[分享]影子系统，还原精灵，冰点还原的优点和缺点

影子系统工作原理：
    所谓影子系统，即重启系统一切测试（操作）将不复存在。意即硬盘还原卡、还原精灵等性质一样。由原系统进入影子系统，再退出影子系统返回原系统的整个过程,，所做的档案储存， 上网记录，软体安装等等都不会被记录。
说其原理，应和还原精灵类似。说其真正原理，我不和乱说，仅是通过测试猜测了一下，大家应该用过InstallWatch之类的监测软件吧，它是监控每个操作记录。这类在重启时进行反操作。
PowerShadow Master（影子系统）是款很奇特的小软体,当你安装它并重新启动电脑以后,电脑会类似安装了双系统一样,多出一个启动项,选择其中 PowerShadow Master的启动项后,原系统是完全一样的使用,但是你的一切操作,包括安装程式(甚至运行病毒)在下次用原系统启动时,都是无效的,对做程式安装测试非常有用,不会因为安装卸载而产生LJ档!所谓影子系统!－－－－－重启系统一切测试将不复存在。

特点：
影子启动单一保护模式后，C盘原有文件在硬盘上都不能动，即使删除也只是显示为删除，实际上这部分删除后多出来的空间是无法动用的，对后来写入的文件，如果能动用的硬盘空间够用就写在硬盘里，否则就写在内存里，如果内存也不够用则系统假死，重启后恢复原状
1. 影子的核心进程不是ShadowService.exe和ShadowTip.exe，这两个是摆摆噱头的，影子真正的进程是system，这是系统核心进程，无法中止，即使不开启影子保护模式，system进程仍然加载SnpShot.sys，一旦加载即驻留内存，即使删除SnpShot.sys也没用
2.影子需要Windows系统支持，在DOS下影子是可以被干掉的，比如用软盘、光盘、U盘启动DOS，但这几乎不可能在远程操作，不知道有没有DOS上网软件？
3.影子启动保护后，如果能让system进程把SnpShot.sys从内存中卸下，则影子会被干掉，这可能是以后病毒的主攻方向
4.影子没有改写硬盘MBR，这一点大家可以放心。

影子系统缺点：
1.采用单一影子模式时，不能选择排除某个文件夹在外。比如我选择的是保护系统盘C盘，但我又想在使用影子系统重启后能保留杀软的升级结果。这样的功能影子系统没有.
2.进入影子系统后不能随时退出随时进入，必须重启系统，这是最大的一个遗憾，降低了便利性。

还原精灵的工作原理：
    还原精灵修改了硬盘的引导扇区，硬盘的引导扇区又被称为MBR(主引导记录)，它位于硬盘的0磁头0柱面1扇区。
    还原精灵的工作原理涉及到中断概念：中断是指CPU暂停当前运行的程序,转而执行中断提交的程序。
    int 13是中断指令，其中int是指令助记符，13(十六进制数)是中断号。当用户对硬盘进行操作时，基本输入输出系统(BIOS)向CPU提出中断请求，CPU转而执行int 13提交的程序。
    int 13提交给CPU执行的MBR位于是0扇区。如果在BIOS中设置了硬盘启动的话，系统会首先载入这个扇区的MBR到内存，然后运行这个代码，还原精灵就是用自己的引导代码来代替标准的引导代码。这个方法与引导型病毒一样。不过，引导型病毒的目的是破坏系统，而还原精灵的目的是保护系统。
    还原精灵的代码接管了引导扇区后，每当我们向硬盘的文件分配表写入数据时，总是被导入硬盘数据区，没有真正修改硬盘中的文件分配表FAT。例如：我们在做硬盘的写操作。由于INT 13的服务程序被接管，当还原精灵发现是写硬盘操作，便将原先数据的目的地址指向它自己定义的一段连续的空磁盘空间，并将先前备份的FAT中相关数据指向这片空间。所以还原精灵需要被保护的磁盘上有较大的空闲空间,它需要利用这段空间。进一步地，用户不可能格式化真正的硬盘，因为所有对硬盘的操作都要通过还原精灵的处理。

还原精灵缺点：
1 密码太容易破解 早在几年前 在网吧盛行还原精灵的时候，那时候的病毒和一些电脑高手不是太多的时候破解还原精灵就非常的普遍了。
2. 引导区容易出现错误。

冰点还原工作原理：
      冰点的还原是争夺南桥芯片的I0控制权来实现的,当装入正确的驱动后,冰点就可以正确的拿到I0控制器的控制权,就达到了任何关于硬盘的写入都要经过他的控制,这样就可以轻易的达到还原目的,同样,双系统或者GHOST恢复的话,正确装上了冰点的系统才会有还原功能,如果没有装的话,当然就没有啦.所以 GHOST下可以无限制的添加文件,而windows下添加文件就被还原了.
补充一点:冰点是随着windows的启动才启动的, windows启动加载驱动的时候冰点就通过某种方式触发启动了,由于冰点有I0控制器的控制权,所以,他可以把任何写入硬盘的东西放到任何地方,冰点的转储一般是随着windows的临时文件夹的，所以，系统做完以后一定要把windows临时文件夹转移到一个比较空闲的盘里，不然，就会出现丢失文件的情况的（下载大文件后丢失文件就是这样引起的），因为，DF 把所有写入的文件都放在那里面，虽然表面上看你丢在了别处，但是存储位置实际上还是在临时文件夹里，只是windows显示给你的路径给你了误导，它在硬盘上的实际位置应该是在临时文件夹下面。
冰点还原缺点：
现在目前唯一发现的一点就是：操作起来非常麻烦，要想保存一次数据至少要重启2次 不像还原精灵那样点一下“转储”就OK了