让病毒见鬼去吧！影子系统中文版深入评测

　　上周，软件资讯发布了关于PowerShadow Master的介绍型文章“PowerShadow Master:免费的Ghost?”，广大网友的给予了高度关注并提出了许多疑问。为了更全面地了解PowerShadow Master，笔者为读者“赴汤蹈火”，利用PowerShadow Master(下简称PowerShadow）进行了一些高危险性操作，从而测试其关键功能的安全性，并进行深入评析。希望笔者的意见能给大家带来参考价值。

软件原理浅析

　　Powershadow会克隆本机内硬盘的某个分区或所有分区，并形成一个影子，称之为“影子模式”。它和主系统有着相同架构和功能，用户可以在影子模式下做相同的事。影子模式顾名思义，用户可以任意摧残系统，而影子却有着无限复活之身。用户可以删改文件、安装测试各种软件（包括流氓软件、病毒），可以在明显漏洞出现情况下，实现“裸奔”，最终实现使用系统后不留任何痕迹。

　　安装PowerShadow之后，该软件有几项重要操作：注册一个Windows服务；开机启动一个shadowtip的进程；修改boot.ini配置文件实现开机时“正常模式”与“影子模式”的选择。当你开启影子模式，PowerShadow会生成一个ShadowService.txt文件，记录相关信息。

　　PowerShadow可以选择保护不同的分区，有单一影子模式与完全影子模式之分：

　　
图一 PowerShadow的两种影子模式

危险操作测试

　　使用PowerShadow的影子模式到底能不能保证系统的金刚不败之身呢？相信只有实践才能证明一切：

　　1、删改文件

　　在启动单一影子模式后，笔者删改了C盘系统分区下的许多文件（包括文档数据、程序文件、Windows下的dll文件、system32下的系统文件），恢复到正常模式后，发现一切被删改的文件恢复如初。

　　2、安装风险软件

　　为了更一步测试安全性，笔者在单一影子模式下安装了几个网上流行的流氓软件：Yahoo助手、搜狗直通车、CNNIC中文上网工具条。安装后，面目全非的IE浏览器样子如图二：

　　
图二 安装了流氓软件后的Internet Explorer

　　再一次回到正常模式下，我的IE浏览器简洁如初：

　　
图三 回到正常模式后的Internet Explorer

　　3、打开病毒文件

　　在单一影子模式下，笔者打开了含有大量病毒样本的病毒包，其中含有危害程度最大的CIH病毒。在杀毒软件没做任可处理的情况下，笔者卸载了杀毒软件。再重新进行正常模式，结果一切恢复正常状态，系统毫发不损。

　　
图四 在影子模式下，打开了大量的病毒文件（包括CIH病毒）

　　4、上网“裸奔”

　　上网裸奔是电脑爱好者的梦想，但是却往往因为裸奔造成大量的系统伤害，不得不花时间手工处理一些病毒木马。笔者使用影子系统进行了长达两天的裸奔试用，结果发现，一旦回到正常状态，原系统依旧如初。

　　最后，笔者将种种在影子系统下进行的危险行为汇总于下表：

　　小评：可见PowerShadow的安全性相当的强。影子模式启动后，应用层上只有一个功能，就是关闭影子系统。因此任何应用层上的程序都无法针对powershadow实施对于任何受影子模式保护文件的攻击。要损害系统的唯一方法只能是启动正常模式。