影子系统原理及相关问题求证

2023年12月19日发(作者：)

影子系统原理及相关问题求证我开始接触影子系统的时间是今年3月份，起由是系统中了木马，上网寻找相关防范软件时偶然接触。从我个人使用影子系统的感受来说是：觉得这是一个好软件。最近一段时间注意到百度的影子系统吧当中出现了大量内容重复、标题耸人听闻的刷屏帖，都是说影子系统如何的烂以及如何影响系统本身以及电脑硬件的。这里发的也都是一些从网上收集而来的关于影子系统的信息，包括官方的介绍，一些网友和自己的使用感受、问题等等。为了更加客观起见，我会尽量把正面和负面的感受都贴出来，广大网友可以擦亮眼睛，自己进行甄别。

★★★软件原理浅析★★★

大部分网友有了解它原理的愿望，却又不具备自己分析的技术知识。对于影子公司来说，在这点上他是被动的——涉及到知识产权和商业秘密他或许不能太多地披露该软件的具体细节，但是面对广大网友的质疑完全保持沉默又让人造成他是心虚的印象。从个人使用感受来说，到目前为止，一些人反映的问题比如“蓝屏”“cpu占用100％”“硬盘响得厉害”等问题，在我的电脑上从来没有出现过。我对技术也是不懂，对于影子的原理和是否会对硬件造成影响不做任何判断，这里仅从网上收集两种意见，大家自己看。

【负面】

影子系统其实就是还原卡，说白了，就是一个磁盘过滤驱动。在硬盘上划一个区域，然后把你所有的操作全部保存到这个区域里，重启就撤销这种映射关系。

长期、大量、重复地对硬盘特定的区域进行读写操作，将对硬盘产生致命的伤害，最终减损硬盘的寿命。因此，对于网吧机房等数据存储行为较少，数据重要性差的公共用机，这种损伤是可以承受的。但是对于企业办公，家庭娱乐等数据存储频繁，数据安全性要求高的计算机，硬盘的部分损坏将是致命的，事实证明，影子系统是为了减少中国硬盘使用寿命而设计的！

【正面】

硬件系统启动时，在Windows加载之前，建立被保护磁盘的磁盘分配表副本，副本分配表中标记原已分配区域为只读，影子系统PowerShadow重新定向所有来自Windows的磁盘操作到副本分配表，并且只刷新分配表副本。一旦系统重新启动，原分配表和原分配表标记的已分配区域数据毫无变化，以此达到在不增加任何额外的磁盘读写的前提下实现对原磁盘操作系统数据（Windows 系统的有效磁盘数据）的完整保护。在副本分配表基础上运行的操作系统PowerShadow称之为影子系统。

原理上，影子系统PowerShadow的软件层面相当于bios扩展而不是windows的一部分，如果影子系统PowerShadow本身没有漏洞和bug，硬件没有故障和bug，一旦影子系统PowerShadow的保护功能启动，任何windows程序都无法攻破影子系统PowerShadow的磁盘保护。

●网友对影子系统工作原理测试〖结果是正面的〗

【1】先确保系统无毒，对C盘做个ghost备份。

【2】在单一保护模式下，打开影子保护。

【3】用冰刀（IceSword）等内核工具强行中止影子的所有进程。

【4】用冰刀等内核工具强制删除几个操作系统锁定的重要组成文件，假如系统安装在C:WINDOWS目录下，可以删除c:文件，c:ntldr文件，C:WINDOWSsystem32drivers目录下的所有文件，C:WINDOWSrepair目录下的所有文件（C:WINDOWSrepair目录是不可见目录，保存着注册表信息，在冰刀下可以删除）。另外再删除几个C盘中的大文件。

- 1 -

【5】核对一下C盘的容量，C盘所有文件占据的容量+C盘空闲空间容量，是否等于C盘硬件分区的总容量，如果小于C盘硬件分区总容量，说明影子系统把被删除的文件隐藏在C盘的其他地方了，破坏失败，不用再往下做了如果，C盘所有文件占据的容量+C盘空闲空间容量=C盘硬件分区总容量，继续往下做。

【6】这一步很关键，关系到破坏最终能否成功。用bcwipe等硬盘擦除软件擦除C盘的空闲空间，最好擦3遍以上，看擦除软件是否能成功擦除C盘的空闲空间。

【7】如果成功擦除了C盘的空闲空间，关机重启，看看还能不能正常开机？那些被强制删除的文件还在不在？如果还能正常开机，被删除的文件自动恢复，影子系统确实厉害！为它鼓鼓掌！ 如果不能正常开机或有文件不能恢复，请用第1步的ghost备份恢复C盘。

为便于测试，把测试方式修改为不对系统具有破坏性，否则把系统文件破坏了，后面的测试不一定能进行得下去，步骤如下：

⑴拷贝几个大的影像文件到C盘，把C盘的空闲空间压缩到500M。

⑵安装影子，重启时选择进入单一保护模式。

⑶中止和进程。

⑷删除C盘原有的一个影像文件（700M），C盘显示空闲空间约为1200M。

⑸用bcwipe擦除C盘空闲空间，失败！bcwipe显示写硬盘出错，这是从未发生过的事情。

⑹另外拷贝一个光盘镜像文件（400M）到C盘，可以正常导入虚拟光驱运行，C盘显示空闲空间约800M。

⑺继续拷贝一个新影像文件（300M）到C盘。问题出现了，系统频繁弹出如附图的对话框，提示windows延缓写入失败，这种情况一般只有在硬盘空间不够时才出现，但此时即使算上新影像文件（300M），C盘应有500M左右的空闲空间。

【8】不理会频繁弹出的“延缓写入失败”对话框，后来甚至出现C盘的主文件表$MFT延缓写入失败，都不管，持续拷贝了将近10分钟，新影像文件（300M）居然拷贝到C盘，“延缓写入失败”对话框消失后，可以用播放器正常播放这个影像文件。

分析1：

如果影子系统把被删除的原来的影像文件（700M）保存在C盘空闲空间的隐藏部分，那么C盘实际可用的空闲空间只有500M，刚才拷贝新影像文件（300M）到C盘时，频繁弹出对话框似乎证明了这点，但是后来拷贝到C盘的两个文件加起来已经超过500M，为什么还能正常使用？

【9】调出工具查看内存，发现512M物理内存只有20M可用，几个工具都不能显示失踪的几百M内存被哪个进程使用了。

【10】删除拷贝到C盘的新影像文件（300M），失踪的内存回来了，可用物理内存上涨到300多M。

分析2：

先拷贝到C盘的光盘镜像文件因为没有超过C盘实际可用的空闲空间，保存在硬盘上，此时虽然显示C盘空闲空间有800M，但实际可用的空闲空间只有100M，后拷贝到C盘的新影像文件（300M）超过了C盘实际可用的空闲空间，被保存在内存中，删掉新影像文件（300M）后，“失踪”的内存就回来了。

【11】用工具查看system进程，发现system进程加载了一个c:，这个文件是影子系统的组成文件，只有28K，system进程将此文件加载到内存中。

【12】再拷贝一个超过512M物理内存的新影像文件2（700M）到C盘，此时C盘显示空闲空间有约800M，理论上应该能拷贝，实际上拷贝失败，这一次仍然频繁弹出“延缓写入失败”对话框，但持续近2个小时都无法拷贝完成（能拷贝完成才怪呢，内存只有512M，700M往哪放？），并且系统假死，因为可用内存被耗尽，只能reset重启。

【13】重启时仍然进入单一保护模式，C盘原来的文件都在，后拷贝过去的文件都不在，为影子鼓鼓掌！

分析3：

影子启动单一保护模式后，C盘原有文件在硬盘上都不能动，即使删除也只是显示为删除，实际上这部分删除后多出来的空间是无法动用的，对后来写入的文件，如果能动用的硬盘空间够用就写在硬盘里，否则就写在内存里，如果内存也不够用则系统假死，重启后恢复原状。

- 2 -

结论：

⑴影子的核心进程不是和，这两个是摆摆噱头的，影子真正的进程是system，这是系统核心进程，无法中止，即使不开启影子保护模式，system进程仍然加载，一旦加载即驻留内存，即使删除也没用。

⑵影子需要Windows系统支持，在DOS下影子是可以被干掉的，比如用软盘、光盘、U盘启动DOS，但这几乎不可能在远程操作，不知道有没有DOS上网软件？

⑶影子启动保护后，如果能让system进程把从内存中卸下，则影子会被干掉，这可能是以后病毒的主攻方向。

⑷影子没有改写硬盘MBR，这一点大家可以放心。

★★★常见问题以及对于这些问题不同意见★★★

●伤硬盘问题（来自360安全论坛中网友的争论）

【负面】

郑重告诫大家：慎用影子系统，使用影子系统会建立巨大的磁盘缓存，而且优先级占先，长期在影子系统下运行，会使磁头过于频繁在缓存区读写数据，导致局部温度过高，会对磁盘产生不良影响，影响寿命，有可能使硬盘产生物理坏道，另外，最新的2.8版会将注册信息写入硬盘的主引导区，即使卸载后硬盘主引导区记录也还保留，一般人不易进行清除，如果不懂的话随意找工具清理，会导致很严重的后果。

除了他对硬盘可能会造成物理伤害外，最新的2.8版修改硬盘主引导记录以外，影子系统目前并不完善，他的核心进程由Windows的系统进程system直接加载，即使你不进入影子模式他的进程也会被被system进程加载，所以你可以在正常模式下启动影子系统，由于system进程属于Windows系统的关键进程，是无法终止的，所以退出影子系统就成了大麻烦，必须通过重新启动的方式才可以。明白了吧，即使在影子模式下，如果打system进程的主意，是可以破开影子系统保护的，不过好在目前没有什么病毒打system进程的主意，因为干掉他系统就会瘫痪，太过明显了，不利于病毒的隐蔽和继续扩散（尤其是木马程序，弄瘫你的系统怎么成，他还要偷东西呢），但不排除以后没有人来做这个，甚至采取自杀式的方式干掉相关进程。

【正面】

影子安装空间20M，建议系统盘剩余空间最小为256M。也就是说，绝不可能产生所谓的“硬盘的那些巨大伤害”！局部温度过高纯粹属于无稽之谈！当你运行大型3D游戏例如魔兽，你可以听到来自硬盘的读盘声，如果你机器配置不好，声音更大，有谁听过玩魔兽把硬盘局部温度过高烧毁了？我们知道，游戏同样读入内存和虚拟内存，尤其是现在的大型游戏，动不动就是几G，内存明显不够，那么就只能在虚拟内存上读写，也就是和影子建立的虚拟一样，而影子需要的虚拟空间比任何3D游戏要小100倍！！！因为你开了影子对你玩魔兽也好其他也好，绝无任何不良影响！

【负面】

不要争了，影子这玩意的确会给系统留下绝大部分人难以清除的垃圾了，包含Windows软件系统的以及硬盘MBR信息。修改MBR，无法卸载干净这是事实，无须争论，大家可以自行察看，其中被写进System进程（这个有点流氓的味道），所以根本就无法卸载，即便是在安全模式下强行删除，也会使系统瘫痪（大家可以试验），至于什么硬盘缓存，他建立缓存区随你使用大小不同，频繁写入擦除数据，使得局部温度过高，理论上确实会缩短硬盘寿命，这并非空穴来风，但是因此产生的大量逻辑碎片不可避免。还有传闻影子系统会烧坏主板，这个可以放心，不会发生。

【正面】

- 3 -

最新2.8版会不会写入硬盘的主引导区？写入MBR，有没有伤害呢？回答：会写入，但没有任何伤害，也无需任何清除。MBR是什么？是硬盘引导记录，任何引导程序都会写入，113楼纯粹吓唬人，说个浅显的吧，你在你机器安装2套或者更多系统，那么这些系统要分开引导，那么都会写入MBR。当你重新分区时，MBR都会重新建立一次，113楼可以说是耍你们玩简直。重复一次：MBR记录是完全无需卸载的！！！而且，非常多的病毒都可以写入硬盘的主引导区，有成千上万种病毒都可以写入，你的系统可能崩溃，那谁的硬盘就被病毒引导得物理损坏了？？？笑话。

【负面】

告诫大家：不要乱装影子2.8，否则你的硬盘将留下普通使用者无法清除的东西，不管你你怎么格式化都没用（除非低格重新初始化硬盘），而且影子系统装好后核心驱动嵌入Windows系统进程，还产生2个作用不大的进程（称之为假进程，中止了也没关系，它还会在起来），这种行为本身就会增加系统的不稳定性，更加无法卸载，普通人不重装系统根本无法解除影子的加载驱动，至于影子使用过程中会不会损伤硬盘，可以肯定地说，以目前影子的工作原理，长期在影子模式下使用肯定会对硬盘寿命产生影响，绝非危言耸听，不要相信LZ言论，他什么也不懂，根本说不出来所以然。顺便说一下，影子网站原先也有个论坛，后来让他给关了，知道为什么吗，因为有不少高手揭示了影子工作原理、一些流氓行为、及其对系统的影响，所以他的官方才不得不关了论坛。

【正面】

天大的笑话。说难听点，有哪个软件作者或者软件厂商敢推出以牺牲硬盘寿命为代价的程序？？？什么叫至今未见”上档次“的电脑书籍推荐为常规软件使用？去年和今年最近的，全中国发行量第一的电脑报已经有推荐，你自己去找找，你那些上档次的书不要看了。另外：你去大学看看教学书，XP都没提到过恐怕。该软件在国外是收取美金使用的，牺牲硬盘还要钱，外国人的确是猪看来。

1、再次说明：影子无可能造成硬盘损坏。

2、还在说修改硬盘主引导记录，你懂不懂啊老大？？？任何系统都可以修改主引导记录，你装2套XP就修改了，装个XP装个2000也修改了，只要是超过1套系统全部都会修改，世界上超过一万种病毒也都可以修改主引导记录，不是什么高深的东西，就是修改分区都会全部重新建立新的主引导记录，就象我们在注册表里加入一个启动项而已。

3、既然是虚拟系统，而且和真实操作系统毫无区别，那么必然用的各种进程，文件都与真实系统无二。退出必须重起，也就防止了任何病毒木马对关键部位的修改！

4、如果打system进程的主意，是可以破开影子系统保护的，不过好在目前没有什么病毒打system进程的主意，因为干掉他系统就会瘫痪，太过明显了，不利于病毒的隐蔽和继续扩散（尤其是木马程序，弄瘫你的系统怎么成，他还要偷东西呢）“

不好说你什么了简直，你即使在影子下破坏了system进程，系统重新启动又恢复如初，和没破坏有什么2样？好笑，搞笑，暴笑。

【负面】

真是可笑，你这家伙竟然会说出“（MBR）会写入，但没有任何伤害，也无需任何清除”你也太菜鸟了吧！！！！无知呀！！！！

请问你你分析过影子系统吗？你了解硬盘引导区是怎么回事吗（顶多你就知道用来引导系统）？你懂得应用层的软件修改MBR是一件多么无耻的事吗？你知道他往MBR里面写进的信息是什么吗？你了解影子怎么利用system进程吗？随便利用system进程就会减少一点系统的稳定性这个你明白吗？“打system进程的主意”你明白是什么意思吗？

简单的再说一点，2.8版的影子一旦你安装，通过正常卸载程序无法完全卸载，他残留的驱动仍然会在每次启动Windows时候进行加载，无法删除、无法终止，强行终止的话系统就会瘫痪，硬盘MBR中的信息仍会完整保留，非一般人能清除的，除非低格或者懂行的人手动清除（Fdisk、Ghost、重新安装系统等方法经测试也有残留），影子的残留将会伴随你的硬盘终生。注：2.6版的不会修改MBR。

【正面】

- 4 -

第一：你这家伙给我找个影子把硬盘引导得物理损坏了的硬盘来看看。能直接造成硬盘启动就物理损坏的软件在哪？

第二：他往里面写病毒了？病毒都不可怕吧。稳定？稳定不稳定因素很多，一个正常系统插上一个刚买的完好的摄像头就启动不了整个机器，你见过没？你用不了就不要用。

第三：我这里能良好卸载，但要在启动编辑里把完全保护那里手动删掉。根本就不存在你说的什么残留驱动要加载，现在无数软件都可以看到启动后各种XP服务，各种进程，你这个家伙去看看，服务里也好，进程里也好，哪里有？？？

第四：特意刚去看了官方介绍，官方说：影子系统不会修改硬盘的原有数据，包括MBR，使用后也不会有碎片和垃圾，完全可以保证硬盘原有数据完好如初。

第五：我将和影子官方联系，取得完整影子可以公开的技术资料，驳斥你的无知和无聊。

●数据保存不方便问题

【负面】

我并不是没有用过影子系统。每次开机都进入影子系统，那么你在影子系统里面的改动再次开机会消失。更改的设置也就没有办法保存下来了。

我曾经用过影子系统2个月，觉得这东西和Ghost一样，让懒惰的人更懒惰，让美好的事物变得阴暗。（个人观点，没有贬低影子系统的意思。只是觉得这东西有用，但是不能代替日常的使用。如果说影子是一个庇护伞，那么人不能总是躲着藏着）。

●软件自动上网问题

【个人】

在网上的网友使用报告当中我没发现有这个问题，但是我自己使用Zonealarm防火墙，它在开机上网一段时间之后会报告有这个进程要自动联网。无论是我选择允许或者拒绝，都不影响影子系统和其他软件的使用。个人猜测是有关升级检测或者使用者统计信息的作用？？

★★★网友使用报告★★★

●网友使用报告(负面)

【慎用影子系统+卸载影子系统经验大家当心！！！】

本文仅做技术讨论,本文所产生的后果本人概不负责

在论坛上经常碰到有人使用PowerShadow也遇到很多的受害者.今天我抽出时间专门就PowerShadow这个软件做简要的说明，以正视听。

PowerShadow作为一款还原类的软件,在国内的互联网很火,不少人认为我的系统装了PowerShadow是万事大吉,百毒不侵,互联网中也这么宣传。实际上这种说法是完全错误的.

装了PowerShadow真的是安全了吗?答案显然是否定的。

一、盗号木马面前PowerShadow束手无策

我们知道互联网中有一种广泛使用的木马叫盗号木马(所有人都该知道的)。盗号木马严格意义上说是一次性的木马,为什么呢?盗号木马以盗走你的特定的帐号密码为目的，一旦植入系统盗走你的帐号和密码后，木马完成了使命，你再去清理他,木马清理后，损失已经造成了，无法挽回了。然而你在PowerShadow的保 - 5 -

护下中了此类木马，因为影子是虚拟的系统而不是具有保护功能的防火墙，当你重启系统后，木马消失了同时帐号和密码已经在黑客的手中了。PowerShadow不但没有保护作用反而替黑客做了销毁证据的工作.

二、再坚固的保护依旧得敞开

大家经常会安装各式各样的软件,在PowerShadow的保护下安装是无法安装的,我们必须在正常的模式下安装软件,如果这时候安装包中捆绑了木马。你依旧会中木马,再启动PowerShadow的保护,除非你发现了否则这个木马会一直陪伴你。

三、先入为主

很多人喜欢在做完系统后，装上所有应该装的软件后，再装PowerShadow予以保护以求安全,如果你的应用软件不干净,结果会和第二点一样。

四、系统崩溃

PowerShadow和其他还原类软件一样,依旧存在系统崩溃的问题。有过崩溃经验的PowerShadow用户应该有过 开机后发现找不到**文件而不得已全部重装的经历。其实原因很简单PowerShadow还原出错，就会导致系统无法启动和文件目录丢失,而且PowerShadow改写了分区信息和引导程序数据，很容易造成系统崩溃。五、无法彻底卸载

如果通过简单的卸载程序进行卸载是无法卸载PowerShadow的。大家在卸载完PowerShadow以后用sreng软件看一下驱动程序，会发现依旧在running(运行)。用SREng在安全模式下删除或改动这个文件后，系统即崩溃，不能启动也不能进入安全模式。为啥呢?很简单这个文件的启动方式是boot start你在安全模式下删肯定会出问题的。然而PowerShadow卸载并没有还原修改的主引导.系统崩溃并不奇怪了。

有人问那咋卸载呢？有这么几种方式：

其中能彻底卸载影子的是低格和换硬盘。

低格就是debug,一般硬盘厂商有debug工具。下载后按照提示做.但是低格是很伤硬盘的。

除了上述两种办法,可以尝试用系统安装盘光驱引导后，进入安装界面删除所有的分区再建立新的分区，然后开始漫长的系统重装„„

其次有全盘ghost的用户可以尝试ghost还原，但是根据反馈的效果，依旧有部分残留。

对于仅仅格式化系统盘的用户，根据反馈的信息看是无法彻底卸载的。

附：受害者的帖子

因为我比较重视系统的干净，所以安装影子时就用TOTAL UNINSTALL（一下简称TU）做了安装日志。

看到坛里（中天）的朋友说影子不好，我对影子也没有多少的好感，我发现他一运行，硬盘就响得厉害，只是玩玩才装他的，我自己并不需要这么一个累赘系统，我相信自己+KV/Panda/McAfee任何一款软件，一般浏览网页中的病毒不会杀不掉的，再不行我就ghost，怕什么，呵呵。

那位朋友又提到影子不好卸，我想，用TU试试好了。

先运行影子自带的卸载，卸载很快，甚至都不要重启（安装时重启了啊），看来不老实，哼！

用TU，卸载发生一处错误，就是那个驱动sys，我重启。

再次用TU，那个sys被卸载掉了，我打开sreng，没有异常，的确被卸掉了。

但问题是，我再次重启后，开机就提示大概5，6个未知硬件设备需要安装驱动，我点击安装，当然找不到驱动了，哼，死东西，在这里等着呢，我清理了以下注册表（菜鸟没办法，虽然心知这招也不太管用），呵呵，随后看那几个未知设备的属性，都是ROOT_LEGACY_XXX，灵机一动，只要删掉这些注册表相关不就好了。哈哈。

他们的位置因为自己多次卸杀软很清楚——虽然不晓得这个地方的注册表是干什么的，知道的告诉我一声啊，路径是：HKLM_SYSTEM_CONTROLSET001_ENUM_ROOT_XXX

HKLM_SYSTEM_CONTROLSET002_ENUM_ROOT_XXX,HKLM_SYSTEM_CURRENTCONTROLSET_ENUM_ROOT_XXX，这几处基本是重复的内容，似乎一个是一个的备份之类的关系，但总之都删一遍比较好，然后我一一点开属性，找到相应的XXX位置，删？呵呵，没那么容易，你的权限不够，这个倒不是很担心，ICESWORD来，一一删除， - 6 -

但那些XXX的名字，我头比较昏，且有5，6个，记不大清了，大家自己去看吧，不过要小心，别删错了，呵呵。

删掉之后就好了，不弹出发现硬件无法驱动的提示了，那个很烦，这个办法大家看下，有用得着的就好了，我的目的也就达到了，bs一下影子。

●网友使用报告(正面)

【让病毒见鬼去吧！影子系统中文版深入评测】

/cn/art/

比较长，而且有图，提供网址，想看图和全部内容的自己去看。主要是证明影子系统有它标称的影子功能——这个其实现在是没有太大异议的。这篇文章的主要文字内容如下：

Powershadow会克隆本机内硬盘的某个分区或所有分区，并形成一个影子，称之为“影子模式”。它和主系统有着相同架构和功能，用户可以在影子模式下做相同的事。影子模式顾名思义，用户可以任意摧残系统，而影子却有着无限复活之身。用户可以删改文件、安装测试各种软件（包括流氓软件、病毒），可以在明显漏洞出现情况下，实现“裸奔”，最终实现使用系统后不留任何痕迹。

安装PowerShadow之后，该软件有几项重要操作：注册一个Windows服务；开机启动一个shadowtip的进程；修改配置文件实现开机时“正常模式”与“影子模式”的选择。当你开启影子模式，PowerShadow会生成一个文件，记录相关信息。

PowerShadow可以选择保护不同的分区，有单一影子模式与完全影子模式之分。

危险操作测试

使用PowerShadow的影子模式到底能不能保证系统的金刚不败之身呢？相信只有实践才能证明一切：

1、删改文件

在启动单一影子模式后，笔者删改了C盘系统分区下的许多文件（包括文档数据、程序文件、Windows下的dll文件、system32下的系统文件），恢复到正常模式后，发现一切被删改的文件恢复如初。

2、安装风险软件

为了更一步测试安全性，笔者在单一影子模式下安装了几个网上流行的流氓软件：Yahoo助手、搜狗直通车、CNNIC中文上网工具条。安装后，面目全非的IE浏览器样子：

再一次回到正常模式下，我的IE浏览器简洁如初：

3、打开病毒文件

在单一影子模式下，笔者打开了含有大量病毒样本的病毒包，其中含有危害程度最大的CIH病毒。在杀毒软件没做任可处理的情况下，笔者卸载了杀毒软件。再重新进行正常模式，结果一切恢复正常状态，系统毫发不损。

4、上网“裸奔”

上网裸奔是电脑爱好者的梦想，但是却往往因为裸奔造成大量的系统伤害，不得不花时间手工处理一些病毒木马。笔者使用影子系统进行了长达两天的裸奔试用，结果发现，一旦回到正常状态，原系统依旧如初。

小评：可见PowerShadow的安全性相当的强。影子模式启动后，应用层上只有一个功能，就是关闭影子系统。因此任何应用层上的程序都无法针对powershadow实施对于任何受影子模式保护文件的攻击。要损害系统的唯一方法只能是启动正常模式。

●网友使用报告(网络帖子问答，正负意见皆有)

问：“一个和还原精灵类似的软件,被吹的五花八门,如果一切都是虚拟的,又不损硬盘,那我是不是又要去买两条2G的内存?”

- 7 -

答：如果使用的时候调出WIN任务管理器你自己看看他的内存占用是多少，甚至不到运行一个QQ的一半！！！512M也能完美运行！！！

问：“没人会天天GHOST,也就没人天天还原系统盘,我们是在家上网,不是在网吧,不装杀毒软件,又不还原其它盘,中了Autorun类型的软件也是一样,要是中了蠕虫就更不用说了,难道LZ真的没见过funlove?对于不懂电脑和电脑知识较弱的人来说,杀毒软件就是最好的看门狗,"裸奔"迟早要吃亏的~。”

答：“我简直无语！从影子启动开始，影子建立系统盘或者全部盘“镜像”，任何病毒，木马，"funlove"表面上可以使你系统完全损坏，但是重新启动机器后，什么都没发生过。你还没搞懂影子的原理是什么，更不知道影子是怎么工作的，说白一点，你还很缺乏电脑知识。所有病毒木马，你所说的AUTORUN根本就没有写入系统，重新启动时根本不会运行，因为硬盘上根本就没这个数据，我想吐血。”

问：“另外,懂点电脑的人都应该知道，不能听信软件商的宣传,一切都得自己去思考，流氓软件当初谁说自己是流氓了?不都一样吹的天花乱坠，还原类软件原理都是大同小异的，数据最终还是写在硬盘上的，除非你真用内存虚拟硬盘~”

答：“前半部分观点我表示非常同意。不过，用过和没用过一个东西的人对同一个东西的认识和理解区别是很大的。后半部分不大同意，首先目前大家的机器估计都比我好，我的是赛羊900，SDR512M，MX400，就这样的机器运转如飞，运行影子绝不影响我玩魔兽。完美世界这样的国产大作在程序代码优化上远远不如WOW，但在我机器上开影子仍旧运行良好。最后，补充下第2点那里，不知道你玩游戏的不？刚我在第四点那里提到：WOW和完美从画面来看几乎同数一个档次的游戏，只不过一个国产一个外国，画风不同而已，但在实际运行中，WOW对机器不论兼容性还是画面质量还是运行速度等方面全部要超过完美世界。这就是好程序要胜过差那么一点的程序的原因，也是程序为什么要不断升级和优化代码的原因之一。”

★★★网友使用体会和技巧★★★

1.系统盘的一些数据是经常需要更新的，装了影子重启后更新就没有了，很麻烦，比如收藏夹、我的文档、桌面这三样。这里教大家一个简单实用的办法：在系统盘里找到这三个文件夹，一般在Documents and

Settingsxxx里(xxx是你的用户名)。然后剪切，在非系统盘了建立一个目录，把上述文件夹粘贴进去。有人会说这样很傻，系统还会在系统盘建立目录。其实他们太小看windows了，windows会随着你剪切粘贴的操作将注册表改变指向，不信你剪切粘贴完了后打开注册表进入HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders看看，是不是路径已经改变了啊?

2.一些经常要更新的应用软件比如QQ什么的，可以在影子模式下装到非系统盘，不但更新方便还可以得到绿色版的哦。当然有些软件需要更改注册表的就要在正常模式下安装了。有些软件不用经常更新的比如RAR什么的，就放心装系统盘吧。

3.在装影子之前最好重新做个系统，一定要干净，这样才能保证你每次启动电脑都是最快的哦。

当前的网络环境真是非常混乱，处处充满陷阱。对于像笔者这样的经常需要上网搜索资料的工作来说，经常是干干净净的系统没有用两天，就莫名其妙的装上了各种流氓软件，影子系统以一个非常轻盈的方式解决了这些让人痛苦的烦恼，让人不得不佩服开发者的创意和创新。

- 8 -

★★★硬盘还原卡简介★★★

●原理篇

硬盘还原卡也称硬盘保护卡，在教育、科研、设计、网吧等单位使用较多。它可以让电脑硬盘在大多情况下非物理损坏，恢复到最初的样子。换句话说，不管是病毒、误改、误删、故意破坏硬盘的内容等，都可以轻易地还原。

还原卡的主体是一种硬件芯片，插在主板上与硬盘的MBR（主引导扇区）协同工作。大部分还原卡的原理都差不多，其加载驱动的方式十分类似DOS下的引导型病毒：接管BIOS的INT13中断，将FAT、引导区、CMOS信息、中断向量表等信息都保存到卡内的临时储存单元中或是在硬盘的隐藏扇区中，用自带的中断向量表来替换原始的中断向量表；再另外将FAT信息保存到临时储存单元中，用来应付我们对硬盘内数据的修改；最后是在硬盘中找到一部分连续的空磁盘空间，然后将我们修改的数据保存到其中。

每当我们向硬盘写入数据时，其实还是写入到硬盘中，可是没有真正修改硬盘中的FAT。由于保护卡接管INT13，当发现写操作时，便将原先数据目的地址重新指向先前的连续空磁盘空间，并将先前备份的第二份FAT中的被修改的相关数据指向这片空间。当我们读取数据时，和写操作相反，当某程序访问某文件时，保护卡先在第二份备份的FAT中查找相关文件，如果是启动后修改过的，便在重新定向的空间中读取，否则在第一份的FAT中查找并读取相关文件。删除和写入数据相同，就是将文件的FAT记录从第二份备份的FAT中删除掉。

●安装篇

现在市面上硬盘还原卡种类很多，大多是PCI总线，采用了即插即用技术，不必重新进行硬盘分区，而且免装驱动程序。安装时把卡插入计算机中任一个空闲的PCI扩展槽中，开机后检查BIOS以确保硬盘参数正确同时将BIOS中的病毒警告设置为Disable。在进入操作系统前，硬盘还原卡会自动跳出安装画面，先放弃安装而进入Windows，确保计算机当前硬件和软件已经处于最佳工作状态，建议检查一下计算机病毒，确保安装还原卡前系统无病毒。最好先在Windows里对硬盘数据作一下碎片整理。杀毒软件的实时防毒功能、各种基于Windows的系统防护/恢复软件的功能已经完全或者部分地被还原卡包含，建议关闭或不安装或卸载。

重启后安装还原卡，并设置还原卡的保护选项（具体设置因还原卡不同而异）。但大多都应有以下几项：硬盘保护区域设定、还原方式设定（包括开机自动恢复、选择恢复和定时恢复等）、密码设定等。设置完毕，保护数据后，整个硬盘就在还原卡的保护之下了。

★★★关于百度贴吧上的争论★★★

【正面】

那些在论坛里和贴吧里到处散布谣言辱骂和诋毁影子系统的枪手们，你们觉得你们整天做的这些无聊的事情很有意义吗？一天到晚到处吹你们主子的杀软多好多好，却不用点心去开发和增强你们的杀软，一点心不操，就会吹，一个比一个垃圾，被你们骗了钱的网民们有苦难言，你们觉得骗钱很应该很正确吗？如果换成是你，被骗钱去用一些吹起来很厉害，实际上却很垃圾的杀软，造成更多的损失，你们会怎样？就为了一点钱？为了一点钱，你们每天“不辞辛苦”的跑遍各个BBS和贴吧，到处散播谣言，辱骂和诋毁任何一个可能会抢了你们饭碗的软件产品，而且越是好的软件你们越是要针对它，从来不管这些产品对我们普 - 9 -

通网民有多大帮助和好处！只管骂，竭尽全力的骂，骂了你们就舒服了，过瘾了，而且还有那些黑心的垃圾软件的作者和公司分钱给你们！就为了一点钱，你们日复一日的吹嘘你们的垃圾产品多强（骗一个算一个？），一个地一个地的造谣和辱骂威胁到你们利益的（更多的是你们那些黑心的主子的利益）好软件，刻意编造对广大网民有用的好软件的所谓“种种问题”，你们日复一日的骂，日复一日的骗，这样的工作真的很有意思？

我想说的是，那些还整天泡在吧里到处造谣和漫骂的枪手们，你们如果有才华，为什么不干点对自己将来和对广大用户们有好处的事情，为什么一定得“坚持”这样的工作，你们不觉得很缺德，很无聊吗？你们是不是应该做点有价值的事情，不好比为了一点钱，干这些缺德又见不得人的事情强吗？

不好意思，言辞有些激烈，希望良知尚存的枪手们，能够明白自己做的这些事情对广大人民太缺德了（实在找不到其他可以形容的词汇了），可以做点好事，也是为了你们自己。如果实在是为了一点钱什么坏点子都想得出，什么缺德事都愿意干，那是你们做人的素质问题，那我也无话可说了。

最后也希望看不惯网上的那些枪手所做所为的人们可以顶我一下，谢谢！

【正面】

刷屏有意思吗？泼妇骂街能有多大用？

还网民一个真正的交流空间！

来，跟我念：如果谁是枪手，受指使来诋毁影子系统谁就全家死光光。

【负面】

你才是影子系统公司的走狗！

我苦口婆心的讲影子系统的危害，是为大家好，不介意别人骂我，我觉得做事对得起良心，我懂技术，所以敢来打假。你不懂技术，用这些产品，这是你的自由。

我和影子没仇。我只是讲真相。

用影子系统，你自己就等着变猪头吧！

【负面】——百度影子系统帖吧标题精选〖截至2007年4月27日〗

我的机器蓝屏了，怎么办啊。

我的网速慢了，怎么办啊。

我的机器烂屏了，怎么办啊。

我的硬盘死了，怎么办啊。

珍惜硬盘，远离影子，不信我会变猪头的。

珍惜生命，远离影子，不信我你早晚变猪头。

影子系统，硬盘破坏大师。

破烂的影子系统——硬盘拷贝速度特别慢。

CPU有点卡，是不是影子系统给我添乱？

装了影子系统我的网络也变慢了，怎么回事呢？

我的CPU特别热

气愤！我的高性能的机器装了影子就变低性能了

相信影子系统的，脑子有问题。

影子系统真好，把我的cpu搞到百分之百。

谁再敢说影子系统好，我一P臭死他。

装影子系统，立马死机卡机，说了你不信，你装猪头啊。

用影子系统？脑袋有包啊？

给你说你不信，用影子系统变猪头！

影子系统＝硬盘杀手系统，用者是猪头。

- 10 -

用影子系统？求求你，动动你的猪脑吧。

远离毒品，远离影子系统。

想不丢数据，请卸载超级木马：影子系统。

天啊，我的笔记本，装了影子系统一周，硬盘就彻底坏了。

我只是讲真相——影子系统的真相，不信我的是猪头。

谁用影子系统谁傻X

拿我们用户当实验品吗？婊子养的？硬盘坏了怎么办。

来自日本的病毒，蓝屏专家：影子系统。

今天你蓝了没有？影子系统让你蓝屏蓝个够！

邪恶的影子系统。

气吞山河万里蓝屏无影子，忽悠华夏千夫所指是还原，求横批。

一天蓝5次，谁用谁难受。

蓝屏无影子，影子有蓝屏。

傻X才用影子系统。

谁用影子系统谁是傻蛋。

要找死，用影子。

千万别用！

安装影子系统可能会导致主板损坏。

安装影子系统可能会导致内存损坏。

安装影子系统可能会导致硬盘损坏。

安装影子系统可能会导致光驱损坏。

安装影子系统可能会导致前列腺损坏。

安装影子系统可能会导致防盗门损坏。

安装影子系统可能会导致显卡损坏。

安装影子系统可能会导致电冰箱损坏。

- 11 -