影子系统(PowerShadow),可以对Windows操作系统进行隔离保护,进入影子系统后,所有的病毒和流氓软件都无法感染真正的操作系统。一旦系统出现问题,或者上网产生垃圾文件,只需轻松的重启电脑,即可恢复最佳状态。
本次美亚柏科技术专家通过对影子系统的运行机制进行深度分析与实验,验证了影子系统保护还原后数据恢复的可行性。下面,让我们跟随美亚柏科技术专家的脚步一同探个究竟吧!
影子系统工作原理实验测试
影子系统是如何保护真正操作系统数据的呢?
美亚柏科技术专家为此对本地Win7虚拟机(电脑环境:只有一个系统分区)进行了如下实验:
1
在VMware虚拟机下运行Win7 64bit虚拟机,拷贝几个大文件到C盘,并把C盘的空闲空间压缩到500M;
2
安装影子,重启时选择进入单一保护模式;
3
删除C盘原有的一个影像文件(700M),C盘显示空闲空间约为1200M;
4
拷贝一个光盘镜像文件(400M)到C盘,可以正常导入虚拟光驱运行,C盘显示空闲空间约800M;
5
继续拷贝一个新文件(300M)到C盘,系统频繁弹出错误提示“Windows延缓写入失败“,这种情况一般只有在硬盘空间不够时才出现,但此时即使算上新影像文件(300M),C盘应有500M左右的空闲空间;
6
不理会频繁弹出的"延缓写入失败"对话框,持续拷贝了将近10分钟,新影像文件(300M)居然可以拷贝到C盘,"延缓写入失败"对话框消失后,可以用播放器正常播放这个影像文件;
7
调出工具查看内存,发现512M物理内存只有20M可用,几个工具都不能显示失踪的几百兆内存被哪个进程使用了;
8
删除拷贝到C盘的新影像文件(300M),结果失踪的内存回来了,可用物理内存上涨到300多M;
9
拷贝新影像文件2(700M)到C盘,此时C盘显示空闲空间有约800M,实际上拷贝失败:拷贝过程中仍然频繁弹出"延缓写入失败"对话框,但是持续近2个小时都无法拷贝完成,最后系统瘫痪假死,只能强制重启;
10
重启时仍然进入单一保护模式,C盘原来的文件都在,后拷贝过去的文件都不在了。
综合上述几个实验进行分析,可以发现影子系统的工作机制大致如下:
1.进入影子系统之后,删除文件并非实际删除文件,而只是把文件标记为不可见了,实际文件占用的磁盘空间是不能使用的;
2.进入影子系统之后,若实际的磁盘空间不足以保存新文件时,影子系统会将实际的数据保存在内存中。
影子系统数据恢复可行性研究
在上述实验我们已经得出结论,当进入影子系统之后,在操作上删除文件,影子系统只是将对应的文件标记为不可见,实际该文件的存储空间是不可以动用的。那么,当文件被写入到影子系统后,新写入的文件可以恢复吗?带着疑问,美亚柏科技术专家对影子系统数据恢复的可行性做了如下实验进行验证:
1.在VMware虚拟机下运行Win7 64bit虚拟机,创建新加卷E:,大小为1G,格式化为NTFS。此时E盘没有文件;
2.安装影子系统,启动完全影子模式(对所有目标盘C:和E:进行影子保护);
3.往总大小为1023M的E盘放入文件,文件列表如下;
图1 影子系统测试文件列表图
4. 在运行的虚拟机中,用取证大师对E盘做镜像,命名为FillFile.dd;
5.关闭虚拟机,取出对应的vmdk,用取证大师提取其中的分区,命名为FillFile-ShutDown.dd;
6.重新开启虚拟机,用取证大师对E盘做镜像,命名为FillFile-Restart.dd;
7.用取证大师分析以上3个镜像,结果如下:
a)对运行过程中制作的分区镜像(FillFile.dd)进行加载分析,解析文件系统,可以看到所有的文件记录:
图2 影子系统分区镜像(FillFile.dd)解析结果图
b)对关机后制作的镜像(FillFile-ShutDown.dd)以及重启之后的镜像(FillFile-Restart.dd)加载分析,发现都无法看到后面放入的文件信息:
图3 影子系统关机后镜像(FillFile-ShutDown.dd)解析结果图
图4 影子系统重启镜像(FillFile-Restart.dd)解析结果图
c)关机后制作的镜像(FillFile-ShutDown.dd)以及重启之后的镜像(FillFile-Restart.dd)深度恢复后的结果如下,发现都可以正常的恢复:
图5 影子系统关机镜像(FillFile-ShutDown.dd)恢复结果图
图6 影子系统重启镜像(FillFile-Restart.dd)恢复结果图
不难看出,对影子系统保护下的磁盘做写入操作,会将数据实际写入磁盘,并修改文件索引记录信息,在关机后所有修改的索引文件信息都恢复为原来的信息。至此,影子系统的运行机制以及恢复可行性分析实验到此结束。
同类软件恢复可行性测试
分析完影子系统工作机制以及恢复可行性之后,美亚柏科技术专家又对其他同类软件做了下分析及测试验证,如下是对”冰点还原“的恢复可行性测试结果。
“冰点还原”的功能,总体上来看和影子系统一致,恢复测试的结果和影子系统基本相同。整体实验过程与影子系统类型,先对被保护磁盘写入数据,然后重启制作镜像,用取证大师制作的镜像进行分析以及进行深度恢复,结果如下:
图7 冰点还原关机镜像(FillFile-ShutDown.dd)解析结果图
图8 冰点还原关机镜像(FillFile-ShutDown.dd)恢复结果图
以上图7为解析镜像文件系统后的结果,并没有解析出放入的文件。图8为格式化恢复的结果,可以看到恢复出的文件项。
结 论
本文对影子系统的工作机制进行实验探究并且验证了影子系统重启还原之后数据恢复的可行性:
在影子系统中删除的原有文件,实际上文件是不会删除的,而只是在影子系统里面标志为删除无法查看而已,同时原有文件所占用的磁盘空间是不允许回收使用的;而在影子系统下新增的新文件,在重启之后只要是没有被再次覆盖,都是可以通过深度恢复将实际数据给恢复出来的,前提是这些新增的文件是有实际写入磁盘的,若是磁盘空间已满导致新增的文件只是临时在内存中缓存的情况,则这些文件就无法从磁盘中恢复出来。
领取专属 10元无门槛券
私享最新 技术干货