影子系統評測Powershadow會克隆本機內硬碟的某個分區或所有分區,並形成一個影子,稱之為“影子模式”。它和主系統有著相同架構和功能,用戶可以在影子模式下做相同的事。影子模式顧名思義,用戶可以任意摧殘系統,而影子卻有著無限復活之身。用戶可以刪改檔案、安裝測試各種軟體(包括流氓軟體、病毒),可以在明顯漏洞出現情況下,實現“裸奔”,最終實現使用系統後不留任何痕跡。
基本介紹
- 中文名:影子系統評測
- 外文名:Shadow system evaluation
軟體原理淺析
安裝Powershadow之後,該軟體有幾項重要操作:註冊一個Windows服務;開機啟動一個shadowtip的進程;修改boot.ini配置檔案實現開機時“正常模式”與“影子模式”的選擇。當你開啟影子模式,PowerShadow會生成一個ShadowService.txt檔案,記錄相關信息。
PowerShadow可以選擇保護不同的分區,有單一影子模式與完全影子模式之分:
危險操作測試
使用PowerShadow的影子模式到底能不能保證系統的金剛不敗之身呢?相信只有實踐才能證明一切:
1、刪改檔案
在啟動單一影子模式後,筆者刪改了C糟系統分區下的許多檔案(包括文檔數據、程式檔案、Windows下的dll檔案、system32下的系統檔案),恢復到正常模式後,發現一切被刪改的檔案恢復如初。
2、安裝風險軟體
為了更一步測試安全性,筆者在單一影子模式下安裝了幾個網上流行的流氓軟體:Yahoo助手、搜狗直通車、CNNIC中文上網工具條。安裝後,面目全非的IE瀏覽器樣子:
再一次回到正常模式下,我的IE瀏覽器簡潔如初:
3、打開病毒檔案
在單一影子模式下,筆者打開了含有大量病毒樣本的病毒包,其中含有危害程度最大的CIH病毒。在防毒軟體沒做任可處理的情況下,筆者卸載了防毒軟體。再重新進行正常模式,結果一切恢復正常狀態,系統毫髮不損。
4、上網“裸奔”
上網裸奔是電腦愛好者的夢想,但是卻往往因為裸奔造成大量的系統傷害,不得不花時間手工處理一些病毒木馬。筆者使用影子系統進行了長達兩天的裸奔試用,結果發現,一旦回到正常狀態,原系統依舊如初。
小評:可見PowerShadow的安全性相當的強。影子模式啟動後,套用層上只有一個功能,就是關閉影子系統。因此任何套用層上的程式都無法針對powershadow實施對於任何受影子模式保護檔案的攻擊。要損害系統的唯一方法只能是啟動正常模式。
