PowerShadow影子系統原理淺析及深入評測

來源:互聯網
上載者:User

編者按

上周,軟體資訊發布了關於PowerShadow Master的介紹型文章“PowerShadow Master:免費的Ghost?”,廣大網友的給予了高度關注並提出了許多疑問。為了更全面地瞭解PowerShadow Master,筆者為讀者“赴湯蹈火”,利用PowerShadow Master(下簡稱PowerShadow)進行了一些高危險性操作,從而測試其關鍵功能的安全性,並進行深入評析。希望筆者的意見能給大家帶來參考價值。

軟體原理淺析

Powershadow會複製本機內硬碟的某個分區或所有分區,並形成一個影子,稱之為“影子模式”。它和主系統有著相同架構和功能,使用者可以在影子模式下做相同的事。影子模式顧名思義,使用者可以任意摧殘系統,而影子卻有著無限複活之身。使用者可以刪改檔案、安裝測試各種軟體(包括流氓軟體、病毒),可以在明顯漏洞出現情況下,實現“裸奔”,最終實現使用系統後不留任何痕迹。

軟體名稱: PowerShadow Master
軟體版本: 2.6.0511
軟體大小: 3.18MB
軟體授權: 免費
適用平台: Windows XP/2000/2003

安裝PowerShadow之後,該軟體有幾項重要操作:註冊一個Windows服務;開機啟動一個shadowtip的進程;修改boot.ini設定檔實現開機時“正常模式”與“影子模式”的選擇。當你開啟影子模式,PowerShadow會產生一個ShadowService.txt檔案,記錄相關資訊。

PowerShadow可以選擇保護不同的分區,有單一影子模式與完全影子模式之分:

圖一 PowerShadow的兩種影子模式

危險操作測試

使用PowerShadow的影子模式到底能不能保證系統的金剛不敗之身呢?相信只有實踐才能證明一切:

1、刪改檔案

在啟動單一影子模式後,筆者刪改了C盤系統磁碟分割下的許多檔案(包括文檔資料、程式檔案、Windows下的dll檔案、system32下的系統檔案),恢複到正常模式後,發現一切被刪改的檔案恢複如初。

2、安裝風險軟體

為了更一步測試安全性,筆者在單一影子模式下安裝了幾個網上流行的流氓軟體:Yahoo助手、搜狗直通車、CNNIC中文上網工具條。安裝後,面目全非的IE瀏覽器樣子如圖二:

圖二 安裝了流氓軟體後的Internet Explorer

再一次回到正常模式下,我的IE瀏覽器簡潔如初:

圖三 回到正常模式後的Internet Explorer

3、開啟病毒檔案

在單一影子模式下,筆者開啟了含有大量病毒樣本的病毒包,其中含有危害程度最大的CIH病毒。在殺毒軟體沒做任可處理的情況下,筆者卸載了殺毒軟體。再重新進行正常模式,結果一切恢複正常狀態,系統毫髮不損。

圖四 在影子模式下,開啟了大量的病毒檔案(包括CIH病毒)

4、上網“裸奔”

上網裸奔是電腦愛好者的夢想,但是卻往往因為裸奔造成大量的系統傷害,不得不花時間手工處理一些病毒木馬。筆者使用影子系統進行了長達兩天的裸奔試用,結果發現,一旦回到正常狀態,原系統依舊如初。

最後,筆者將種種在影子系統下進行的危險行為匯總於下表:

操作內容 危害程度 危險後果 是否成功保護
刪改檔案 重要檔案丟失、程式無法運行、作業系統無法啟動。
完裝風險軟體 IE瀏覽器劫持、出現廣告、無法卸載、影響正常使用、浪費系統資源。
開啟病毒檔案 系統崩潰、檔案丟失、系統緩慢等一系列無法預測的危害。
上網“裸奔” 個人隱私不安全、被流氓軟體入侵、感染病毒、駭客入侵、無法預測的攻擊。

小評:可見PowerShadow的安全性相當的強。影子模式啟動後,應用程式層上只有一個功能,就是關閉影子系統。因此任何應用程式層上的程式都無法針對powershadow實施對於任何受影子模式保護檔案的攻擊。要損害系統的唯一方法只能是啟動正常模式。

資源佔用問題

實現如此周全的安全保護,PowerShadow對系統的要求並不高,佔用的資源也很少:

圖五 單一影子模式下的進程分析

整個軟體安裝下來,將臨時檔案算上也只有12MB左右,比起GHOST等產生上G的分區鏡像來說真是小巧極了。更多資料資訊,筆者列出下表:

安裝檔案大小 3.70MB
安裝後檔案大小 12MB左右
正常模式下 佔用進程數 1
佔用記憶體量 420KB
影子模式下 佔用進程數 1
佔用記憶體量 5-8MB

關於版本與免費的問題

PowerShadow當下只有繁體版本與英文版本,據官網介紹,簡體版本近期將會推出。不過網上流傳有漢化版本,這給使用者帶來了方便。最近PowerShadow流行甚熱的重要原因就是其對中國使用者免費的策略。你只需要按下面的資訊註冊即可免費長期使用,這對於像筆者這樣的“破解一族”確實是個福音:

使用者名稱:PowerShadow

序號:VVR29E-R4WCK2-K4T111-V1YHTP-4JYJDD

與GHOST、虛擬機器、還原精靈等軟體的區別

與GHOST、虛擬機器、還原精靈等軟體一樣,PowerShadow都是為了使系統長用如新,避免造成重裝系統與安裝軟體的麻煩。對於一般的家用使用者,和入門級使用者來說,PowerShadow有很大的優勢:

GHOST的運行檔案比較小,但是需要產生鏡像檔案,而且鏡像檔案GHO的檔案動不動就幾G。還原的時候比較麻煩,需要大面積重寫硬碟,覆蓋檔案。

虛擬機器也是可以創造一個很好的虛擬環境,但與PowerShadow不一樣的地方虛擬機器要佔用大量硬碟空間與系統資源。

還原精靈,安裝設定需要一定的電腦水平。有的需要新增硬體,有的需要設定硬碟扇區用於還原精靈使用,這都給安裝帶來了麻煩。

總評

PowerShadow相當適合初學者使用。筆者就打算給父母的電腦安裝一個PowerShadow,省去經常回家修複的麻煩。也適合筆者這樣的新軟愛好者使用,可以試用各種各樣新型的軟體,免得給真系統增加垃圾資訊。更適合那些專業測試人員,冒著重要風險研究病毒等風險軟體。

不過PowerShadow卻有一些不盡人意的地方。進入影子系統後,任何東西都不能儲存。而且影子和正常系統之間需要重啟才能切換,不能任意切換比較麻煩。最重要的是影子系統不能延續,重啟後剛才使用的資料與設定都不複存在,又將是一個新的“影子”。

所以說軟體也是具有兩面性,關鍵是其功能與使用者的需求是否對應,這才是關鍵。如果你覺得適合自己,那就趕快下載安裝吧。

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。