关于PowerShadow Master的介绍型文章,广大网友的给予了高度关注并提出了许多疑问。为了更全面地了解PowerShadow Master,笔者为读者“赴汤蹈火”,利用PowerShadow Master(下简称PowerShadow)进行了一些高危险性操作,从而测试其关键功能的安全性,并进行深入评析。希望笔者的意见能给大家带来参考价值。
软件原理浅析
Powershadow会克隆本机内硬盘的某个分区或所有分区,并形成一个影子,称之为“影子模式”。它和主系统有着相同架构和功能,用户可以在影子模式下做相同的事。影子模式顾名思义,用户可以任意摧残系统,而影子却有着无限复活之身。用户可以删改文件、安装测试各种软件(包括流氓软件、病毒),可以在明显漏洞出现情况下,实现“裸奔”,最终实现使用系统后不留任何痕迹。
| 软件名称: | PowerShadow Master |
| 软件版本: | 2.6.0511 |
| 软件大小: | 3.18MB |
| 软件授权: | 免费 |
| 适用平台: | Windows XP/2000/2003 |
| 下载地址: |
安装PowerShadow之后,该软件有几项重要操作:注册一个Windows服务;开机启动一个shadowtip的进程;修改boot.ini配置文件实现开机时“正常模式”与“影子模式”的选择。当你开启影子模式,PowerShadow会生成一个ShadowService.txt文件,记录相关信息。
PowerShadow可以选择保护不同的分区,有单一影子模式与完全影子模式之分:
图一 PowerShadow的两种影子模式
危险操作测试
使用PowerShadow的影子模式到底能不能保证系统的金刚不败之身呢?相信只有实践才能证明一切:
1、删改文件
在启动单一影子模式后,笔者删改了C盘系统分区下的许多文件(包括文档数据、程序文件、Windows下的dll文件、system32下的系统文件),恢复到正常模式后,发现一切被删改的文件恢复如初。
2、安装风险软件
为了更一步测试安全性,笔者在单一影子模式下安装了几个网上流行的流氓软件:Yahoo助手、搜狗直通车、CNNIC中文上网工具条。安装后,面目全非的IE浏览器样子如图二:
图二 安装了流氓软件后的Internet Explorer
图三 回到正常模式后的Internet Explorer
在单一影子模式下,笔者打开了含有大量病毒样本的病毒包,其中含有危害程度最大的CIH病毒。在杀毒软件没做任可处理的情况下,笔者卸载了杀毒软件。再重新进行正常模式,结果一切恢复正常状态,系统毫发不损。
图四 在影子模式下,打开了大量的病毒文件(包括CIH病毒)
上网裸奔是电脑爱好者的梦想,但是却往往因为裸奔造成大量的系统伤害,不得不花时间手工处理一些病毒木马。笔者使用影子系统进行了长达两天的裸奔试用,结果发现,一旦回到正常状态,原系统依旧如初。
最后,笔者将种种在影子系统下进行的危险行为汇总于下表:
| 操作内容 | 危害程度 | 危险后果 | 是否成功保护 |
| 删改文件 | 高 | 重要文件丢失、程序无法运行、操作系统无法启动。 | 是 |
| 完装风险软件 | 中 | IE浏览器劫持、出现广告、无法卸载、影响正常使用、浪费系统资源。 | 是 |
| 打开病毒文件 | 高 | 系统崩溃、文件丢失、系统缓慢等一系列无法预测的危害。 | 是 |
| 上网“裸奔” | 高 | 个人隐私不安全、被流氓软件入侵、感染病毒、黑客入侵、无法预测的攻击。 | 是 |
