恢复如新——系统保护软件大PK

平淡 《电脑爱好者》2016年第20期 2016-03-25 10:49专题 标签:系统保护 Windows

大家都知道Windows是比较脆弱的,日常的很多操作都可能让系统崩溃。虽然微软从Windows 7开始就在系统内置重置组件,可以让我们在系统崩溃的时候快速恢复系统,不过这个组件功能在实际使用中还是有诸多的不足,比如Windows 10在重置系统的时候会删除掉我们安装的所有软件,而且重置的时间较长。

因为针对Windows的威胁主要来源于网络和外来软件的安装,所以我们可以在目前已有的系统中添加一层保护以屏蔽常见的网络威胁和外来软件即可。对于这类用户需求,可以选择影子系统来为Windows装一个保护壳,在执行有风险的操作时就在“壳”中运行,这样即可更好地保护系统的安全了。

揭开迷雾——了解影子系统的运行原理

现在网上有许多影子系统软件,它们可以让我们在进入实体系统的时候选择进入影子系统,这样重启后所有的操作都会自动恢复到原始状态,影子系统可以有效保护系统的安全。那么这类影子系统是怎样实现保护的呢?

使用过Vmware虚拟机的朋友都知道,VM自带一个“系统快照”功能,它可以保存当前系统运行快照,以后在选择这个快照时就可以快速恢复到快照状态,这是一个典型的虚拟化应用。影子系统的原理其实和快照功能类似,其幕后的功臣也是虚拟化技术。根据虚拟映射区域不同进行分类,目前影子系统主要有映射到虚拟目录(以Powershadow为代表)和映射到内存(以微软UWF为代表)两种。两种影子系统的运行原理大同小异,只是映射载体不同而已。下面我们以Powershadow为例介绍影子系统运行的工作原理。

当我们在Windows 10中安装完Powershadow需要立即重启,在重启进入系统后启动Powershadow,它就会让用户选择“单一影子系统”还是“全面保护影子系统”,当然也可以进入系统后再进行选择(图1)。

201520xtbh1

图1 用户可以自行选择保护模式

这样当用户在选择对应的影子系统后,Powershadow就会对当前系统完成一个快照的保存工作,比如选择的是“单一影子系统”,程序会将当前系统分区生成快照并保存(全面保护则是建立全盘快照)。进入影子系统后将在当前桌面出现单一或者全面保护字样提示,表明当前系统已经在影子系统的保护模式下(图2)。

201520xtbh2

图2 进入影子模式的提示

在影子系统的保护模式下,其虚拟化的组件就会接管当前组件对系统分区所有读写操作,并将读写操作映射到虚拟系统当中。一方面这种虚拟映射可以让目前安装的软件在当前虚拟系统中运行,另一方面这些虚拟系统里的读写数据会在重启后自动删除,从而保证系统的安全(图3)。

201520xtbh3

图3 影子系统保护流程图解

举个实际的例子,比如我们进入单一保护模式后安装QQ,这样当前写入“C:\Program Files (x86)\Tencent”目录的所有文件(包括注册表数据)都会被影子系统重定向到虚拟目录中,尽管在当前影子系统中可以看到写入文件的存在,但是这些数据都会在重启后自动删除。这样假设上述安装的QQ是病毒(或者其中捆绑木马),我们只要重启系统,这样在重启之后上述虚拟目录中的所有数据就会被自动清零,自然其中的病毒、木马也被自动删除,从而有效保护系统的安全(图4)。

201520xtbh4

图4 重启系统后会自动删除写入的所有数据

显然影子系统的保护和Windows常见的“系统重置”和“系统还原”组件是不同的。系统重置是在离线(需要进入PE系统)状态下对当前系统数据进行清除,容易造成数据丢失;系统还原则是通过创建还原点方法,然后将需要还原的系统状态和还原点进行比较,将.EXE、.DLL、.COM等程序文件清除,不容易删除通过伪装的病毒文件,而且系统在进行更新、驱动安装时会自动激活还原点,容易覆盖原来创建的还原点(表1)。

表1 影子系统、系统重置、系统还原比较

系统保护哪家强——常见影子系统PK

影子系统可以很好地保护我们的系统,下面我们就选取目前市场上主流的影子系统在Windows 10下进行评测,看看哪款影子系统更适合大家的使用。

测试软件:

1.Powershadow V8.5.5

来源:www.yingzixitong.cn

2. Shadow Defender Version 1.4.0.588

来源:www.shadowdefender.com

3.UWF保护

来源:微软免费组件

4. Toolwiz Time Freeze(时光机)

来源:www.toolwiz.com

测试项目1:兼容性测试

影子系统都是使用虚拟重定向的技术实现,但是由于Windows 10使用新的内核,一些旧版的影子系统已经不支持新的系统。上述影子系统在实际测试过程中也或多或少有一些问题,其中Powershadow在本次测试中,首次安装后无法选择影子系统进入,需要再次重启才可以进行选择;Toolwiz Time Freeze和Shadow Defender则在首次安装后无法成功启动,都需要再次安装后重启才可以正常使用。UWF由于本身就是微软开发的组件,兼容性较好,而且其使用命令行的方式安装,只要以管理员方式运行安装即可使用(图5)。

201520xtbh5

图5 UWF使用命令行方式安装且兼容性很好

测试项目2:分区保护

影子系统关键的作用是对系统进行保护,通过实际测试可以看到,各款影子系统都可以很好地对系统分区进行保护,都是只要重启即可恢复系统。但是在实际试用中可以看到,Shadow Defender的保护更为贴心,它可以为系统的每个分区进行单独的设置,其他影子系统则只能实行部分设置,如Powershadow只有一个和全部分区保护模式,UWF则只对系统分区进行保护(图6)。

201520xtbh6

图6 Shadow Defender的贴心保护

测试项目3:排除列表和自动转储

因为默认影子系统都会在重启后自动删除数据,因此在影子系统中需要有排除列表或者自动转储功能,方便我们在影子系统中保存有用的数据。通过实际试用可以看到,测试影子系统都有类似功能,但是Shadow Defender的功能是最强大的,它不仅可以自定义选择保护分区,转储功能也十分强大,可以自定义排除列表和注册表排除键值,而且可以使用“Commit now”立即存储数据(图7)。

201520xtbh7

图7 Shadow Defender丰富排除列表和自动转储功能

相比之下,其他影子系统功能就较弱,UWF需要使用命令行的方式进行转储,操作较为不便;Toolwiz Time Freeze只有排除列表功能;Powershadow只有文件夹迁移功能,需要保存的数据只能借助迁移系统目录的方法实现(图8)。

201520xtbh8

图8 Powershadow只能借助迁移系统目录的方法实现数据保存

其他测试:

为了方便大家对测试影子系统有个更全面的了解,这里对影子系统的其他方面进行一个横向比较,具体结果见表2所示。

表2 影子系统横向评测表

注意:

任何保护软件的安全性都是有局限性的。比如虽然影子系统可以让我们通过简单的重启即可恢复系统,但是如果在影子系统里中了木马导致自己的隐私信息(如网银密码泄露),这些信息仍然会通过网络泄露给黑客。因此在使用影子系统保护的前提下,我们仍然要借助传统的杀毒软件、防火墙来更好地保护我们的电脑安全。