影子系統的缺點
PowerShadow作為一款還原類的軟件在國內的互聯網很火不少人認為我的系統裝了PowerShadow是萬事大吉百毒不侵互聯網中也這麼宣傳實際上這種說法是完全錯誤的
裝了PowerShadow真的是安全了嗎?答案顯然是否定的
一 盜號木馬面前PowerShadow束手無策
我們知道互聯網中有一種廣泛使用的木馬叫盜號木馬(所有人都該知道的)盜號木馬嚴格意義上說是一次性的木馬為什麼呢? 盜號木馬以盜走你的特定的帳號密碼為目的一旦植入系統盜走你的帳號和密碼後 木馬完成了使命你再去清理他木馬清理後 損失已經造成了無法挽回了 然而你在PowerShadow 的保護下中了此類木馬因為影子是虛擬的系統而不是具有保護功能的防火牆當你重啟系統後木馬消失了同時帳號和密碼已經在黑客的手中了 PowerShadow不但沒有保護作用反而替黑客做了銷毀證據的工作
二 再堅固的保護依舊得敞開
大家經常會安裝各式各樣的軟件在PowerShadow的保護下安裝是無法安裝的我們必須在正常的模式下安裝軟件如果這時候安裝包中捆綁了木馬你依舊會中木馬再啟動PowerShadow的保護除非你發現了否則這個木馬會一直陪伴你
三 先入為主
很多人喜歡在做完系統後 裝上所有應該裝的軟件後 再 裝PowerShadow 予以保護以求安全如果你的應用軟件不干淨結果會和第二點一樣
四 系統崩潰
PowerShadow 和其他還原類軟件一樣依舊存在系統崩潰的問題有過崩潰經驗的PowerShadow用戶應該有過 開機後發現找不到**文件而不得已全部重裝的經歷其實原因很簡單 PowerShadow還原出錯就會導致系統無法啟動和文件目錄丟失而且PowerShadow改寫了分區信息和引導程序數據很容易造成系統崩潰
五 無法徹底卸載
如果通過簡單的卸載程序進行卸載是無法卸載PowerShadow的大家在卸載完PowerShadow以後 用sreng軟件 看一下驅動程序 會發現 snpshotsys依舊在 running(運行) 用SREng在安全模式下刪除或改動這個文件後系統即崩潰不能啟動也不能進入安全模式為啥呢?很簡單這個文件的啟動方式是boot start 你在安全模式下刪 肯定會出問題的然而PowerShadow卸載並沒有還原修改的主引導系統崩潰並不奇怪了
影子系統卸載方法
有人問怎麼卸載影子系統有這麼幾種方式
其中能徹底卸載影子的是低格和換硬盤…
低格就是debug一般硬盤廠商有debug工具 下載後按照提示做但是低格是很傷硬盤的
除了上述兩種辦法 可以嘗試用系統安裝盤光驅引導 後 進入安裝界面刪除所有的分區再建立新的分區 然後開始漫長的系統重裝……
其次有全盤ghost的用戶可以嘗試 Ghost還原 但是根據反饋的效果 依舊有部分殘留
對於僅僅格式化系統盤的用戶 根據反饋的信息看 是無法徹底卸載的
我對影子也沒有多少的好感我發現他一運行硬盤就響得厲害只是玩玩才裝他的我自己並不需要這麼一個累贅系統我相信自己+KV/Panda/McAfee任何一款軟件一般浏覽網頁中的病毒不會殺不掉的再不行我就Ghost怕什麼呵呵
朋友又提到影子不好卸我想用TU試試好了
先運行影子自帶的卸載卸載很快甚至都不要重啟(安裝時重啟了啊)看來不老實哼!
用TU卸載發生一處錯誤就是那個驅動sys我重啟
再次用TU那個sys被卸載掉了我打開sreng沒有異常的確被卸掉了
但問題是我再次重啟後開機就提示大概個未知硬件設備需要安裝驅動我點擊安裝當然找不到驅動了哼死東西在這裡等著呢我清理了以下注冊表(菜鳥沒辦法雖然心知這招也不太管用)呵呵隨後看那幾個未知設備的屬性都是ROOT_LEGACY_XXX靈機一動只要刪掉這些注冊表相關不就好了哈哈
他們的位置因為自己多次卸殺軟很清楚——雖然不曉得這個地方的注冊表是干什麼的知道的告訴我一聲啊路徑是HKLM_SYSTEM_CONTROLSET_ENUM_ROOT_XXX
HKLM_SYSTEM_CONTROLSET_ENUM_ROOT_XXXHKLM_SYSTEM_CURRENTCONTROLSET_ENUM_ROOT_XXX這幾處基本是重復的內容似乎一個是一個的備份之類的關系但總之都刪一遍比較好然後我一一點開屬性找到相應的XXX位置刪?呵呵沒那麼容易你的權限不夠這個倒不是很擔心ICESWORD來一一刪除但那些XXX的名字我頭比較昏且有個記不大清了大家自己去看吧不過要小心別刪錯了呵呵
刪掉之後就好了不彈出發現硬件無法驅動的提示了那個很煩這個辦法大家看下有用得著的就好了我的目的也就達到了bs一下影子
From:http://tw.wingwit.com/Article/Common/201311/8240.html
