下载地址：http://down1.tech.sina.com.cn/download/down_contents/1152374400/28489.shtm
, w# R) O  S) B! k5 h3 B" Q/ E! K3 c" V
4 r9 G* f! H3 U9 m% C
9 B" V8 w/ s: b4 K. N& R影子系统  PK  各大牛毒- l! @. u; L: d8 O7 |2 |4 K- l
! }# l3 f/ H! I7 m9 Y
网络的安全非常之差，威胁层出不穷，怎样应对来自四面八方的各种威胁呢？其中，影子系统是个很好的选择，影子系统很强悍，使用也很简单，确实是居家旅行的必备产品之一。。。. `6 ]( h+ a9 e7 }2 a" P7 [
闲话少叙，焚香净手向天祷告后，PK活动正式启动
4 X/ |& L: `: b/ g$ W5 r$ v
/ U' w% J* Y8 Y各大参赛选手图：4 [: }8 @# z8 f4 U5 U$ x
; B6 J$ m2 K0 ~  H0 P3 b; l

9 {- j- f9 ?( W/ O* x, W* ?7 V
6 W0 l/ c1 L! i5 B一、一号上场选手：熊猫烧香5 M/ E% P( _0 T
该选手大名鼎鼎，江湖声望极高，享誉大江南北，而且作风气派，气质不俗，实为一代牛毒之楷模。其绝技是感染exe、com等等许多文件，消灭许多安全软件，并且还删除。gho文件，导致无法用ghost还原。。1 a- I/ H( g0 Z; G2 k

" r# v6 y5 n' y7 a熊猫启动了1 F: j3 e% [/ I) P

# F% s. K/ z9 H( F5 \4 c* O: `! ~+ X  k0 U' R4 p1 h, W
0 ^, r, Y; r+ Y/ ]$ ^' L
被感染了0 E+ p2 P# U" {' G9 s+ o

' t5 k+ P3 ]8 v- y- v" C
( O4 T/ G: W. u4 @3 A
# e2 W& u+ P9 d5 F# Y& H( r熊猫重启后
% I3 K; E0 J) K- y% l( x* x: `* ^7 |
; c9 l4 d: l  g* `1 v) l
/ y9 b3 k8 F* M7 e% L% [
$ p# E' k7 m* ?' y" j; t0 Z第一回合：影子胜
: D+ a; b' m" U; C% d; D
% e  E# C" b* W7 F& B" D接下来一位也是重量级boss级别毒物;机器狗，该选手最为阴险狡诈，无影脚令人防不胜防，擅长偷袭，出手又很凶残，其采用hook系统的磁盘设备栈来达到穿透还原目的，危害极大，乃暴力木马流的宗师啊。。。
* q1 z. I7 g) {# c, O# S0 x7 K8 P- M( O4 q
机器狗出招了
* R/ l7 T; |7 R+ b% g% ^  [
) ^! N+ L! _# S
0 d0 J2 S& b0 @, H8 x, W6 n; u% U9 G 0 T8 y& Z# f4 y
一整套组合拳;释放至temp，安全驱动修改注册表磁盘底层存取。。。pcihdd.sys是其关键绝招，属于底层硬盘驱动，优先级极高而取代还原类产品，然后接管修改接管启动管理器，更让对手讨厌的是安安装驱动后会自动卸载删除，以达到其阴险的潜伏目的+ M* W! a! f; Z. d+ i

' ^. v4 ^+ g7 R9 s8 {6 V; q6 t$ o7 d- u

" a, X* ]1 @4 ?+ N 3 C# {; Q* R4 M: O$ f; C7 M$ i0 Z
但关键，注册表下的痕迹
& L- F' y% ]' m  [( p. |, p  I' G" o, }3 v5 B7 u. j" x

6 r+ }3 {& D' z7 O  X2 N- d
6 T% m8 @7 w: H, {; ^3 [" b) C1 P6 w7 [- V- l) v+ q$ m5 O
重启后再看注册表" a9 i; q/ x1 Q. A2 a' [5 S
# M/ C) N1 Q! |1 R* u+ \
' F3 ?- S: @( z- @: k
8 W( Y) N4 b+ `- f1 N0 J( a
此一战斗，影子胜利! l& A5 |! s* F9 p" Q

0 K- G) v0 w& u* Z2 t; M& n; z2 `& \' Q, y/ V/ X8 ^. r

$ J5 Y  G: t2 j0 P) p% w" Q总结：/ L9 m. f% L5 V6 v  f& |0 r0 W
影子跟熊猫、机器狗的测试本人做了很多，只是因为贴图实在搞不了那么多，所以每个病毒只选择了一种有图，在目前的测试中，2008的影子都能顺利的把变种PK掉。
( o2 t! S2 y7 z6 V破解版的本人也特意试验了，但是很多不行，觉得很奇怪，后来才知道原来破解版在安装重启前要替换掉正式版的核心驱动，而这个替换的破解驱动用的是2.8.2版的内核，难怪2个差别这么大了。。
# G) [3 c9 g2 w1 N另外，我个人觉得觉得影子整合HIPS不如影子整合密保，单用影子安全性就已经很高了，也可以说全盘保护就等同于是HIPS的FD全局，当然对于熟手来说，影子+一个纯HIPS+一个杀软+xp自带墙（如果喜欢折腾的搞搞组策略和NTFS权限啊受限用户等等也可以的）就能组成安全性超高超强的，更强大的安全防御了0 s( E: i7 n! E) a, s7 {

？？？？

支持