三、影子系统的工作原理与优缺点
        
　　　　1、影子系统工作原理：

        所谓影子系统，即重启系统一切测试（操作）将不复存在。意即硬盘还原卡、还原精灵等性质一样。由原系统进入影子系统，再退出影子系统返回原系统的整个过程,，所做的档案储存，上网记录，软件安装等等都不会被记录。
　　　说其原理，应和还原精灵类似。说其真正原理，我不和乱说，仅是通过测试猜测了一下，大家应该用过InstallWatch之类的监测软件吧，它是监控每个操作记录。这类在重启时进行反操作。
　　　PowerShadow Master（影子系统）是款很奇特的小软体,当你安装它并重新启动电脑以后,电脑会类似安装了双系统一样,多出一个启动项,选择其中PowerShadow Master的启动项后,原系统是完全一样的使用,但是你的一切操作,包括安装程式(甚至运行病毒)在下次用原系统启动时,都是无效的,对做程式安装测试非常有用,不会因为安装卸载而产生LJ档!所谓影子系统!重启系统一切测试将不复存在！
        但是系统到底怎么样 是不是真的像传说中的那样厉害百毒不侵！现在我们来看一个测试.

　　　2、通过下面的测试得出，影子系统的保护作用是十分强大的。

　　　分析方案：
　　　（1）先确保系统无毒，对C盘做个ghost备份
　　　（2）在单一保护模式下，打开影子保护
　　　（3）用冰刀（IceSword）等内核工具强行中止影子的所有进程
　　　（4） 用冰刀等内核工具强制删除几个操作系统锁定的重要组成文件，假如系统安装在C:\WINDOWS\目录下，可以删除c:\NTDETECT.COM文件， c:\ntldr文件，C:\WINDOWS\system32\drivers\目录下的所有文件，C:\WINDOWS\repair\目录下的所有文件（C:\WINDOWS\repair\目录是不可见目录，保存着注册表信息，在冰刀下可以删除）
　　　另外再删除几个C盘中的大文件
　　　（5）核对一下C盘的容量，C盘所有文件占据的容量+C盘空闲空间容量，是否等于C盘硬件分区的总容量，如果小于C盘硬件分区总容量，说明影子系统把被删除的文件隐藏在C盘的其他地方了，破坏失败，不用再往下做了
　　　如果，C盘所有文件占据的容量+C盘空闲空间容量=C盘硬件分区总容量，继续往下做
　　　（6）这一步很关键，关系到破坏最终能否成功
　　　用bcwipe等硬盘擦除软件擦除C盘的空闲空间，最好擦3遍以上，看擦除软件是否能成功擦除C盘的空闲空间
　　　（7）如果成功擦除了C盘的空闲空间，关机重启，看看还能不能正常开机？那些被强制删除的文件还在不在？
　　　如果还能正常开机，被删除的文件自动恢复，影子系统确实厉害！
　　　如果不能正常开机或有文件不能恢复，请用第1步的ghost备份恢复C盘

　　　分析方案2：
　　　为便于测试，把测试方式修改为不对系统具有破坏性，否则把系统文件破坏了，后面的测试不一定能进行得下去，步骤如下：
　　　⑴拷贝几个大的影像文件到C盘，把C盘的空闲空间压缩到500M
　　　⑵安装影子，重启时选择进入单一保护模式
　　　⑶中止ShadowService.exe和ShadowTip.exe进程
　　　⑷删除C盘原有的一个影像文件（700M），C盘显示空闲空间约为1200M
　　　⑸用bcwipe擦除C盘空闲空间，失败！bcwipe显示写硬盘出错，这是从未发生过的事情
　　　⑹另外拷贝一个光盘镜像文件（400M）到C盘，可以正常导入虚拟光驱运行，C盘显示空闲空间约800M
　　　⑺.继续拷贝一个新影像文件（300M）到C盘
　　　问题出现了，系统频繁弹出对话框，提示windows 延缓写入失败，这种情况一般只有在硬盘空间不够时才出现，但此时即使算上新影像文件（300M），C盘应有500M左右的空闲空间
　　　⑻.不理会频繁弹出的“延缓写入失败”对话框，后来甚至出现C盘的主文件表$MFT延缓写入失败，都不管，持续拷贝了将近10分钟，新影像文件（300M）居然拷贝到C盘，“延缓写入失败”对话框消失后，可以用播放器正常播放这个影像文件
　　　果影子系统把被删除的原来的影像文件（700M）保存在C盘空闲空间的隐藏部分，那么C盘实际可用的空闲空间只有500M，刚才拷贝新影像文件（300M）到C盘时，频繁弹出对话框似乎证明了这点，但是后来拷贝到C盘的两个文件加起来已经超过500M，为什么还能正常使用？
　　　⑽调出工具查看内存，发现512M物理内存只有20M可用，几个工具都不能显示失踪的几百M内存被哪个进程使用了
　　　⑾删除拷贝到C盘的新影像文件（300M），失踪的内存回来了，可用物理内存上涨到300多M
　　　先拷贝到C盘的光盘镜像文件因为没有超过C盘实际可用的空闲空间，保存在硬盘上，此时虽然显示C盘空闲空间有800M，但实际可用的空闲空间只有100M，后拷贝到C盘的新影像文件（300M）超过了C盘实际可用的空闲空间，被保存在内存中，删掉新影像文件（300M）后，“失踪”的内存就回来了
　　　⑿用工具查看system进程，发现system进程加载了一个c:\windows\system32\driver\SnpShot.sys，这个文件是影子系统的组成文件，只有28K，system进程将此文件加载到内存中。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点