奇蹟30G硬盤能當60G的用。請教關於影子系統原理的問題,困擾了我好久了。
我家電腦比較落後硬盤總共才30G,分爲C:10G ,D:20G。我現在C盤的空間只剩下800MB空間,D盤只剩
300MB的空間,在影子系統的保護下,我把D盤格式化了,又給裏邊放了別的程序總共18G,在我從新啓動
電腦以後原來受保護的程序又恢復了過來,影子系統不象別的備份還原軟件不需要從別的空間提取就能恢
復,那他克隆的軟件的放在哪個空間?內存裏嗎?我的空間根本不夠啊?現在用影子系統相當於我的硬盤
可以儲存59G的文件(拋去必須的系統文件),但這不和邏輯啊。。。物理內存根本不可能這樣子做到啊?
說的簡單點就是30G受保護的程序刪除了以後你在放上30G別的程序,只要你不從新啓動,這個機子就相當
於儲存了60G的程序。。。可物理內存總共才30G。。。
影子系統原理分析,轉載
軟件原理淺析
有 人可能使用了這個軟件之後覺得它有點太過神奇,反而心中有不放心,所以想了解它的工作原理。大部分網友有了解它原理的願望,卻又不具備自己分析的技術知 識。對於影子公司來說,在這點上他是被動的——涉及到知識產權和商業祕密他或許不能太多地披露該軟件的具體細節,但是面對廣大網友的質疑完全保持沉默又讓 人造成他是心虛的印象。而在這一點上,正好給其他詆譭該軟件的槍手和公司造成口實和絕佳攻擊點,也正好是利用了絕大部分的網友沒有自己分析的技術知識這一 點,於是各種各樣的奇怪言論都出現了。
從個人使用感受來說,到目前爲止,一些人反映的問題比如“藍屏”“cpu佔用100%”“硬盤響得厲害”等問題,在我的電腦上從來沒有出現過。我對技術也是不懂,對於影子的原理和是否會對硬件造成影響不做任何判斷,這裏僅從網上收集兩種意見,大家自己看。
【負面】:
影子系統其實就是還原卡,說白了,就是一個磁盤過濾驅動。在硬盤上劃一個區域,然後把你所有的操作全部保存到這個區域裏,重啓就撤銷這種映射關係。
長 期、大量、重複地對硬盤特定的區域進行讀寫操作,將對硬盤產生致命的傷害,最終減損硬盤的壽命。因此,對於網吧機房等數據存儲行爲較少,數據重要性差的公 共用機,這種損傷是可以承受的。但是對於企業辦公,家庭娛樂等數據存儲頻繁,數據安全性要求高的計算機,硬盤的部分損壞將是致命的,事實證明,影子系統是 爲了減少中國硬盤使用壽命而設計的!
影子系統的作者寫程序能力應該是很差的,這跟他們出身還原卡作坊是有關的,從大量的藍屏現象來看,幾乎是驅動開發入門級別的水平。過了1年時間都無法解決Vista兼容的問題,我覺得作者能力真的好差。
【正面】:
硬 件系統啓動時,在Windows加載之前,建立被保護磁盤的磁盤分配表副本,副本分配表中標記原已分配區域爲只讀,影子系統PowerShadow重新定 向所有來自Windows的磁盤操作到副本分配表,並且只刷新分配表副本。一旦系統重新啓動,原分配表和原分配表標記的已分配區域數據毫無變化,以此達到 在不增加任何額外的磁盤讀寫的前提下實現對原磁盤操作系統數據(Windows 系統的有效磁盤數據)的完整保護。在副本分配表基礎上運行的操作系統powershadow稱之爲影子系統。
原理上,影子系統 PowerShadow的軟件層面相當於bios擴展而不是windows的一部分,如果影子系統PowerShadow本身沒有漏洞和bug,硬件沒有 故障和bug,一旦影子系統PowerShadow的保護功能啓動,任何windows程序都無法攻破影子系統PowerShadow的磁盤保護。
==============================
★★★網友對影子系統工作原理測試〖結果是正面的〗★★★
【1】.先確保系統無毒,對C盤做個ghost備份。
【2】.在單一保護模式下,打開影子保護。
【3】.用冰刀(IceSword)等內核工具強行中止影子的所有進程。
【4】. 用冰刀等內核工具強制刪除幾個操作系統鎖定的重要組成文件,假如系統安裝在C:/WINDOWS/目錄下,可以刪除c:/NTDETECT.COM文件, c:/ntldr文件,C:/WINDOWS/system32/drivers/目錄下的所有文件,C:/WINDOWS/repair/目錄下的所有 文件(C:/WINDOWS/repair/目錄是不可見目錄,保存着註冊表信息,在冰刀下可以刪除)另外再刪除幾個C盤中的大文件。
【5】. 覈對一下C盤的容量,C盤所有文件佔據的容量+C盤空閒空間容量,是否等於C盤硬件分區的總容量,如果小於C盤硬件分區總容量,說明影子系統把被刪除的文 件隱藏在C盤的其他地方了,破壞失敗,不用再往下做了如果,C盤所有文件佔據的容量+C盤空閒空間容量=C盤硬件分區總容量,繼續往下做。
【6】.這一步很關鍵,關係到破壞最終能否成功。用bcwipe等硬盤擦除軟件擦除C盤的空閒空間,最好擦3遍以上,看擦除軟件是否能成功擦除C盤的空閒空間。
【7】. 如果成功擦除了C盤的空閒空間,關機重啓,看看還能不能正常開機?那些被強制刪除的文件還在不在?如果還能正常開機,被刪除的文件自動恢復,影子系統確實 厲害!爲它鼓鼓掌!如果不能正常開機或有文件不能恢復,請用第1步的ghost備份恢復C盤。爲便於測試,把測試方式修改爲不對系統具有破壞性,否則把系 統文件破壞了,後面的測試不一定能進行得下去,步驟如下:
⑴拷貝幾個大的影像文件到C盤,把C盤的空閒空間壓縮到500M。
⑵安裝影子,重啓時選擇進入單一保護模式。
⑶中止ShadowService.exe和ShadowTip.exe進程。
⑷刪除C盤原有的一個影像文件(700M),C盤顯示空閒空間約爲1200M。
⑸用bcwipe擦除C盤空閒空間,失敗!bcwipe顯示寫硬盤出錯,這是從未發生過的事情。
⑹另外拷貝一個光盤鏡像文件(400M)到C盤,可以正常導入虛擬光驅運行,C盤顯示空閒空間約800M。
⑺繼續拷貝一個新影像文件(300M)到C盤。問題出現了,系統頻繁彈出如附圖的對話框,提示windows 延緩寫入失敗,這種情況一般只有在硬盤空間不夠時纔出現,但此時即使算上新影像文件(300M),C盤應有500M左右的空閒空間。
【8】.不理會頻繁彈出的“延緩寫入失敗”對話框,後來甚至出現C盤的主文件表$MFT延緩寫入失敗,都不管,持續拷貝了將近10分鐘,新影像文件(300M)居然拷貝到C盤,“延緩寫入失敗”對話框消失後,可以用播放器正常播放這個影像文件。
分析1:
如 果影子系統把被刪除的原來的影像文件(700M)保存在C盤空閒空間的隱藏部分,那麼C盤實際可用的空閒空間只有500M,剛纔拷貝新影像文件 (300M)到C盤時,頻繁彈出對話框似乎證明了這點,但是後來拷貝到C盤的兩個文件加起來已經超過500M,爲什麼還能正常使用?
【9】.調出工具查看內存,發現512M物理內存只有20M可用,幾個工具都不能顯示失蹤的幾百M內存被哪個進程使用了。
【10】.刪除拷貝到C盤的新影像文件(300M),失蹤的內存回來了,可用物理內存上漲到300多M。
分析2:
先 拷貝到C盤的光盤鏡像文件因爲沒有超過C盤實際可用的空閒空間,保存在硬盤上,此時雖然顯示C盤空閒空間有800M,但實際可用的空閒空間只有100M, 後拷貝到C盤的新影像文件(300M)超過了C盤實際可用的空閒空間,被保存在內存中,刪掉新影像文件(300M)後,“失蹤”的內存就回來了。
【11】.用工具查看system進程,發現system進程加載了一個c:/windows/system32/driver/SnpShot.sys,這個文件是影子系統的組成文件,只有28K,system進程將此文件加載到內存中。
【12】. 再拷貝一個超過512M物理內存的新影像文件2(700M)到C盤,此時C盤顯示空閒空間有約800M,理論上應該能拷貝,實際上拷貝失敗,這一次仍然頻 繁彈出“延緩寫入失敗”對話框,但持續近2個小時都無法拷貝完成(能拷貝完成纔怪呢,內存只有512M,700M往哪放?),並且系統假死,因爲可用內存 被耗盡,只能reset重啓。
【13】.重啓時仍然進入單一保護模式,C盤原來的文件都在,後拷貝過去的文件都不在,爲影子鼓鼓掌!
分析3:
影子啓動單一保護模式後,C盤原有文件在硬盤上都不能動,即使刪除也只是顯示爲刪除,實際上這部分刪除後多出來的空間是無法動用的,對後來寫入的文件,如果能動用的硬盤空間夠用就寫在硬盤裏,否則就寫在內存裏,如果內存也不夠用則系統假死,重啓後恢復原狀
結論:
⑴ 影子的核心進程不是ShadowService.exe和ShadowTip.exe,這兩個是擺擺噱頭的,影子真正的進程是system,這是系統核心 進程,無法中止,即使不開啓影子保護模式,system進程仍然加載SnpShot.sys,一旦加載即駐留內存,即使刪除SnpShot.sys也沒 用。
⑵影子需要Windows系統支持,在DOS下影子是可以被幹掉的,比如用軟盤、光盤、U盤啓動DOS,但這幾乎不可能在遠程操作,不知道有沒有DOS上網軟件?
⑶影子啓動保護後,如果能讓system進程把SnpShot.sys從內存中卸下,則影子會被幹掉,這可能是以後病毒的主攻方向。
⑷影子沒有改寫硬盤MBR,這一點大家可以放心。