关于影子系统2008的安全性

关于影子系统2008的安全性我们先来看一下影子系统2008的介绍：
更新时间：2008年04月11日 　　　使用平台：Windows2000/XP/2003
更新说明：

1. 增强病毒防护功能（最新）
2. 改进对部分操作系统的支持（最新）
3. 改进上一版本的兼容问题（最新）
4. 增加对新双核和四核cpu的支持和优化；
5. 增加正常/单一影子模式密码保护功能，防止未授权用户对系统/数据进行篡改


        大家看第一点：1. 增强病毒防护功能（最新）........知道什么意思么？也就是说到目前为止，影子系统还是可以被攻破的，所以他要更新，以达到完全的保护。
        我们来做个测试，看看影子系统的工作原理：
        我们知道，影子系统号称是BOIS级别的还原能力   但是系统到底怎么样 是不是真的像传说中的那样厉害 百毒不侵！现在我们来看一个测试~~
1 PowerShadow的工作原理测试报告【转】
1.先确保系统无毒，对C盘做个ghost备份
2.在单一保护模式下，打开影子保护
3.用冰刀（IceSword）等内核工具强行中止影子的所有进程
4. 用冰刀等内核工具强制删除几个操作系统锁定的重要组成文件，假如系统安装在C:\WINDOWS\目录下，可以删除c:\NTDETECT.COM文件， c:\ntldr文件，C:\WINDOWS\system32\drivers\目录下的所有文件，C:\WINDOWS\repair\目录下的所有文件（C:\WINDOWS\repair\目录是不可见目录，保存着注册表信息，在冰刀下可以删除）
另外再删除几个C盘中的大文件
5.核对一下C盘的容量，C盘所有文件占据的容量+C盘空闲空间容量，是否等于C盘硬件分区的总容量，如果小于C盘硬件分区总容量，说明影子系统把被删除的文件隐藏在C盘的其他地方了，破坏失败，不用再往下做了
如果，C盘所有文件占据的容量+C盘空闲空间容量=C盘硬件分区总容量，继续往下做
6.这一步很关键，关系到破坏最终能否成功
用bcwipe等硬盘擦除软件擦除C盘的空闲空间，最好擦3遍以上，看擦除软件是否能成功擦除C盘的空闲空间
7.如果成功擦除了C盘的空闲空间，关机重启，看看还能不能正常开机？那些被强制删除的文件还在不在？
如果还能正常开机，被删除的文件自动恢复，影子系统确实厉害！为它鼓鼓掌！
如果不能正常开机或有文件不能恢复，请用第1步的ghost备份恢复C盘
为便于测试，把测试方式修改为不对系统具有破坏性，否则把系统文件破坏了，后面的测试不一定能进行得下去，步骤如下：
1.拷贝几个大的影像文件到C盘，把C盘的空闲空间压缩到500M
2.安装影子，重启时选择进入单一保护模式
3.中止ShadowService.exe和ShadowTip.exe进程
4.删除C盘原有的一个影像文件（700M），C盘显示空闲空间约为1200M
5.用bcwipe擦除C盘空闲空间，失败！bcwipe显示写硬盘出错，这是从未发生过的事情
6.另外拷贝一个光盘镜像文件（400M）到C盘，可以正常导入虚拟光驱运行，C盘显示空闲空间约800M
7.继续拷贝一个新影像文件（300M）到C盘
问题出现了，系统频繁弹出如附图的对话框，提示windows 延缓写入失败，这种情况一般只有在硬盘空间不够时才出现，但此时即使算上新影像文件（300M），C盘应有500M左右的空闲空间
8.不理会频繁弹出的“延缓写入失败”对话框，后来甚至出现C盘的主文件表$MFT延缓写入失败，都不管，持续拷贝了将近10分钟，新影像文件（300M）居然拷贝到C盘，“延缓写入失败”对话框消失后，可以用播放器正常播放这个影像文件
分析1：
如果影子系统把被删除的原来的影像文件（700M）保存在C盘空闲空间的隐藏部分，那么C盘实际可用的空闲空间只有500M，刚才拷贝新影像文件（300M）到C盘时，频繁弹出对话框似乎证明了这点，但是后来拷贝到C盘的两个文件加起来已经超过500M，为什么还能正常使用？
9.调出工具查看内存，发现512M物理内存只有20M可用，几个工具都不能显示失踪的几百M内存被哪个进程使用了
10.删除拷贝到C盘的新影像文件（300M），失踪的内存回来了，可用物理内存上涨到300多M

分析2：
先拷贝到C盘的光盘镜像文件因为没有超过C盘实际可用的空闲空间，保存在硬盘上，此时虽然显示C盘空闲空间有800M，但实际可用的空闲空间只有100M，后拷贝到C盘的新影像文件（300M）超过了C盘实际可用的空闲空间，被保存在内存中，删掉新影像文件（300M）后，“失踪”的内存就回来了
11.用工具查看system进程，发现system进程加载了一个c:\windows\system32\driver\SnpShot.sys，这个文件是影子系统的组成文件，只有28K，system进程将此文件加载到内存中
12.再拷贝一个超过512M物理内存的新影像文件2（700M）到C盘，此时C盘显示空闲空间有约800M，理论上应该能拷贝，实际上拷贝失败，这一次仍然频繁弹出“延缓写入失败”对话框，但持续近2个小时都无法拷贝完成（能拷贝完成才怪呢，内存只有512M，700M往哪放？），并且系统假死，因为可用内存被耗尽，只能reset重启
13.重启时仍然进入单一保护模式，C盘原来的文件都在，后拷贝过去的文件都不在，为影子鼓鼓掌！

分析3：
影子启动单一保护模式后，C盘原有文件在硬盘上都不能动，即使删除也只是显示为删除，实际上这部分删除后多出来的空间是无法动用的，对后来写入的文件，如果能动用的硬盘空间够用就写在硬盘里，否则就写在内存里，如果内存也不够用则系统假死，重启后恢复原状
结论：
1.影子的核心进程不是ShadowService.exe和ShadowTip.exe，这两个是摆摆噱头的，影子真正的进程是system，这是系统核心进程，无法中止，即使不开启影子保护模式，system进程仍然加载SnpShot.sys，一旦加载即驻留内存，即使删除SnpShot.sys也没用
2.影子需要Windows系统支持，在DOS下影子是可以被干掉的，比如用软盘、光盘、U盘启动DOS，但这几乎不可能在远程操作，不知道有没有DOS上网软件？
3.影子启动保护后，如果能让system进程把SnpShot.sys从内存中卸下，则影子会被干掉，这可能是以后病毒的主攻方向
4.影子没有改写硬盘MBR，这一点大家可以放心 。


但是，影子系统作为一个软件，和其他还原类软件一样,依旧存在系统崩溃的问题.有过崩溃经验的PowerShadow用户应该有过 开机后发现找不到**文件而不得已全部重装的经历.其实原因很简单 PowerShadow还原出错，就会导致系统无法启动和文件目录丢失,而且PowerShadow改写了分区信息和引导程序数据，很容易造成系统崩溃.

如果通过简单的卸载程序进行卸载是无法卸载PowerShadow的.大家在卸载完PowerShadow以后 用sreng软件 看一下驱动程序 会发现 snpshot.sys依旧在 running(运行)看图 用SREng在安全模式下删除或改动这个文件后，系统即崩溃，不能启动也不能进入安全模式.为啥呢?很简单这个文件的启动方式是boot start 你在安全模式下删 肯定会出问题的.然而PowerShadow卸载并没有还原修改的主引导.系统崩溃并不奇怪了.
有人问那咋卸载呢.有这么几种方式.
其中能彻底卸载影子的是低格和换硬盘….
低格就是debug,一般硬盘厂商有debug工具 下载后按照提示做.但是低格是很伤硬盘的.
除了上述两种办法, 可以尝试用系统安装盘光驱引导 后 进入安装界面删除所有的分区再建立新的分区 然后开始漫长的系统重装……
其次有全盘ghost的用户可以尝试 ghost还原 但是根据反馈的效果 依旧有部分残留.
对于仅仅格式化系统盘的用户 根据反馈的信息看 是无法彻底卸载的.”




看到这大家心里也有个了解了吧，什么事物不可能十全十美的，影子系统再好也只是个软件，总会有缺陷的，而病毒开发者就会利用那一点缺陷，完成自己的想要入侵。

good articles,