下，有用得着的就好了，我的目的也就达到了，bs一下影子。

但你要是问我原理，呵呵，不懂，偶是菜鸟一只，祝好！

作者: 少年张丰 时间: 2007-1-1 12:35
虽然，我也有用影子系统，网上也有流传这东西伤硬盘，但自己也证实不了。所以也一直不是很放心，现在我终于决定了，不再用它了，我也相信“我相信自己+KV/Panda/McAfee任何一款软件，一般浏览网页中的病毒不会杀不掉的，再不行我就ghost，怕什么，呵呵。”
谢谢你的发帖！！

作者: caiman 时间: 2007-1-1 13:29

原帖由 zyccb 于 2007-1-1 11:30 AM 发表
慎用PowerShadow（影子系统）http://bbs.hzva.org/viewthread.p ... ge=1&sid=3Aesrb

其次有全盘ghost的用户可以尝试 ghost还原但是根据反馈的效果依旧有部分残留.

对于仅仅格式化系统盘的用户根据反馈的信息看是无法彻底卸载的.
...

说得严重了，原文：

除了重装实在没什么好的办法

甚至偶尔会存在单格式化 C盘也无法清理的情况

[ 本帖最后由 caiman 于 2007-1-1 01:33 PM 编辑 ]

作者: 123 时间: 2007-1-1 17:29
我觉得还原类软件最好是运行于系统底层的，对操作系统来说应该是透明的，在操作系统中根本找不到这个软件的影子，而且应该能保证在软件保护下格式化硬盘，重新分区都可以完全恢复。

作者: 123 时间: 2007-1-1 17:33
对于硬件还原（如还原卡）我一般用硬盘保护卡克星卸载，对于软件还原，只要从光盘或U盘启动重建主引导纪录都可以完全卸载（windows里面留的那几个文件已经不起作用了）。

作者: pengjing168 时间: 2007-1-1 20:45
原来我也用它。。。。但自从病毒穿透影子破坏本体后。。我再也不用了。。楼主的贴更坚信我不用它了。

作者: kinglyang 时间: 2007-1-2 15:09
没用过，看到很多介绍，还是算了。做好系统备份，大不了出问题时还原。

作者: lzf19750908 时间: 2007-1-2 18:55
看来用影子系统要三思而后行啊！

作者: hoho1234 时间: 2007-1-5 09:25
提示: 作者被禁止或删除内容自动屏蔽

作者: wyfsh 时间: 2007-1-5 12:09
我觉得PowerShadow（影子系统）不错，楼主所说的问题与使用者本身有很大的关系，并非软件本身存在这么多不足。

作者: jiangfeng321 时间: 2007-1-5 12:58
没有用过

作者: lyl373 时间: 2007-1-5 13:34
这类东西向来不用。

作者: kaixinguo 时间: 2007-1-5 16:50
晕S，楼主所说的版本应该是2.8简体中文版才对。2.6繁体和英文版是可以完全删除的。而且不会有任何残留。

我现在一直用2.6版。至于说楼主所说的几个缺点，完全可以在使用过程中避免！如果说威金可以穿透影子，因为你不是在全盘保护的模式下。在全盘模式下是不可能穿透的。我刚用的时候有试过。重启后一切如旧。

作者: kaixinguo 时间: 2007-1-5 17:01
"一盗号木马面前PowerShadow束手无策"
影子没说能保证你的信息安全。这点可以装个防木马软件就可。防毒软件当然也是必不可少的。

“二再坚固的保护依旧得敞开”
说来说去你还是在正常模式下安装带毒软件引起的，干影子什么事呢？！因为这时候是你不让影子起作用的。

“三先入为主”
晕S，你装的系统有问题，又干影子什么事呢？！

“四系统崩溃”
这点我没有出现过。听说2.8简体版有问题，影子官方因为这个把论坛都关了。2.6版本还是比较经典的。我也一直用2.6。中英文都没问题。2.8改写了引导信息，我不会用它的

“五无法彻底卸载”
这个也是2.8版的问题。

建议大家用影子前先备份系统，要用他的2.6版本，杀毒软件不能少，也别忘了重启到正常模式下更新病毒库，更新后什么也不要做，重启到影子模式就可安全无忧了。如果用网银，防木马软件也少不了。

作者: shuigengchen 时间: 2007-1-5 17:30
要三思而后行

作者: sywpch 时间: 2007-1-5 18:58
学习了。看来这个东东和还原精灵差不多，都有卸载的问题存在

作者: greenangel 时间: 2007-1-5 19:10

原帖由 zyccb 于 2007-1-1 11:30 AM 发表
……
然而PowerShadow卸载并没有还原修改的主引导
……

影子系统并没有修改引导扇区吧！

格式化后不应该会存在影子系统残留吧？！
如果谁知道真的有残留，请告诉我影子系统的运行原理！

作者: kjzxb 时间: 2007-1-6 09:24
我也用过啊，没觉得有什么不对啊，

作者: fengxuepiao 时间: 2007-1-6 12:21
的确这不是好东西
我那个现在也删不掉
真是烦躁

作者: wwyqd 时间: 2007-1-6 17:03
没想到!!

作者: weif 时间: 2007-1-7 00:58

原帖由 pengjing168 于 2007-1-1 08:45 PM 发表
原来我也用它。。。。但自从病毒穿透影子破坏本体后。。我再也不用了。。楼主的贴更坚信我不用它了。

我一直用影子快三个月啦，起初是破解版，再后来是繁体版现在是正式版，我也下载病毒样本来试验过啦，还没有见过能穿透影子破坏系统的病毒。我是在全影模式下测试的，很想知道，毕竟我机子老配置，跑不起杀毒的

作者: linxiaoxin 时间: 2007-1-11 18:06
看过介绍,还好没用它.

作者: qq1200282 时间: 2007-1-12 05:57
2.6繁体版. - - 用了差不多半年
感觉 ... 没LZ说那么差吧..
影子怎么说还是要搭上杀软的

作者: lyl373 时间: 2007-1-12 08:38
任何技术都应该理智看待，不能一杆子打死，也不能捧上天。

作者: 天风 时间: 2007-1-12 08:45

原帖由 zyccb 于 2007-1-1 11:30 AM 发表
他们的位置因为自己多次卸杀软很清楚——虽然不晓得这个地方的注册表是干什么的，知道的告诉我一声啊，路径是：HKLM_SYSTEM_CONTROLSET001_ENUM_ROOT_XXX
HKLM_SYSTEM_CONTROLSET002_ENUM_ROOT_XXX,HKLM_SYSTEM_CURRENTCONTROLSET ...

回楼主:
以上注册表项是程序安装后生成的一个虚拟设备!(磁盘假写设备)
你仅仅删除了驱动文件没有删除注册表当然提示有新硬件了,同理,你如果进入PE或者DOS删除ROOT下以LEG....开头的设备,重新启动,所有硬件都会重新安装一遍,这样你就明白ROOT下是什么作用了!~

同时:如果这文章是你所做,指出几点错误,如果你是转贴那另当别论!
第一,影子不修改引导扇区
第二,影子仅仅起到保护作用,并不能保证你在使用过程中全是只读操作,如果想使用只读操作功能请向本人索取程序,绝对可以达到你的目的
第三,良好的使用习惯才是根本
第四,建议测试这类软件的朋友先做系统备份,另外此类保护软件我有很多,欢迎和我交流!

==================================================
BTW: 16楼的朋友头像有点变态,建议更换!

作者: Robertzao 时间: 2007-5-19 09:52
我真的学习了！各位谢谢！

作者: jasonwang 时间: 2007-5-21 17:05
天风说的很对，再好的枪也得配上会玩的枪的人，安全是一种意识，如果仅靠软件来保护，似乎没有可能吧？

作者: lenovohutao 时间: 2007-5-22 13:41
我自己是做技术的，其实影子系统还有雨过天晴这些软件，我排除他有些地方却是很好，但是我总是觉只要自己用好系统（用GHOST备份）和杀毒软件，不浏览一些不该浏览的网页。问题就不会好大的！！！

作者: zceng_04 时间: 2007-5-22 21:25
学习下，谢谢分享:(

作者: pandorak 时间: 2007-5-22 21:39
提示: 作者被禁止或删除内容自动屏蔽

作者: zyccb 时间: 2007-5-24 10:10
感谢各位关注，我自己也学习了不少知识，尤其是版主的指教！！:)

作者: swans 时间: 2008-1-5 19:48

原帖由 kaixinguo 于 2007-1-5 05:01 PM 发表
"一盗号木马面前PowerShadow束手无策"
影子没说能保证你的信息安全。这点可以装个防木马软件就可。防毒软件当然也是必不可少的。

“二再坚固的保护依旧得敞开”
说来说去你还是在正常模式下安装带毒软件 ...

我很同意你的看法

作者: userinfo 时间: 2008-1-6 15:15
PowerShadow（影子系统）！！！这个偶见过朋友用过但，我觉得一般般所以没用！

作者: userinfo 时间: 2008-1-8 17:01
标题: 回复 #35 659203962 的帖子
我也用这个软件作了一些测试,但效果真的是一般.在单一影子下病毒定能穿透这个所谓的保护网,而在完全影子下,一些变种的还是能穿过的,所以不敢用!

还是那句话,良好的上网习惯才是最有用的对电脑的保护!

作者: kangyi 时间: 2008-1-8 23:33
认真阅读了lz先生的转贴，发现和冰点比较类似，也是优先加载一个自己的驱动，以下引用：

它和硬盘原来的驱动是一种上对下的关系，也就是说所有对硬盘的访问首先得经过它的“过滤”然后再提交给硬盘原来的驱动处理,从而达到还原的目的,这种技术叫“过滤驱动程序”。

所以，和破冰点一样，应该也会有两种办法，一种就是（在pe里操作）注册表里删除他这个驱动，snpshot.sys

另一种方法，以下引用：

打开磁盘设备－寻找栈顶设备－栈顶设备是否还原软件－是就删除此设备－查找冰点驱动文件－查找驱动文件所在扇区－在扇区中填入0

作者: absabl 时间: 2008-1-9 08:28
没用过，看到很多介绍，还是算了。还是备份的方便！

作者: diaoette 时间: 2008-1-10 08:33
用过了，但又删除了。删除后没找到楼主说的那个删不掉的文件

作者: xianren8222 时间: 2008-1-12 20:28
PowerShadow是采用虚拟机的原理，系统资源侵占的利害，而且没有微软的源代码，安全性值得商榷;ShadowUser 用的是服务器的SNAPSHOT技术，不可同日而语。呵呵！

作者: netwinxp 时间: 2008-1-13 13:19
以前的防病毒卡(DOS时期)已经被证明不可行,现在流行的防火墙还需要不断升级才能挡住流行的病毒,影子系统能挡住病毒?值得怀疑!!(事实上已经有病毒能穿透它们了)用影子系统你还不如直接用虚拟机呢:)

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)