影子系統

出自 MBA智库百科(https://wiki.mbalib.com/)

影子系統(PowerShadow Master)

　　影子系統是隔離保護Windows操作系統，同時創建一個和真實操作系統一模一樣的虛擬化影像系統。進入影子系統後，所有操作都是虛擬的，所有的病毒和流氓軟體都無法感染真正的操作系統。系統出現問題了，或者上網產生垃圾文件，只需輕鬆的重啟電腦，一切又恢復最佳狀態。

　　影子系統技術,是一種實時虛擬電腦操作系統,並用虛擬替身———“影子系統”來接管原真實系統的操作,實現對電腦系統瞬間隔離保護的技術。

　　1.影子系統概念模型

　　一般情況下,病毒侵擾或誤操作都直接由電腦真實操作系統作出響應。其操作流程如圖1所示。　　

圖1

當操作導致系統崩潰,電腦工作就只能停止,等待人工處理。理想的途徑是存在簡單的方法,如圖1中虛線箭頭所示,能使系統在最短時間內恢復至初,但這種想法在單個系統實體上很難實現。如果根據真實系統,實時虛擬一個功能等同的操作系統,使所有操作發生在虛擬系統上,與真實系統分離開來,問題就迎刃而解了。其操作流程如圖2所示。

圖2

　　虛擬系統對操作的響應結果正常,則可以將“虛”轉“實”,把正確結果導入真實系統中,實現後繼虛擬系統內容的更新;如果響應結果不正常,則可以由“實”轉“虛”,拋棄受影響的虛擬系統,藉由原真實系統重新生成新的虛擬系統。這就是影子系統的概念模型。

　　2.影子系統工作原理

　　電腦啟動時,在真實操作系統(比如Windows2000,WindowXP,Vista等等)載入之前,建立被保護磁碟(一般指系統盤)的磁碟分配表副本,副本分配表中標記原已分配區域為只讀,如圖3所示。

圖3

　　在影子系統模式下,所有針對真實系統的磁碟操作被重新定向到副本分配表,並且只刷新副本分配表。寫入新數據到保護區時,數據存入保護區的自由空閑區,並刷新副本分配表以建立相應的映射關係。如果修改原分配表中標記為已分配區域的數據,例如圖3中的原數據1,修改後的結果同樣被保存到保護區的自由空閑區,並刷新副本分配表與之建立相應的映射關係,而不是修改原分配表中標記為已分配區域的數據,也不刷新原分配表;讀取保護區數據時,則根據副本分配表上的映射關係去尋找磁碟存儲區上對應的數據。一旦系統重新啟動,原分配表和原分配表標記為已分配區域的數據毫無變化(實現系統還原),而先前的副本分配表消失,其相對於原分配表所建立的所有新映射關係也不復存在,取而代之的是新生成的副本分配表。這樣,雖然先前寫入保護區的新數據以及修改原保護區數據後轉存的結果在電腦重啟後依然存在於磁碟保護區上,但由於其沒有與新副本分配表建立映射關係,用戶讀取不到,從而在分配表和用戶實際觀察看來,它們所占存儲區就是自由空閑區,是可以供來寫入新數據的。換言之,它們不再是有用數據,頂多是殘留在存儲區上的垃圾電信號而已了。

　　“實”向“虛”的有規則轉化,由上面的討論知,重啟電腦就能實現;“虛”向“實”的轉化,則根據用戶需求在相應規則下,去掉原分配表中標記為已分配區域的只讀屬性,並根據副本分配表的記錄刷新原分配表以及修改原已分配區域的數據。值得註意的是,由“虛”向“實”的操作要慎用,否則會讓影子系統工作模式對電腦系統的保護作用失去意義。

　　基於副本分配表運行的操作系統,感覺上如同與原系統相分離的克隆版本,故稱之為影子系統。

　　3.影子系統工作模式的優越性

　　針對電腦系統自身的防護,早先軟體技術主要採取備份正常系統,出現故障後利用備份還原的方法,相關軟體有ghost、還原精靈等等。這類技術較之影子系統,主要存在以下不足:一是實時性差,不能及時地還原或動態更新系統;二是操作繁瑣,比如使用ghost進行相關操作需要在純DOS系統環境下進行;三是費空間,備份文件需要占用額外的磁碟空間或其他存儲介質;四是穩定性差,如果備份文件損壞或丟失,則系統恢復終止。

　　硬體技術方面,主要就是硬碟保護卡(還原卡)。保護卡的主體是一種硬體晶元,插在主板上或集成於主板上與硬碟的MBR(主引導扇區)協同工作,其接管BIOS的INT13中斷,將CMOS信息、引導區、FAT、中斷向量表等信息都保存到卡內的臨時存儲單元中或是在硬碟的隱藏扇區中,用自帶的中斷向量表來替換原始的中斷向量表;再另外將FAT信息保存到臨時存儲單元中,用來應付對硬碟內數據的修改;最後是在硬碟中找到一部分連續的磁碟空閑區,將修改的數據保存其中。保護卡的工作原理大體上類似影子系統,其不足之處主要在於:一是需要額外的硬體開銷,對普通用戶來說並不經濟;二是影響系統的啟動速度,對保護卡檢測和狀態初始化都需要額外的時間開銷;三是發生硬體異常的幾率增加,對於插入式保護卡而言,時有發生系統啟動中止並提示“找不到硬體”的錯誤,當然,處理方法也很簡單,一般只需重新插拔保護卡使其與電腦主板接觸良好即可。