×

关注微信公众号

免备案网站空间虚拟主机双线空间域名查询PS数码后期
photoshop互助课堂数百G视频教程下载英语培训机构初中英语如何学随时随地聆听大师开讲/课堂
酷素材!视频教程打包下手绘教程抠图教程路径专辑photoshop cs3视频教程
楼主: dxxzf

慎用影子系统(转贴)+卸载影子系统经验大家当心!!!

[复制链接]
发表于 2007-1-1 22:04:43 | 显示全部楼层 |阅读模式
原帖地址http://bbs.hzva.org/viewthread.p ... ge=1&sid=3Aesrb

本文仅做技术讨论,本文所产生的后果本人概不负责
在论坛上经常碰到有人使用PowerShadow 也遇到很多的受害者.今天我抽出时间专门就PowerShadow这个软件做简要的说明,以正视听

PowerShadow作为一款还原类的软件,在国内的互联网很火,不少人认为我的系统装了PowerShadow是万事大吉,百毒不侵,互联网中也这么宣传.实际上这种说法是完全错误的.

装了PowerShadow真的是安全了吗?答案显然是否定的

一 盗号木马面前PowerShadow束手无策
我们知道互联网中有一种广泛使用的木马叫盗号木马(所有人都该知道的).盗号木马严格意义上说是一次性的木马,为什么呢? 盗号木马以盗走你的特定的帐号密码为目的.一旦植入系统盗走你的帐号和密码后 木马完成了使命.你再去清理他,木马清理后 损失已经造成了,无法挽回了. 然而你在PowerShadow 的保护下中了此类木马,因为影子是虚拟的系统而不是具有保护功能的防火墙,当你重启系统后,木马消失了同时帐号和密码已经在黑客的手中了. PowerShadow不但没有保护作用反而替黑客做了销毁证据的工作.


二 再坚固的保护依旧得敞开
大家经常会安装各式各样的软件,在PowerShadow的保护下安装是无法安装的,我们必须在正常的模式下安装软件,如果这时候安装包中捆绑了木马.你依旧会中木马,再启动PowerShadow的保护,除非你发现了否则这个木马会一直陪伴你.

三 先入为主
很多人喜欢在做完系统后 装上所有应该装的软件后 再 装PowerShadow 予以保护以求安全,如果你的应用软件不干净,结果会和第二点一样.

四 系统崩溃
PowerShadow 和其他还原类软件一样,依旧存在系统崩溃的问题.有过崩溃经验的PowerShadow用户应该有过 开机后发现找不到**文件而不得已全部重装的经历.其实原因很简单 PowerShadow还原出错,就会导致系统无法启动和文件目录丢失,而且PowerShadow改写了分区信息和引导程序数据,很容易造成系统崩溃.

五 无法彻底卸载
如果通过简单的卸载程序进行卸载是无法卸载PowerShadow的.大家在卸载完PowerShadow以后 用sreng软件 看一下驱动程序 会发现 snpshot.sys依旧在 running(运行)看图 用SREng在安全模式下删除或改动这个文件后,系统即崩溃,不能启动也不能进入安全模式.为啥呢?很简单这个文件的启动方式是boot start 你在安全模式下删 肯定会出问题的.然而PowerShadow卸载并没有还原修改的主引导.系统崩溃并不奇怪了.
有人问那咋卸载呢.有这么几种方式.
其中能彻底卸载影子的是低格和换硬盘….
低格就是debug,一般硬盘厂商有debug工具 下载后按照提示做.但是低格是很伤硬盘的.
除了上述两种办法, 可以尝试用系统安装盘光驱引导 后 进入安装界面删除所有的分区再建立新的分区 然后开始漫长的系统重装……

其次有全盘ghost的用户可以尝试 ghost还原 但是根据反馈的效果 依旧有部分残留.

对于仅仅格式化系统盘的用户 根据反馈的信息看 是无法彻底卸载的.

附 受害者的帖子(11楼本文的图片就来源于此)
本文到此就结束了,希望网友能够在以后的上网过程中注意明辨是非.对于网络上的所谓菜鸟高手以及不切实际的宣传要提高警惕避免被误导.尤其要注意国内 就有那么一帮 "菜鸟高手" 在 不懂 软件原理的情况下看了点英文的简介 就开始想当然了,什么 不死 永久   不用杀软 /防火墙的 词语 就出来了. 直接结果 就是导致 成千上万的人受害.



————————————————————————————————————————————
因为我比较重视系统的干净,所以安装影子时就用TOTAL UNINSTALL(一下简称TU)做了安装日志。

看到坛里(中天)的朋友说影子不好,我对影子也没有多少的好感,我发现他一运行,硬盘就响得厉害,只是玩玩才装他的,我自己并不需要这么一个累赘系统,我相信自己+KV/Panda/McAfee任何一款软件,一般浏览网页中的病毒不会杀不掉的,再不行我就ghost,怕什么,呵呵。

那位朋友又提到影子不好卸,我想,用TU试试好了。

先运行影子自带的卸载,卸载很快,甚至都不要重启(安装时重启了啊),看来不老实,哼!

用TU,卸载发生一处错误,就是那个驱动sys,我重启。

再次用TU,那个sys被卸载掉了,我打开sreng,没有异常,的确被卸掉了。

但问题是,我再次重启后,开机就提示大概5,6个未知硬件设备需要安装驱动,我点击安装,当然找不到驱动了,哼,死东西,在这里等着呢,我清理了以下注册表(菜鸟没办法,虽然心知这招也不太管用),呵呵,随后看那几个未知设备的属性,都是ROOT_LEGACY_XXX,灵机一动,只要删掉这些注册表相关不就好了。哈哈。

他们的位置因为自己多次卸杀软很清楚——虽然不晓得这个地方的注册表是干什么的,知道的告诉我一声啊,路径是:HKLM_SYSTEM_CONTROLSET001_ENUM_ROOT_XXX
HKLM_SYSTEM_CONTROLSET002_ENUM_ROOT_XXX,HKLM_SYSTEM_CURRENTCONTROLSET_ENUM_ROOT_XXX,这几处基本是重复的内容,似乎一个是一个的备份之类的关系,但总之都删一遍比较好,然后我一一点开属性,找到相应的XXX位置,删?呵呵,没那么容易,你的权限不够,这个倒不是很担心,ICESWORD来,一一删除,但那些XXX的名字,我头比较昏,且有5,6个,记不大清了,大家自己去看吧,不过要小心,别删错了,呵呵。

删掉之后就好了,不弹出发现硬件无法驱动的提示了,那个很烦,这个办法大家看下,有用得着的就好了,我的目的也就达到了,bs一下影子。

[ 本帖最后由 dxxzf 于 2007-1-1 22:06 编辑 ]
本帖的地址:http://bbs.jcwcn.com/forum.php?mod=viewthread&tid=48283
跟着教程做一遍,做完的图要到这里评论交作业,教程有看不懂的地方,可以在贴子下面评论
发表于 2007-1-9 19:05:17 | 显示全部楼层
酷素材
PowerShadow作为一款还原类的软件,我是支持和欣赏.但要把它作为杀软和防火墙,想必也没多大功效.不过用它来试用某个软件,到是个好方法,如果觉这个软件好,再到正常模式下安装.
发表于 2007-1-16 13:05:34 | 显示全部楼层
驳慎用影子系统
“在论坛上经常碰到有人使用PowerShadow 也遇到很多的受害者.今天我抽出时间专门就PowerShadow这个软件做简要的说明,以正视听”,我就见这篇文章转得多,却没在网上查到你所说的很多受害者,“以正视听”,我看是居心不良吧。

“PowerShadow作为一款还原类的软件”,它不可以说是还原类软件,可见作者根本不清楚其原理,它没有还原操作,而是启动时把系统标记为只读,所以即使突然断电也没关系,如果要进行还原操作的话,突然断电肯定完蛋,还会占用大量资源,可它没有,基本不占用资源。“在国内的互联网很火,不少人认为我的系统装了”,这是有原因的,群众的眼睛是雪亮的。
“PowerShadow是万事大吉,百毒不侵,互联网中也这么宣传.实际上这种说法是完全错误的”,世上当然没有绝对的事,你也不要要求这一款小小的软件太多,不过他的宣传大抵都做到了,说“完全错误”,你夸张了吧。
“装了PowerShadow真的是安全了吗?答案显然是否定的”,我想说用了之后相当安全,比起反病毒软件高明多了。据说有一些病毒本身就是反病毒软件公司开发的,用于竞争,把你的系统作为病毒与反病毒软件无休止的战场,占用大量系统资源...

“一 盗号木马面前PowerShadow束手无策”作者所说的这种情况Powershadow确实无法做到,但你还要求一款不到3M的软件怎样,这种情况本不是它的职责范围,而且它只承诺系统百读不侵,不损坏,不是安全第一,不要搞错。

“二 再坚固的保护依旧得敞开”,是这样的,但这种情况完全不能归咎于Powershadow,作者是在无理取闹。用户自己得保证使用Powershadow之前系统清洁。

“三 先入为主”,如上分析,这实在不是Powershadow 的错。

“四 系统崩溃”没有确切数据证明,纯属一家之言,猜测直言。你说有用户真实反映,亦有使用毫无问题者,值得怀疑。

“PowerShadow 和其他还原类软件一样,依旧存在系统崩溃的问题”,上面说过了,它和一般还原类软件不一样,质的不同。硬盘老化,或是其它原因,总有一天,你的系统会崩溃,不要无故归咎于无辜的Powershadow,它已经很不容易了。“有过崩溃经验的PowerShadow用户应该有过 开机后发现找不到**文件而不得已全部重装的经历.其实原因很简单 PowerShadow还原出错,就会导致系统无法启动和文件目录丢失,而且PowerShadow改写了分区信息和引导程序数据,很容易造成系统崩溃.
”胡扯,完全不是这样,运行时powershadow根本不物理更改系统,也没有系统的读写还原操作,你蒙人啊,编造的像模像样的。“PowerShadow改写了分区信息和引导程序数据,很容易造成系统崩溃.
”分区还是原来的分区,Powershadow改它干吗,奇了怪了。

“五 无法彻底卸载”,这可能确实是Powershadow做的不够好,以后应该会改进,不过恐怕这些危害夸大之言也不足完全取信。不过你要是乱折腾,系统损坏在正常不过了。

“有人问那咋卸载呢.有这么几种方式.”这下面几段简直荒谬至极。恐怕有点计算机知识的都会觉得好笑吧。
发表于 2008-6-28 17:32:36 | 显示全部楼层
又学习了
回复 支持 反对

使用道具 举报

发表于 2008-8-6 15:40:29 | 显示全部楼层
酷素材
楼主说的这种问题我还没有试过呢。
回复 支持 反对

使用道具 举报

发表于 2008-8-10 00:37:46 | 显示全部楼层

!!

酷素材
影子系统怎么用啊?
回复 支持 反对

使用道具 举报

发表于 2008-8-10 00:38:28 | 显示全部楼层

@

远程的东西怎么不好用啊!
回复 支持 反对

使用道具 举报

发表于 2008-8-11 16:39:12 | 显示全部楼层
哈哈。。。影子就是好用也不能裸奔啊。。。我用过那个 。。要是有什么大点的软件在那里装还是不错的。。。最好不要什么都干的。。哈哈
回复 支持 反对

使用道具 举报

发表于 2008-8-17 18:46:34 | 显示全部楼层
顶你啦 LZ顶你啦 LZ顶你啦 LZ顶你啦 LZ
回复 支持 反对

使用道具 举报

发表于 2009-12-24 12:23:29 | 显示全部楼层
因为影子系统我重装了一次系统
那么好的系统我就给pk掉了
很是愤怒
回复 支持 反对

使用道具 举报

发表于 2010-4-21 19:02:59 | 显示全部楼层
谢谢提醒
回复 支持 反对

使用道具 举报

发表于 2010-5-2 10:54:20 | 显示全部楼层
什么软件都没有绝对安全的!
回复 支持 反对

使用道具 举报

发表于 2012-3-8 14:52:47 | 显示全部楼层
支持下~1
回复 支持 反对

使用道具 举报

发表于 2017-9-2 17:31:19 | 显示全部楼层
很不错。。。
回复 支持 反对

使用道具 举报

发表于 2017-9-2 16:37:16 | 显示全部楼层
楼主是超人
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

2345