影子系统的原理

下面将会有很冗长的技术介绍，为了方便大家，我首先告诉大家：

影子系统不会改写MBR!

MBR是什么？MBR是master boot record的缩写，指的是存放在硬盘第一扇区上的引导程序，通常在第一扇区上还存放着分区表。在大多数情况下，第一扇区也被称为MBR。

哪些程序会改写MBR,程序改写MBR是否会对用户带来伤害呢？市面上常见的硬盘保护软件，多操作系统引导软件等会改写MBR，传统的引导型病毒也会改写MBR。对于给用户带来危害的问题，正规厂家提供的有质量保证的产品，都不会给用户带来危害，改写MBR只是提前执行程序的一个方法。在几乎所有的品牌电脑中，都通过定制BIOS来实现提前执行，同改写MBR是一样的效果。特别值得注意的是，影子系统的激活绝对不会改写MBR。

影子系统的激活，为什么看上去改写了MBR？

很高兴有这么多的电脑专家关注着影子系统，有了你们的监督会促使我们更真诚地服务广大网民，为大家提供有价值的产品。下面我解释影子系统激活的原理。

硬盘上除了MBR，分区，分区表以外，还存在大量的自由空间，也就是不使用的空间。这包括分区间间隙和磁道外介质，分区间间隙通过软件接口可以访问，磁道外的介质，通过控制磁盘芯片或者低级格式化也能够访问。影子系统使用分区间隙存放激活信息，并且，当影子系统被卸载时，该间隙的内容也将被复原。影子系统为什么使用分区间隙来存放激活信息呢？假如影子系统采用分区内的文件存放激活信息，在影子模式下，当收到用户态程序传来的激活数据时，负责磁盘的模块将会把激活文件写入到分区内，这是一个非常大的安全隐患，下面我介绍攻击过程。

1. 黑客首先破解影子系统用户态程序，找到组件间接口。

2. 在用户的电脑上运行程序，通过各种黑客技术装载核心态代码。

3. 黑客的核心态代码检查系统内核内存空间，查找影子系统内核组件。

4. 将影子系统内核组建中激活文件写入的部分修改为写入他们希望的任意文件名。

5. 模拟影子系统用户态发起激活操作。