冰点还原精灵和影子系统哪个好,还原精灵和影子系统
随着互联网的发展,电脑已经成为我们日常生活中不可或缺的办公娱乐产品。当我们使用电脑时,保护电脑系统是不可避免的。现在最流行的系统保护软件是冰点恢复器。除了冰点恢复器,还有影子系统等很多类似的软件。很多人都在问边肖哪一个适合自己用。为了帮助你解决问题,边肖将分析冰点恢复器和阴影系统的区别。
影子系统工作原理:
所谓影子系统,即重启系统的所有测试(操作)都将不复存在。也就是硬盘还原卡,还原向导等属性都是一样的。从原系统进入影子系统,然后退出影子系统,再回到原系统的整个过程都不会被记录,比如文件存储、在线记录、软件安装等。
它的原理应该类似于恢复精灵的原理。说到它真正的原理,我就不废话了。我只是通过测试猜出来的。你应该用过InstallWatch之类的监控软件,监控每一条操作记录。这个类在重启时执行相反的操作。
PowerShadow Master(影子系统)是一个很奇怪的小软件。当您安装它并重新启动计算机时,计算机会有一个额外的启动项,就像安装了双系统一样。在选择了PowerShadow Master的启动项后,原系统会完全一样的使用,但是你的所有操作,包括安装程序(甚至是运行病毒),在下次用原系统开机时都会失效。对于程序安装测试非常有用,不会。所谓影子系统!-重启系统,所有测试将不复存在!
但是系统是什么样的呢?真的有传说中那么厉害吗?现在来看一个测试~ ~
1 PowerShadow(turn)工作原理测试报告
1.先确定系统无毒,做好c盘的ghost备份。
2.在单一保护模式下,打开阴影保护。
3.使用IceSword等内核工具强制停止暗影的所有进程。
4.利用冰刀等内核工具强行删除几个被操作系统锁定的重要文件。如果系统安装在C:/WINDOWS/目录中,您可以删除c:/NTDETECT。C:/WINDOWS/system32/drivers/目录中的所有文件,以及C:/WINDOWS/repair/目录中的所有文件(
另外,删除c盘的几个大文件。
5.检查c盘的容量,c盘所有文件占用的容量是否等于c盘硬件分区的总容量,如果小于c盘硬件分区的总容量,说明影子系统把删除的文件藏在了c盘的其他地方,销毁失败,不用再做了。
如果c盘所有文件占用的容量等于c盘硬件分区的总容量,继续这样做。
6.这一步至关重要,关系到毁灭的最终成功。
使用bcwipe等硬盘擦除软件擦除c盘的空闲空间,最好擦除3次以上,看看擦除软件能否成功擦除c盘的空闲空间。
7.如果成功擦除c盘空闲空间,关机重启看看是否还能正常启动?那些被强行删除的文件还在吗?
如果还能正常开机,删除的文件会自动恢复,影子系统真的很强大!给它一点掌声!
如果无法正常引导或者部分文件无法恢复,请使用步骤1中的ghost备份恢复c盘。
为了方便测试,将测试方法修改为对系统无损,否则系统文件会被破坏,后面的测试可能无法进行。步骤如下:
1.复制几个大的镜像文件到c盘,压缩c盘的可用空间到500M。
2.安装影子,重启时选择进入单保护模式。
3.暂停ShadowService.exe和ShadowTip.exe进程
4.删除c盘的一个原始镜像文件(700M),c盘上显示的可用空间约为1200M m。
5.用bcwipe擦除c盘可用空间,失败!Bcwipe显示写入硬盘时出错,这种情况以前从未发生过。
6.另外,复制一个光盘镜像文件(400M)到光盘上,可以导入到虚拟光盘上正常运行。CD-ROM C显示大约800M的自由空间。
7.继续复制一个新的镜像文件(300M)到c盘。
有问题,频繁弹出如附图所示的对话框,提示windows延迟写入失败。这种情况通常只有在硬盘空间不足的情况下才会出现,但即使包含新镜像文件(300M),c盘也应该有500M左右的可用空间。
8.忽略频繁弹出的“延迟写入失败”对话框。后来,甚至发生了c盘主文件表$MFT的延迟写故障,不管。经过近10分钟的连续拷贝,新的视频文件(300M)居然拷贝到了c盘。“延迟写入失败”对话框消失后,播放器就可以正常播放视频文件了。
分析1:
如果影子系统将删除的原始镜像文件(700M)保存在c盘空闲空间的隐藏部分,那么c盘实际可用空闲空间只有500M。刚才将新的镜像文件(300M)复制到c盘时,频繁弹出的对话框似乎证明了这一点,但是后来复制到c盘的两个文件加起来超过500 m,为什么还能正常使用?
9.调出工具检查内存,发现512M物理内存只有20M可用,几个工具都无法显示哪个进程使用了缺失的几百M内存。
10.删除复制到c盘的新镜像文件(300M),缺失的内存又回来了,可用物理内存上升到300m以上。
2.分析:
先复制到光盘的光盘镜像文件保存在硬盘上,因为它没有超过光盘的实际可用空间。此时虽然显示光驱的可用空间为800M,但实际可用空间只有100M m,后来复制到光驱的新镜像文件(300M)超过了光驱的实际可用空间,保存在内存中。删除新的镜像文件(300M)后,“丢失”的内存会回来。
1.用工具检查系统进程,发现系统进程加载了一个c:/windows/system32/driver/SNP shot . sys,是影子系统的组件文件,只有28K。系统进程将该文件加载到内存中。
12.将一个物理内存超过512M的新镜像文件2(700M)复制到c盘,此时c盘显示有800M左右的可用空间。理论上应该可以复制,但实际上复制失败了。这次还是频繁弹出“延迟写入失败”对话框,但是将近2个小时都无法复制。(奇怪的是可以复制。内存只有512M,700M要放哪里?),而系统装死,因为可用内存耗尽,只能复位重启。
13.重新启动时,您仍然会进入单一保护模式。c盘原来的文件都在,但是复制过去的文件都没有了。为影鼓鼓掌!
分析三:
启动影单保护模式后,c盘的原始文件在硬盘上无法移动,即使删除也只会显示为已删除。其实这部分删除后多出来的空格是用不上的。对于后面写入的文件,如果可用硬盘空间足够,则写入硬盘,否则写入内存。如果内存不够,系统会装死,重启后恢复原状。
结论:
1.影子的核心过程不是ShadowService.exe和ShadowTip.exe,这两个是噱头。影子真正的进程是系统,是系统的核心进程,无法停止。即使不开启阴影保护模式,系统进程还是会加载SnpShot.sys,一旦加载就会驻留在内存中,即使删除SnpShot.sys也没有用。
2.Shadow需要Windows系统支持。影子可以在DOS下被杀死。比如用软盘、光驱、u盘启动DOS,但是远程操作几乎不可能。不知道有没有DOS上网软件?
3.影子启动保护后,如果系统进程能从内存中卸载SnpShot.sys,影子就会被杀死,这可能是病毒未来的主要攻击方向。
4.影子没有重写硬盘MBR,可以放心。
影子系统缺点:
1.使用单一阴影模式时,不能选择排除文件夹。比如我选择保护系统盘c盘,但是我也想保留使用影子系统重启后查杀软件的升级结果。影子系统没有这样的功能,(软件影子用户有)
2。进入影子系统后,任何时候都不能退出和进入。你要重启系统,这是最大的遗憾,降低了便利性。
下面某论坛也有一篇关于影子系统漏洞的文章。
“我经常在论坛上遇到用PowerShadow的人,也有很多受害者。今天,我花时间对PowerShadow软件做了一个简单的解释,以便纠正它。
PowerShadow作为一种恢复软件,在中国的互联网上非常流行。很多人觉得我系统装了PowerShadow就万事大吉了,网上也是这么宣传的。其实这种说法是完全错误的。
安装PowerShadow真的安全吗?答案显然是否定的。
PowerShadow在盗号木马面前束手无策。
我们知道互联网上有一种被广泛使用的木马,叫做盗号木马(这个大家应该都知道)。盗号木马严格来说是一次性的特洛伊木马。为什么?盗号木马的目的是窃取你的特定账户密码。一旦系统被植入窃取你的账号和密码,木马就完成了它的使命。你清理完之后,木马造成的伤害已经无法挽回了。而你却在PowerShadow的保护下钻进了这种木马,因为Shadow是一个虚拟系统而不是有保护功能的防火墙。重启系统,木马消失,账号和密码已经在黑客手中。PowerShadow不仅没有保护功能,还会为黑客销毁证据。
保护再强,还是要开放。
人们经常会安装各种软件,在PowerShadow的保护下是无法安装的。我们必须在正常模式下安装软件。如果此时安装包中捆绑了木马,你还是会被木马所害,然后启动PowerShadow的防护。除非你找到了,否则这个木马会一直陪着你。
第一印象是最持久的
很多人喜欢把系统做完后应该安装的软件都装上,然后为了安全再装PowerShadow。如果你的应用软件不干净,结果和第二点一样。
四个系统崩溃
PowerShadow和其他还原软件一样,仍然存在系统崩溃的问题。经历过死机的PowerShadow用户应该都有这样的体验,开机后发现找不到* *文件,只好全部重装。其实道理很简单。如果PowerShadow恢复失败,系统无法启动,文件目录也会丢失。而且PowerShadow重写了分区信息和引导程序数据,容易导致系统崩溃。
五不能完全卸载
如果通过简单的卸载程序卸载PowerShadow,是无法卸载PowerShadow的。卸载PowerShadow后,你会发现snpshot.sys还在运行。用sreng在安全模式下删除或更改这个文件后,系统崩溃,你无法启动或进入安全模式。为什么?很简单,这个文件是由boot start启动的。如果在安全模式下删除,肯定会出问题。但是,PowerShadow卸载不会恢复修改后的主引导。系统崩溃并不奇怪。
有人问怎么卸载?有几种方法。
其中能彻底卸下阴影的,就是低架和换硬盘…
低级是调试。一般硬盘厂商下载调试工具后按照提示操作。但是,低水平对硬盘是非常有害的。
除了以上两种方法,你可以尝试使用系统安装盘和光驱引导进入安装界面,删除所有分区,新建一个分区,开始漫长的重装系统.
其次,有全方位鬼影的用户可以尝试还原鬼影,但是根据反馈效果还是有一些残留的。
对于只格式化系统盘的用户,根据反馈信息是无法完全卸载的。"
看到这里,大家都知道,没有什么是完美的。根据自己的爱好选择自己喜欢的还原软件!
还原精灵的工作原理
还原向导修改了硬盘的启动扇区。硬盘的引导扇区也叫MBR(主引导记录),位于硬盘的0扇区,0磁头,1柱面。
恢复向导的工作原理涉及到中断的概念:中断是指CPU挂起当前运行的程序,转而执行中断提交的程序。
Int 13是中断指令,其中Int是指令助记符,13(十六进制数)是中断号。当用户操作硬盘时,基本输入输出系统(BIOS)向CPU发出中断请求,CPU改为执行int 13提交的程序。
此外,当使用“FDISK /MBR”命令重写主引导扇区时,这种方法可能会丢失硬盘中的数据,应仅作为最后手段使用。注意不要在超过四个分区的硬盘上使用它。
事实上,有时“fdidsk/mbr”命令不起作用。
原因:还原向导卸载了还原向导。真的很好用,恢复系统也很方便。但是它也会将系统引导区添加到自己的引导信息中,所以重装系统时不允许随便更改引导区,导致分区表出错。有些程序编辑的还原向导即使卸载也无法卸载干净!
冰点还原工作原理:
冰点降低是通过争夺南桥芯片的I0控制权实现的。当加载了正确的驱动后,冰点就可以获得I0控制器的控制权,这样任何关于硬盘的写入都要经过他的控制,这样就可以轻松达到还原的目的。同样,如果恢复双系统或者GHOST,冰点正确安装的系统会有还原功能,如果没有安装当然不会。因此,可以在GHOST下无限期地添加文件,而windows
补充:冰点是随着windows的启动而启动的。冰点是在windows开始加载驱动程序时以某种方式触发的。因为冰点有I0控制器的控制,可以把任何写入硬盘的东西放在任何地方。不知道大家有没有见过一辆DF5。temp(windows临时文件夹)下的TMP吧?具体文件名记不清了。况且我现在不在我的网吧,而且这个网吧已经屏蔽了c盘!@ # $% $%所以你不能提供具体的名字,你可以自己看看。
补充,冰点转储通常跟随windows的临时文件夹。所以系统完成后,windows的临时文件夹必须转移到一个相对空闲的磁盘上。否则会丢失文件(下载大文件后文件就是这样丢失的),因为DF把写好的文件都放在里面了。虽然你把它们丢在了表面的其他地方,实际上存储位置是在临时文件夹里,但是windows给你看的路径是给你的。
DOS无法操作冰点以下。即使用NTFSDOS修改,也不一定能很好的启动。
另外,DF在为NTFS设计的时候,认为NTFS不支持DOS,所以不提供DOS支持,即使在FAT32的win98的DOS下也是如此。DF是为windows设计的。
你只有一个办法重新雕刻系统。
最好把系统的文件格式改成NTFS,但是NTFS确实有文件丢失的情况,我以前也遇到过。但是,NTFS丢失的大多数文件都与硬件有关。我遇到问题的时间是键盘的接口接触不好。我换了键盘,文件丢失现象就解决了。
windows 2000/XP/2003下有一个NTDETECT.COM文件。这个文件是一个在windows启动时读取硬件信息的程序。ntldr每次启动都会先加载,然后会分别读取各个硬件的信息来确定ntldr需要加载的驱动,因为这个程序不是windows下的程序。设计也很简单。所以如果硬件出现了一些小问题,有些驱动因为一些必要的硬件没有找到而无法加载,然后会提示文件丢失(有时候BIOS可以通过,哪个硬件损坏了,但是windows启动的时候没有告诉你什么硬件坏了吧?要么是启动失败,要么是启动成功后会告诉你坏了什么)。有时候,我们会遇到机器无法启动这样的事情。但是,如果过了几天就好了,或者过了几天就坏了,有些部件会受潮?热度?一大堆小的不能再小的小问题,集中在一起就会出大问题。我的说法很极端,而且是一个相当愚蠢的说法。如果你的每一台机器都是那样,那就不会有硬件问题,但是在我看来,文件丢失的概率真的很低(NTFS)。所以NTFS下的文件丢失基本都是硬件造成的。不知道哪位兄弟能给点建议。或者我可以分析一下。
当NTDETECT.COM的这个文件启动时,它会将硬件环境信息添加到注册表的一个项中。具体不知道,以此来决定装什么驱动。如果没有检测到硬件,则不会加载相应的驱动程序。ntldr在加载系统文件时可能会出错,说有东西丢失了。事实上,该文件仍然存在,但它不是根据NTDETECT.COM给出的清单载入的。
嗯,目前唯一发现的就是操作起来很麻烦。如果你想保存一次数据,你至少要重启两次。就像恢复向导一样点击“转储”。