影子系统 亦真亦幻　影子系统类工具在阅兵

　　“活”在影子中 　　――影子系统PowerShadow 　　 　　PowerShadow可谓是最有名的影子系统了，该软件通过克隆本机硬盘分区，构建现有操作系统的虚拟影像，并形成一个影子，即影子模式。影子模式和真实的系统完全一样，用户可以进行真实系统的一系列操作，唯一不同的是 ，进入影子模式后，所有操作都是虚拟的，不会对真正的系统产生影响，一切改变将在退出Shadow模式后消失。因此，感觉我们就是“活”在影子中，由于所有操作都是虚拟的，因此，所有的病毒、木马程序、流氓软件都无法侵害真正的操作系统，下面一起来看看。
　　
　　1. 影子系统的两种模式
　　软件安装完毕后，在操作系统的启动菜单中，我们可以看到增加了两项，分别为对应系统的单一影子模式和完全影子模式，这里可以选择进入正常的操作系统，也可以进入单一影子模式的系统、完全影子模式系统。(图1)
　　那么什么是单一影子模式和完全影子模式呢？单一影子模式就是在启动影子系统后，只将你的系统盘作为一个影子，其他逻辑盘不受到任何影响和改变。完全影子模式则是将你的硬盘的所有分区都做成影子模式。因此，他们的区别就在于除了系统盘之外的逻辑盘的操作是否受影响。单一影子模式下，只有系统盘的操作是虚拟的，而完全影子模式下，全部操作都是虚拟的。关于单一影子模式和完全影子模式，可以在“影子系统管理”的“教程”选项中看到直观的图解。(图2、图3)
　　
　　2.影子系统危险操作测试
　　明白了“单一影子模式”和“完全影子模式”的概念后，我们来看看影子系统的实际功能表现，我们以进入“单一影子模式”系统为例，进入系统后，我们可以看到，桌面上的四个角都显示了“单一影子模式”，有点进入“安全模式”的感觉。
　　进入操作系统后，首先删除了系统盘(C盘)下的几个文件，重新进入正常的操作系统后，发现完好如初；此外，笔者还安装了几个软件，包括几个广告插件，重新进入操作系统后，也没有发现安装的软件，一切如故；此外，笔者还进行了一项非常危险的操作，那就是直接运行小兔子病毒样本，重启系统后，系统正常运行。看来，影子系统功能确实非同小可。(图4、图5)
　　
　　eminder 提示
　　除了直接重新启动电脑来退出影子模式外，还可以在PowerShadow 主界面内点击 “退出” 按钮退出影子模式。在退出影子模式之前，请确认在影子模式下产生的全部重要数据已经被转移并保存至其他未被保护的设备。比如，如果在单一影子模式下，只要保存到非系统分区即可。(图6)
　　
　　数据保护“伞”
　　――ShadowUser
　　
　　ShadowUser也是一个比较有名的系统还原工具，这个软件类似“硬盘保护卡”，可以截取你的系统快照，在你的计算机上精确的复制虚拟一个系统状态叫ShadowMode，用户正常使用计算机数据，但是不会真正的写到磁盘。使用该软件，你还可以不带痕迹地在互联网络冲浪，避免病毒、木马的侵扰，在功能上，与影子系统大致类似，但仍然有不少区别，比如ShadowUser可以自由选择保护的磁盘分区，而PowerShadow则只能保护系统盘或者全部磁盘保护，其使用方法上也不太一样，我们看看其具体的操作。
　　
　　1. ShadowUser基本配置
　　安装完毕后，重启计算机，软件界面如图7。
　　该软件默认情况下影子系统功能是关闭的，需要先进行配置，点击“配置”选项，这里包括分区、排除列表以及自动转储三个方面的设置。在“分区”选项中，列出了你电脑的全部分区，默认情况下，是全部分区都进入保护，如果你的某些分区用于下载文件或者不需要还原保护的话，请将那个分区前面的勾去掉。(图8)
　　在排除列表中可以设置不需要保护的文件夹。在排除列表中的文件夹都不会在影子系统的保护中。这里我们可以将下载软件的目录以及其他你不需要保护的目录添加进来，具体操作是点击“添加文件夹”来进行添加。(图9)
　　而自动存储里面可以设置资料自动存储的文件夹路径来保护我们的操作。我们可以设置一个文件夹来自动存储我们在影子系统中进行的修改。(图10)
　　
　　2.开启保护伞
　　经过以上的配置，现在我们就可以开启影子系统来保护电脑了，具体操作是直接点击菜单栏的“模式”下的“开启影子系统”菜单，然后按照提示重新启动计算机即进入影子保护模式。(图11)
　　我们同样来进行一下测试，包括删除文件、新建文件、安装软件、运行病毒文件等，接下来我们退出影子系统看看效果，需要注意的是，退出影子模式时，选择“放弃所有改变，除‘排除列表’内的文件”这一项，即表示只有在排除列表中的修改才会保存，而其他任何改动都被还原如初。如果选择第二项，则转存前面设置的“自动转储”文件夹里的文件。(图12)
　　
　　操作不留痕
　　――沙盘Sandboxie
　　
　　沙盘“Sandboxie”也是一个类似影子系统的小软件，它可以对你当前的操作进行实时记录并进行实时的还原。同时还可以快速备份你的操作，并方便你进行恢复，可以让你操作不留痕，同样还可以为你的系统打造起一个安全防护网。
　　
　　1.在“Sandboxie”中运行IE
　　大家都知道病毒和木马基本上都是依赖IE浏览器里的设置进行传播的，用户在上网的过程中通过网络链接的点击为自己的电脑种上木马，而自己却完全不知道。此后你的电脑则处于被人监控的状态。其实在“Sandboxie”中运行IE，可以保障你上网无忧，它可以记录下第一次打开IE时的系统数据设置，即使你在IE浏览网页中被病毒、木马攻击，在关闭浏览器后，软件会自动恢复到第一次打开IE浏览器的状态，所有的病毒和木马都被彻底的清除。具体操作方法如下。
　　安装并启动“SandBoxie”后，我们可以在桌面右下角的任务栏中看见该软件的小图标。鼠标右键单击该图标，并选择“运行沙盘→IE浏览器”。(图13)
　　这时候你的系统会自动弹出你的IE浏览器，此时你可以发现你的IE浏览器标题栏中多了两个“[#]”符号，这就说明IE已经处于保护状态。(图14)
　　
　　
　　
　　
　　
　　
　　
　　
　　此时，你的所有IE浏览器操作都将被软件记录下来，不管你进行了什么操作，被感染了任何病毒，在你关闭IE浏览器的时候，软件将会恢复你的系统数据到第一次打开IE浏览器处。重启后，历史记录连同IE之间安装过的流氓插件、下载的文件都会随之消失。
　　
　　2.备份恢复磁盘、文件操作
　　“Sandboxie”除了可以保障你的IE浏览器上网安全外，还可以记录下你的所有磁盘操作。如：格式化分区、删除文件、拷贝文件等等所有的磁盘操作，软件都可以为你快速备份起来，当你进行了误操作需要还原的时候可以随时随地的将自己备份的文件操作还原。极大的提高了系统文件和系统操作的安全性，甚至被格式化的数据也可以轻松找回。具体备份还原操作如下：
　　第一步：首先在鼠标右击任务栏图标选择 “运行沙盘→Windows 资源管理器”。
　　第二步：此时，软件将自动为我们打开Windows 资源管理器，和平时打开Windows 资源管理器不同的时你可以看见在标题栏上出现了两个“[#]”符号，标志着此时你的所有磁盘、文件操作将被记录下来。如果删除文件，那么你的删除操作已经被记录下来，当你觉得该操作是一次失误操作后，还可以对该误操作进行还原恢复。(图15)
　　还原恢复也很简单，我们打开软件的主界面，点击主界面中的“配置”按钮，选择“沙盘设置→设置自动清理选项”，其中选择“自动删除沙盘目录”并在下面的框中选择“为这些文件夹启动直接恢复”。选择完后点击“确定”按钮，则完成了对刚才文件的恢复操作，此时你回到D盘原有目录下看看，是不是刚才删除的文件已经还原了呢。(图16)
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文 　　同时，我们还可以通过点击“沙盘目录→恢复文件”实现对初始记录文件的还原。(图17)
　　用同样的方法，我们可以还原基本上所有Windows下的磁盘、文件操作，十分方便。只要安装了“Sandboxie”小软件，你再也不用担心因误操作而对自己带来的巨大损失了。
　　通过以上的使用，我们不难看出，“Sandboxie”软件相对其他备份恢复类安全软件更具有优越性，它体积小，占用内存空间小。备份操作的时候并未在系统磁盘上生成新的文件占用你的磁盘空间，且使用简单、操作智能，适合初级电脑使用者。
　　
　　只保护系统分区
　　――Returnil虚拟影子系统
　　
　　前面我们介绍的几个影子类工具，都可以对整个电脑进行保护，而Returnil虚拟影子系统(Returnil Virtual System 2007)则是通过保护操作系统分区的模式来保护你的系统，该软件是一个基于虚拟机原理的新一代防毒防木马类软件，可以瞬间把你的计算机用隔离罩保护起来，同时用一个内存中的虚假替身――“影子”系统来接管真实的操作系统，因此，其他病毒和木马都无法感染你真实的操作系统。
　　
　　运行软件后，默认情况下系统处于开放模式，也就是说没有进入保护模式，我们可以点击界面上的“改变工作模式”来进行更改，选择“设置系统为保护模式”，设置完毕后，需要重新启动电脑才能生效。(图18、图19)
　　此外，软件还允许用户设置管理密码，这里不多介绍。设置完毕后，点击“启动快速保护”，将弹出“关闭所有程序”的提示，点击“OK”进入保护模式，进入保护模式后，系统盘的所有操作将不被保存。(图20)
　　Returnil虚拟影子系统资源占用比较少 ，最高时只占用1%不到的系统资源，而且在空闲时几乎不占用系统任何CPU资源。但是该软件功能相对显得比较单一，只能保护系统分区。
　　
　　神奇的还原
　　――Vista卷影副本
　　除了通过前面几款影子系统保护电脑安全和误操作外，使用Vista的用户，还可以不借助任何第三方软件的情况下，轻松还原系统和数据，这就是Vista系统中新增的功能强大的卷影副本功能，卷影副本通过自动创建捕获文件的旧版本的每日“还原点”，帮助防止数据的意外丢失。一起来看看。
　　要实现Windows Vista卷影副本功能，首先需要开启系统还原功能或者对文件进行了备份，因为Vista要恢复文件，必须依据你设置的还原点或者从备份的文件来进行恢复。
　　
　　1.开启系统还原
　　Windows Vista中的系统还原与Windows XP类似，不过设置的功能选项不尽相同，具体操作如下：
　　打开控制面板，依次点击“系统和维护→备份和还原中心”，然后在左侧点击“创建还原点或更改设置”项，在打开的窗口中，勾选需要保护的磁盘分区即可，此时该分区的系统还原功能即被开启。(图21、图22)
　　如果你的系统出现什么问题，这时你就可以使用系统还原来修复系统，具体操作是，仍然打开“备份和还原中心”，然后点击左侧的“使用系统还原修复Windows”，在打开的“还原系统文件和设置”窗口中，选择还原点。Windows Vista推荐了最近的一个还原点，你也可以根据需要选择其他还原点。然后按照提示操作，很快即可完成系统还原。这一功能与Windows XP中的系统还原类似。(图23)
　　
　　2.灵活选择备份文件
　　前面介绍的系统还原也属于Windows Vista卷影副本功能的一部分，然而，Windows Vista卷影副本与XP系统还原最大的区别在于可以备份各种文件，而且备份文件的内容可以由用户自由选择。特别需要说明的是，备份文件这一工作是实现卷影副本功能的前提。
　　同样按照前面的方法打开“备份和还原中心”，窗口右侧显示可以“备份文件或整个计算机”，这正是Windows Vista系统所独有的功能。点击“备份文件”，在打开的窗口中选择保存备份的位置，可以是本地硬盘、光盘或者网络，这里我们选择本地磁盘分区H：，专门用于备份的。(图24)
　　接下来选择要备份哪些磁盘，默认是全选的，大家根据需要进行选择。（图25）下一步是选择备份哪些类型的文件，包括图片、音乐、视频、文档、压缩文件等。(图26)
　　下一步操作将是设置备份时间和周期，如果是第一次备份，那么将立即创建备份。(图27)
　　设置完毕后，点击“保存设置并开始备份”，Windows Vista将提示你正在创建卷影副本，然后开始备份文件操作。完成备份后，可以在前面选定的分区中看到备份的文件。
　　3.体验卷影副本的功效
　　前面介绍了文件和整个计算机的备份工作，已经为卷影副本的实现做好了准备工作，这时，一旦系统出问题或者误删除了文件，我们就可以使用Windows Vista强大的卷影副本功能来恢复了。
　　这里我们以一个实例来看看，比如笔者机器中F：(工作)盘中的几个文件，由于不小心，被误删除了，怎么办呢？
　　这在以前的系统中，我们马上会想到easyrecovery这类的数据恢复软件，而在Windows Vista中，我们可以轻松借助卷影副本解决这个问题。
　　依次打开被误删文件所在文件夹，右键单击，从弹出的菜单中选择“还原以前的版本”选项（图28），在打开的窗口中，选择一个在误删文件前的版本(可以根据修改的时间来判断)（图29）。
　　接下来点击“还原”按钮，Windows Vista会提示你是否确认还原，点击“还原”即可等待还原完成，非常简单。(图30)
　　
　　从以上的全面使用中，我们不难看出，PowerShadow操作最傻瓜化，但是功能却非常强劲，唯一不足的是不能保护某个分区或者某个文件夹；ShadowUser功能比较强大，可以设置“排除列表”等，保护范围相对灵活一些；Sandboxie对IE安全这块相对要强一些，在易用性方面不如PowerShadow影子系统；Returnil虚拟影子系统功能显得太单一，很难满足用户的需求；而Vista的卷影副本功能虽然比较强大，但是目前使用Vista的用户还不多，想必是明后年的主流。
　　
　　我们也可以双击以上还原点的的备份文件，这里可以直接打开，从中查找是否有你删除的文件，如果有，直接将其中的文件复制出来，保存到你硬盘中即可。
　　如果其中一个备份文件中没有，那么再逐一打开其他备份文件查看，直到找到被删除的文件为止。当然，也可以从“备份和还原中心”中点击“还原文件”来恢复你误删除的文件。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文