慎用PowerShadow(影子系统)与影子系统的卸载方法

慎用PowerShadow（影子系统）

本文仅做技术讨论,本文所产生的后果本人概不负责

在论坛上经常碰到有人使用PowerShadow 也遇到很多的受害者.今天我抽出时间专门就PowerShadow这个软件做简要的说明,以正视听



PowerShadow作为一款还原类的软件,在国内的互联网很火,不少人认为我的系统装了PowerShadow是万事大吉,百毒不侵,互联网中也这么宣传.实际上这种说法是完全错误的.



装了PowerShadow真的是安全了吗?答案显然是否定的



一 盗号木马面前PowerShadow束手无策

我们知道互联网中有一种广泛使用的木马叫盗号木马(所有人都该知道的).盗号木马严格意义上说是一次性的木马,为什么呢? 盗号木马以盗走你的特定的帐号密码为目的.一旦植入系统盗走你的帐号和密码后 木马完成了使命.你再去清理他,木马清理后 损失已经造成了,无法挽回了. 然而你在PowerShadow 的保护下中了此类木马,因为影子是虚拟的系统而不是具有保护功能的防火墙,当你重启系统后,木马消失了同时帐号和密码已经在黑客的手中了. PowerShadow不但没有保护作用反而替黑客做了销毁证据的工作.





二 再坚固的保护依旧得敞开

大家经常会安装各式各样的软件,在PowerShadow的保护下安装是无法安装的,我们必须在正常的模式下安装软件,如果这时候安装包中捆绑了木马.你依旧会中木马,再启动PowerShadow的保护,除非你发现了否则这个木马会一直陪伴你.



三 先入为主

很多人喜欢在做完系统后 装上所有应该装的软件后 再 装PowerShadow 予以保护以求安全,如果你的应用软件不干净,结果会和第二点一样.



四 系统崩溃

PowerShadow 和其他还原类软件一样,依旧存在系统崩溃的问题.有过崩溃经验的PowerShadow用户应该有过 开机后发现找不到**文件而不得已全部重装的经历.其实原因很简单 PowerShadow还原出错，就会导致系统无法启动和文件目录丢失,而且PowerShadow改写了分区信息和引导程序数据，很容易造成系统崩溃.



五 无法彻底卸载

如果通过简单的卸载程序进行卸载是无法卸载PowerShadow的.大家在卸载完PowerShadow以后 用sreng软件 看一下驱动程序 会发现 依旧在 running(运行)看图 用SREng在安全模式下删除或改动这个文件后，系统即崩溃，不能启动也不能进入安全模式.为啥呢?很简单这个文件的启动方式是boot start 你在安全模式下删 肯定会出问题的.然而PowerShadow卸载并没有还原修改的主引导.系统崩溃并不奇怪了.



有人问那咋卸载呢.有这么几种方式.

其中能彻底卸载影子的是低格和换硬盘….

低格就是debug,一般硬盘厂商有debug工具 下载后按照提示做.但是低格是很伤硬盘的.

除了上述两种办法

, 可以尝试用系统安装盘光驱引导 后 进入安装界面删除所有的分区再建立新的分区 然后开始漫长的系统重装……



其次有全盘ghost的用户可以尝试 ghost还原 但是根据反馈的效果 依旧有部分残留.



对于仅仅格式化系统盘的用户 根据反馈的信息看 是无法彻底卸载的.



本文到此就结束了,希望网友能够在以后的上网过程中注意明辨是非.对于网络上的所谓菜鸟高手以及不切实际的宣传要提高警惕避免被误导.尤其要注意国内 就有那么一帮 "菜鸟高手" 在 不懂 软件原理的情况下看了点英文的简介 就开始想当然了,什么 不死 永久 不用杀软 /防火墙的 词语 就出来了. 直接结果 就是导致 成千上万的人受害.

————————————————————————————————————————————

因为我比较重视系统的干净，所以安装影子时就用TOTAL UNINSTALL（一下简称TU）做了安装日志。



看到坛里（中天）的朋友说影子不好，我对影子也没有多少的好感，我发现他一运行，硬盘就响得厉害，只是玩玩才装他的，我自己并不需要这么一个累赘系统，我相信自己+KV/Panda/McAfee任何一款软件，一般浏览网页中的病毒不会杀不掉的，再不行我就ghost，怕什么，呵呵。



那位朋友又提到影子不好卸，我想，用TU试试好了。



先运行影子自带的卸载，卸载很快，甚至都不要重启（安装时重启了啊），看来不老实，哼！



用TU，卸载发生一处错误，就是那个驱动sys，我重启。



再次用TU，那个sys被卸载掉了，我打开sreng，没有异常，的确被卸掉了。



但问题是，我再次重启后，开机就提示大概5，6个未知硬件设备需要安装驱动，我点击安装，当然找不到驱动了，哼，死东西，在这里等着呢，我清理了以下注册表（菜鸟没办法，虽然心知这招也不太管用），呵呵，随后看那几个未知设备的属性，都是ROOT_LEGACY_XXX，灵机一动，只要删掉这些注册表相关不就好了。哈哈。



他们的位置因为自己多次卸杀软很清楚——虽然不晓得这个地方的注册表是干什么的，知道的告诉我一声啊，路径是：HKLM_SYSTEM_CONTROLSET001_ENUM_ROOT_XXX

HKLM_SYSTEM_CONTROLSET002_ENUM_ROOT_XXX,HKLM_SYSTEM_CURRENTCONTROLSET_ENUM_ROOT_XXX，这几处基本是重复的内容，似乎一个是一个的备份之类的关系，但总之都删一遍比较好，然后我一一点开属性，找到相应的XXX位置，删？呵呵，没那么容易，你的权限不够，这个倒不是很担心，ICESWORD来，一一删除，但那些XXX的名字，我头比较昏，且有5，6个，记不大清了，大家自己去看吧，不过要小心，别删错了，呵呵。



删掉之后就好了，不弹出发现硬件无法驱动的提

示了，那个很烦，这个办法大家看下，有用得着的就好了，我的目的也就达到了，bs一下影子。





影子系统的缺点





PowerShadow作为一款还原类的软件，在国内的互联网很火，不少人认为我的系统装了PowerShadow是万事大吉，百毒不侵，互联网中也这么宣传。实际上这种说法是完全错误的。



装了PowerShadow真的是安全了吗？答案显然是否定的



一 盗号木马面前PowerShadow束手无策



我们知道互联网中有一种广泛使用的木马叫盗号木马(所有人都该知道的)。盗号木马严格意义上说是一次性的木马，为什么呢？ 盗号木马以盗走你的特定的帐号密码为目的。一旦植入系统盗走你的帐号和密码后 木马完成了使命。你再去清理他，木马清理后 损失已经造成了，无法挽回了。 然而你在PowerShadow 的保护下中了此类木马，因为影子是虚拟的系统而不是具有保护功能的防火墙，当你重启系统后，木马消失了同时帐号和密码已经在黑客的手中了。 PowerShadow不但没有保护作用反而替黑客做了销毁证据的工作。



二 再坚固的保护依旧得敞开



大家经常会安装各式各样的软件，在PowerShadow的保护下安装是无法安装的，我们必须在正常的模式下安装软件，如果这时候安装包中捆绑了木马。你依旧会中木马，再启动PowerShadow的保护，除非你发现了否则这个木马会一直陪伴你。



三 先入为主



很多人喜欢在做完系统后 装上所有应该装的软件后 再 装PowerShadow 予以保护以求安全，如果你的应用软件不干净，结果会和第二点一样。



四 系统崩溃



PowerShadow 和其他还原类软件一样，依旧存在系统崩溃的问题。有过崩溃经验的PowerShadow用户应该有过 开机后发现找不到**文件而不得已全部重装的经历。其实原因很简单 PowerShadow还原出错，就会导致系统无法启动和文件目录丢失，而且PowerShadow改写了分区信息和引导程序数据，很容易造成系统崩溃。



五 无法彻底卸载



如果通过简单的卸载程序进行卸载是无法卸载PowerShadow的。大家在卸载完PowerShadow以后 用sreng软件 看一下驱动程序 会发现 snpshot。sys依旧在 running(运行) 用SREng在安全模式下删除或改动这个文件后，系统即崩溃，不能启动也不能进入安全模式。为啥呢？很简单这个文件的启动方式是boot start 你在安全模式下删 肯定会出问题的。然而PowerShadow卸载并没有还原修改的主引导。系统崩溃并不奇怪了。













影子系统的卸载方法

Powershadow 2.8版



这个版本的影子，因在隐含扇区写入其注册信息而被不少人诟病。尤其是当你不想再使用影子时，卸净它是个问题。

今天，朋友又提及此事（想卸掉系统中的Powershadow 2.8）。

我帮他搞了搞，费了些周折，但还是达到目的了。

问题的关键是————想办法去掉影子写入隐含扇区中的注册信息。否则，你只是卸载了影子，那个还是每次随系统加载运行。

如果你只是强行删除C:WINDOWSsystem32drivers，删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessnpshot，下次启动系统时就会反复蓝屏。

在网上搜索了一下关于影子卸载的资料。见到不少耸人听闻的说法————必须低级格式化才能卸载干净。汗！！

再接着搜索！

找到一篇比较在理的帖子。

根据那个帖子介绍，影子写入的注册信息在14扇区或15扇区（要根据自己的系统实际情况找）。卸载影子重启后，删除和注册表服务项，再将14扇或15扇用0填充即可搞掂。



于是，找台未装影子的电脑，安装影子。注册前，看看14扇区或15扇区的内容——空的（图1）。

接着，上网注册影子（图2）。再看看14扇区或15扇区的内容。发现影子在15扇区写入了东东（图3）。

好了。回到朋友的电脑，卸载影子前，用Sector 查看核实影子的注册信息（SECI.....也在15扇区；图3）。





接下来，按以下顺序操作：



1、用影子自带的卸载工具（C:WINDOWSsystem32shadow）卸载影子。

2、重启。删除注册表服务项：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessnpshot

删除驱动：C:WINDOWSsystem32drivers。

3、用Sector 打开0面0道15扇，用0填充15扇（图4）。

4、重启。搞掂！！







影子系统卸载方法



有人问那咋卸载呢。有这么几种方式。



其中能彻底卸载影子的是低格和换硬盘…。



低格就是debug，一般硬盘厂商有debug工具 下载后按照提示做。但是低格是很伤硬盘的。



除了上述两种办法， 可以尝试用系统安装盘光驱引导 后 进入安装界面删除所有的分区再建立新的分区 然后开始漫长的系统重装……



其次有全盘ghost的用户可以尝试 ghost还原 但是根据反馈的效果 依旧有部分残留。



对于仅仅格式化系统盘的用户 根据反馈的信息看 是无法彻底卸载的。



我对影子也没有多少的好感，我发现他一运行，硬盘就响得厉害，只是玩玩才装他的，我自己并不需要这么一个累赘系统，我相信自己+KV/Panda/McAfee任何一款软件，一般浏览网页中的病毒不会杀不掉的，再不行我就ghost，怕什么，呵呵。



朋友又提到影子不好卸，我想，用TU试试好了。



先运行影子自带的卸载，卸载很快，甚至都不要重启（安装时重启了啊），看来不老实，哼！



用TU，卸载发生一处错误，就是那个驱动sys，我重启。



再次用TU，那个sys被卸载掉了

，我打开sreng，没有异常，的确被卸掉了。



但问题是，我再次重启后，开机就提示大概5，6个未知硬件设备需要安装驱动，我点击安装，当然找不到驱动了，哼，死东西，在这里等着呢，我清理了以下注册表（菜鸟没办法，虽然心知这招也不太管用），呵呵，随后看那几个未知设备的属性，都是ROOT_LEGACY_XXX，灵机一动，只要删掉这些注册表相关不就好了。哈哈。



他们的位置因为自己多次卸杀软很清楚——虽然不晓得这个地方的注册表是干什么的，知道的告诉我一声啊，路径是：HKLM_SYSTEM_CONTROLSET001_ENUM_ROOT_XXX



HKLM_SYSTEM_CONTROLSET002_ENUM_ROOT_XXX，HKLM_SYSTEM_CURRENTCONTROLSET_ENUM_ROOT_XXX，这几处基本是重复的内容，似乎一个是一个的备份之类的关系，但总之都删一遍比较好，然后我一一点开属性，找到相应的XXX位置，删？呵呵，没那么容易，你的权限不够，这个倒不是很担心，ICESWORD来，一一删除，但那些XXX的名字，我头比较昏，且有5，6个，记不大清了，大家自己去看吧，不过要小心，别删错了，呵呵。



删掉之后就好了，不弹出发现硬件无法驱动的提示了，那个很烦，这个办法大家看下，有用得着的就好了，我的目的也就达到了，bs一下影子。 回答者： momo小蝳 | 三级 | 2011-3-21 14:16

没试过影子系统，纯粹个人建议——试试专门的卸载软件试试，例如windows优化大师、360软件管家、windows清理助手、超级兔子，看看这些软件里的软件卸载功能能不能强制卸载这个软件。最后祝楼主顺利卸载影子系统。 回答者： 林钟寺 | 五级 | 2011-3-21 14:19

先要确定你是装的影子系统的什么版本，



a.60天试用版，可以修改你电脑上的系统时间到60天以后，重启，就会进入正常模式，然后卸载；

b.如果是正式版本如下操作：

只能通过WINPE光盘（或U盘）进入系统，重新编辑一下系统分区下文件就行了。我用的是影子系统2008，也曾出现过同样的情况。下面是电脑中文件的内容，可以参考修改：

[boot loader]

timeout=3

default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS

[operating systems]

c:psaldr="WinXP的正常模式"

C:PSBLDR="WinXP的正常模式的单一影子模式"

multi(0)disk(0)rdisk(0)partition(1)WINDOWS="WinXP的完全影子模式" /fastdetect

重新启动选择正常模式进入后卸载影子系统。 回答者： 155133226 | 四级 | 2011-3-21 14:59

选择进入模式的菜单，选择正常模式进入，在控制面板中选择影子系统后卸载。



如果没有正常模式启动菜单如下操作：

只能通过WINPE光盘（或U盘）进入系统，找一个系统盘下有没有psaldr和psbldr文件，如果有你重新编辑一下系统分区下bo

文件就行了。我也用的是影子系统2008，下面是我电脑中文件的内容，供参考。

[boot loader]

timeout=3

default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS

[operating systems]

c:psaldr="WinXP的正常模式"

C:PSBLDR="WinXP的正常模式的单一影子模式"

multi(0)disk(0)rdisk(0)partition(1)WINDOWS="WinXP的完全影子模式" /fastdetect

修改完成后选择正常模式进入系统后，在控制面板中选择影子系统选项卸载影子系统。





进入以下几种模式卸载：



1.安全模式

2.带网络的安全模式

3.带命令提示符的安全模式

4.启用启动日志

5.启用 VGA 模式

6.最近一次的正确配置

7.目录服务恢复模式

8.调试模式



1,你用PE系统进入系统后将本机上的影子系统卸载掉或影子系统相关程序都删除掉。

2,你可以把有用的数据先拷出去，然后用安装光盘重新安装操作操作。







使用PE或者进入安全模式修改系统盘下的BOOT。INI

我把我的样子贴上来你可以做为参考

[boot loader]

timeout=3

default=multi(0)disk(0)rdisk(0)partition(1)windows



[operating systems]

multi(0)disk(0)rdisk(0)partition(1)windows="microsoft windows xp professional" /noexecute=optin /fastdetect

multi(0)disk(0)rdisk(0)partition(1)windows="microsoft windows xp professional的单一影子模式" /noexecute=optin /fastdetect /SHADOWSYSTEM

multi(0)disk(0)rdisk(0)partition(1)windows="microsoft windows xp professional的完全影子模式" /noexecute=optin /fastdetect /SHADOWALL





其中

multi(0)disk(0)rdisk(0)partition(1)windows="microsoft windows xp professional" /noexecute=optin /fastdetect

为正常的系统启动





multi(0)disk(0)rdisk(0)partition(1)windows="microsoft windows xp professional的单一影子模式" /noexecute=optin /fastdetect /SHADOWSYSTEM

multi(0)disk(0)rdisk(0)partition(1)windows="microsoft windows xp professional的完全影子模式" /noexecute=optin /fastdetect /SHADOWALL

这两段为影子系统的模式，你的应该也类似吧。。。我的意思就是把这两段删除。。。

然后进入系统就是你的正常的系统了。。。



另外

timeout=3

这个参数是进入系统前的等待时间。。。如果为0的话。。。碰巧BOOT。INI里的第一段又正好是完全影子模式的参数段的话。。。结果你就可以想的到了。。。。。。



用winpe光盘启动电脑，进入Returnil 虚拟影子系统的安装目录，执行卸载程序，这时提示运行函数不对，不去管它点击确定，同时删除c:windowssystem32drivers (如果不删除这个文件，卸载软件后仍然具有保护），重启后即可。





Returnil影子系统（多分区版） 密码忘记处理办法

Returnil影子系统（多分区版）



是用来保护系统分区的，被保护的分区在重启后即会被还原，这样可以避免中毒，永远不

会产生垃圾文件，从而保证了系统始终如一的快速和稳定。



但是，如果因为种种原因，忘记了密码，将会导致很严重的后果：无法安装新的软件、无法更新所有程序等等。忘记密码后是无法卸载掉Returnil影子系统的。当然重装系统是完全可以解决这个问题的，但是那将会浪费许多宝贵的时间。



下面，我给大家提供Returnil影子系统密码忘记后的处理办法：



首先，Returnil影子系统默认安装在C:Program FilesReturnil目录下，共有4个文件：分别是、、、



其次，Returnil影子系统安装成功后，会在系统目录C:windowssystem32drivers下生成一个“”文件。



最后，解决方法



一：我们就可以用GHOST系统盘或者USBCDROM系统盘进入PE系统下，分别删除Returnil影子系统的安装目录及目录内所有文件，删除系统文件，这样我们就可以重新安装Returnil影子系统，重新设置密码了。



二：同样，我们也可以进入DOS下进行操作，



del C:program~1Returnil *.* 删除Returnil目录下所有文件；



rd C:program~1Returnil 移除Returnil目录；



del C:windowssystem32drivers 删除文件。



删除完成后，即可重新安装Returnil程序，重新设置新的密码。



最后一招：





格式化硬盘，重装系统。





最干净一招：



格式化硬盘，重新对硬盘分区，重装系统。



最后告诫一下大家：



千万别装影子系统啊！