影子系统还原精灵等软件对比和分析

影子系统、还原精灵等软件的对比和分析

……………………………………………………………计划：

1. 首先通过上网或相关书籍，查找并了解影子系统等相关软件；

2. 在网络上搜索和下载影子系统、还原精灵软件，并下载一些与之同类型的

软件；

3. 用虚拟机安装下载下来的软件；

4. 查看这些软件，了解他们的基本功能和应用功能等；

5. 用相关工具对这些系统软件进行测试和分析，并总结分析它们的共同点和

主要区别（截图）；

6. 查找影子系统、还原精灵等软件的功用（网上或书籍），对它们再进行完

整的测试（截图）；

7. 把了解到的各软件的信息统计；

8. 操作实训报告。………………………………………………………….

相关资料：

（一）一键还原精灵：

简介：

一键还原精灵，是一款傻瓜式的系统备份和还原工具。它采用GHOST为内核，备份还原系统快捷稳定。实现一键傻瓜化操作，并可灵活选择热键。不修改硬盘分区表，安装卸载倍加放心。自动选择备份分区，无需担心空间是否够用。智能保护备份镜像文件，防止误删及病毒入侵。独立运行DOS系统下，绝不占用系统资源。完美支持多个分区备份还原及设置永久还原点。可设置二级密码保护，确保软件使用安全。

安装/升级方法：

1.注意：安装一键还原精灵专业版需满足以下条件：

(1)、操作系统为WIN 2000/XP/2003/Server/NT(不支持WIN95/98/ME 及VISTA系统，另外版本支持这些系统)

（2）、硬盘上必须有两个以上分区

双击setup.exe后出现下图界面，按提示安装即可。

2.安装方法：

强烈建议在刚安装好系统且其它分区上没有数据时安装本软件，否则请在安装前务必对硬盘分区进行表面扫描及碎片整理，扫描方法见帮助说明问题解答第1问；

双击“setup.exe”文件，按提示安装，重新启动电脑后进入正式安装界面(图1)。如果按ESC键则进入高级安装模式（图2）。点击工具箱后出现界面（图3）。

(说明：[ ]内的表示快捷键)

图1

图2

图3

在工具箱中的功能：其中“备份\恢复分区表”：可以备份或恢复硬盘分区表。重要：请不要随意恢复分区表，否则一键还原精灵将失效！另外程序在安装时会自动备份分区表，因此一般情况下毋须备份。“更改进入键”：选择此项，在开机进入一键还原精灵时快捷键为F9

键，而不是默认的F11键。注意：必须在选择动态分区版、覆盖安装、安装方案二之前选择此项才能生效。

“安装方案二”选项说明：只有在主界面的“固定分区版”和“动态分区版”及“覆盖安装”安装不成功且已参照帮助说明问题解答第1问进行处理后仍不能安装时，才此方案进行安装（注意如果要卸载时请先在WINDOWS下对C分区查错，查错方法参见问题解答第1问）。一般情况下(尤其是双系统)请不要用此方案安装。

覆盖安装方法：

①硬盘是用SFDISK工具分区的；

②安装不成功且已参照帮助说明问题解答第1问进行处理后仍不能安装的。

在工具箱中创建的修复盘启动后如下图：

重启后，按F11键进入一键还原精灵.

卸载方法：

提供2种方法卸载：

1、用安装程序中的工具箱（见图3）里的“卸载精灵”选项(如果设置了管理员密码则需输入管理员密码方可卸载)。

2、按F11键进入一键还原精灵后，在高级设置中选择“卸载精灵”选项。

注意：卸载前建议进入WINDOWS对最后一个分区及倒数第二个分区查错（如果是采用安装方案二安装的还要对C分区进行查错）。（二）影子系统：

简介：

R-Studio(影子系统的一个版本软件) 是功能超强的数据恢复、反删除工具，采用全新恢复技术，为使用FAT12/16/32、NTFS、NTFS5(Windows 2000系统)和Ext2FS(Linux系统)分区的磁盘提供完整数据维护解决方案！同时提供对本地和网络磁盘的支持，此外大量参数设置让高级用户获得最佳恢复效果。具体功能有：采用Windows 资源管理器操作界面；通过网络恢复远程数据(远程计算机可运行Win95/98/ME/NT/2000/XP、Linux、UNIX 系统)；支持FAT12/16/32、NTFS、NTFS5 和Ext2FS文件系统；能够重建损毁的RAID阵列；为磁盘、分区、目录生成镜像文件；恢复删除分区上的文件、加密文件(NTFS 5)、数据流(NTFS、NTFS 5)；恢复FDISK或其它磁盘工具删除过得数据、病毒破坏的数据、MBR 破坏后的数据；识别特定文件名；把数据保存到任何磁盘;浏览、编辑文件或磁盘内容等等。

安装：

1.操作要求

影子系统支持的操作系统有：Windows 2000、Windows XP、Windows 2003。目前最新版本可以支持Windows Vista和Windows 7。

2、硬件要求

新版的影子系统已经有很强的兼容性，使用影子系统没有特殊的硬件要求。建议配置：CPU 的速度为 133 MHz 或更高，内存容量：128 MB 以上安装影子系统需要 20 MB 硬盘空间，建议系统分区的剩余空间在 256 MB 以上。

3、安装步骤

（1）.进入影子系统的安装向导;

（2）.安装完成后，重启电脑。

安全体验。

卸载

出现错误后，怎么卸载影子系统？

无论使用的是什么版本，都是有办法可以卸载的。如果开机时没有菜单项可以选择，也不能正常进入系统，请按按F8进入高级系统启动选项单选在最后一次正确配置启动系统，然后卸载。

1.通常情况开机时选择进入正常模式，然后从控制面板

影子系统

的添加删除程序里卸载影子系统。

2.如果启动项丢失，不能进入正常模式，则要视自己使用的版本而定，采取不同的方法来卸载。

a. 如果使用的是最新的影子系统，无论是试用版还是其他版本，可以打开桌面上的影子系统控制台，点击“重启进入正常模式”这个按钮，重启后从添加删除程序里卸载影子系统。

b. 如果是试用版，在完全影子模式下把计算机时间调到一个让影子系统的时间（时间是记录在主板上的，在完全影子模式下可以调），然后重启，仍然选完全影子模式进入，进入后，就可以卸载了。要从添加删除程序里卸载，千万不要用其他工具软件来卸载，会卸载不干净。

对比

还原精灵：

常见问题：

1、建议在刚安装好系统且其它分区上没有数据时安装本软件，否则请在安装前务必对硬盘进行表面扫描及碎片整理。

2、还原功能将覆盖您C盘的数据，请自行做好对数据的备份。

3、如果您的电脑安装了多系统引导软件，或其它与一键还原精灵类似的软件，请先将其移除后再安装本软件以免造成软件冲突。

4、软件不支持双系统，若需支持双系统的版本请下载一键还原精灵个人版。

5、安装前请将BIOS中的病毒警告选项关闭。如果你的硬盘超过137G 且安装后一键还原精灵不能正常使用，请进入BIOS将硬盘模式设置成兼容模式：Compatible Mode 。

6、如果硬盘有什么问题请用安装程序工具箱中的“备份\恢复分区表”选项恢复分区表（或网上下载GDISKGEN重建分区表）。

优点：

★安装傻瓜，明了简约实现一键安装，傻瓜化操作。

★操作简单，保密可靠只须按F11键即可还原系统，并设置二级密码保护。

★安全高效，性能稳定以GHOST为内核开发，具有安全、稳定、快速特点。

★节约空间，维护方便手动自动选择备份分区大小，同时高压缩备份文件。

★独立运行，兼容性好不占用系统资源，支持多分区格式及Windows系统。

★快速还原，昨日重现若感染病毒木马或系统崩溃，快速恢复到健康状态。

缺点:

1、只能记录一个还原点；

2、引导区容易出现错误；

3、会被病毒感染，从而恢复系统也恢复不掉病毒，例如最近流行的威金病毒，熊猫等病毒都会使这类软件失去作用。

温馨提示

1、安装一键还原精灵后不得更改硬盘分区数量(如现在有三个分区，再用PQ等软件改成四个分区)和用PQ等软件隐藏硬盘某个分区，否则将导致本软件失效。如确要更改或隐藏分区，请先卸载一键还原精灵。

2、一键还原精灵是只对C盘做备份的软件，对其他盘不做，是可以保留的。

3、不得格式化硬盘上所有分区，否则一键还原精灵可能失效。

4、如果硬盘上有隐藏分区，则在“多分区备份还原”选项看到的分区符号与WINDOWS下的将不一致，切勿混淆了盘符否则将恢复出错！

5、如果用户的硬盘超过137G且安装后一键还原精灵不能正常使用，请启用SATA补丁或进入BIOS将硬盘模式设置成兼容模式：CompatibleMode

影子系统：

影子系统可以为你解决哪些电脑问题？

1.失误操作：误删除文件、系统出现问题、程序出错造成重要文件丢失，需要找人解决甚至重装系统；

2.病毒袭击：网上新病毒层出不穷，杀毒软件无法彻底解决问题；

3.人为破坏：在网吧等公用机房，电脑可能会遭到人为的破坏或随意安装未经许可的软件，增加维护人员工作负担；

4.其它问题，在使用电脑中，我们很可能会进行以下一些操作：试用新软件、不小心进入带毒网站、打开邮件附件等，也会因此给电脑带来无法轻易解决的病毒等破坏性问题。

影子系统与普通安全软件的区别：

普通安全软件的做法是电脑在中毒后升级病毒库清除病毒，但这种做法的弊端是如果遇到新病毒的来袭，普通安全软件就没有招架之力了，用户通常要等待其升级病毒库后才能查杀病毒。影子系统

则是防毒，病毒攻击的不是真实的电脑操作系统，如果用户发现病毒症状，只需重启机器就恢复正常状态了，影子系统可以有效防范任何病毒。

影子系统与还原类软件的区别：

普通还原软件很容易被病毒破坏。而影子系统基于操作系统虚拟化技术，在虚拟出来的空间里运行，病毒的破坏也是无效的。病毒无法对影子系统造成破坏。

空间占用：普通安全软件占用磁盘空间较高，比如每个ghost文件会占用1G到2G大小不等空间，如果采用隐藏分区技术，根据各个厂家系统压缩比的不同，需要占用5G到10G的磁盘空间。除去安装需要占用的空间，影子系统在运行的时候不需要占用磁盘空间。此外影子系统也不影响系统性能。

测试项目：杀毒软件影子系统

CPU占用率10%~40% 1%~7%

内存消耗10M~50M 2M~3M

占用电脑性能10%~40% 1%

缺点

PowerShadow作为一款还原类的软件，在国内的互联网很火，不少人认为我的系统装PowerShadow是万事大吉，百毒不侵，互联网中也这么宣传。实际上这种说法是完全错误的。装了PowerShadow 真的是安全了吗？答案显然是否定的。

1、盗号木马面前PowerShadow束手无策

我们知道互联网中有一种广泛使用的木马叫盗号木马(所有人都该知道的)。盗号木马严格意义上说是一次性的木马，为什么呢？盗号木马以盗走你的特定的帐号密码为目的。一旦植入系统盗走你的帐号和密码后木马完成了使命。你再去清理他，木马清理后损失已经造成了，无法挽回了。然而你在PowerShadow 的保护下中了此类木马，因为影子是虚拟的系统而不是具有保护功能的防火墙，当你重启系统后，木马消失了同时帐号和密码已经在黑客的手中了。PowerShadow不但没有保护作用反而替黑客做了销毁证据的工作。2、再坚固的保护依旧得敞开

大家经常会安装各式各样的软件，在PowerShadow的保护下安装是无法安装的，我们必须在正常的模式下安装软件，如果这时候安装包中捆绑了木马。你依旧会中木马，再启动PowerShadow的保护，除非你发现了否则这个木马会一直陪伴你。

3、先入为主

很多人喜欢在做完系统后装上所有应该装的软件后再装PowerShadow 予以保护以求安全，如果你的应用软件不干净，结果会和第二点一样。

4、系统崩溃

PowerShadow 和其他还原类软件一样，依旧存在系统崩溃的问题。有过崩溃经验的PowerShadow用户应该有过开机后发现找不到**文件而不得已全部重装的经历。其实原因很简单PowerShadow还原出错，就会导致系统无法启动和文件目录丢失，而且PowerShadow

改写了分区信息和引导程序数据，很容易造成系统崩溃。

5、无法彻底卸载

如果通过简单的卸载程序进行卸载是无法卸载PowerShadow的。大家在卸载完PowerShadow以后用sreng软件看一下驱动程序会发现snpshot。sys依旧在running(运行) 用SREng在安全模式下删除或改动这个文件后，系统即崩溃，不能启动也不能进入安全模式。为啥呢？很简单这个文件的启动方式是boot start 你在安全模式下删肯定会出问题的。然而PowerShadow卸载并没有还原修改的主引导。系统崩溃并不奇怪了。

总结：

通过在网上和书籍上搜索的资料，和安装在虚拟机上进行基本的运用，我们对一键还原精灵软件和影子系统有了很大的了解，我们几乎把影子系统和还原精灵的功能都运行过了，因此对它们有了一定的了解。简单地来说还原精灵就是一款保护数据和文件的安全软件，它工作原理涉及到中断概念。还原精灵的代码接管了引导扇区后，每当我们向硬盘的文件分配表写入数据时，总是被引导入硬盘数据区，没有真正修改硬盘中的文件分配表FAT。而影子系统则是隔离保护Windows操作系统，同时创建一个和真实操作系统一模一样的虚拟化影像系统，即重启系统一切测试（操作）将不复存在。意即硬盘还原卡、还原精灵等性质一样。由原系统进入影子系统再退出影子系统返回原系统的整个过程，所做的档案存储，上网记录，软体安装等都

不会被记录。两者虽一个是软件，一个是系统；但它们有些功能还是相似的，如都有保护功能。可以说它们各有千秋，各有各的优点。