最近一位朋友说把我给他安装了影子系统的密码给忘记了,以至于系统根本进不去。一开始接到这个问题很是棘手,在Windows以外破解影子密码不太现实,只好从文件方面下手了。
影子系统的正常、部分还原和全部还原在系统启动前有一个选择菜单,我首先想从这里下手,把这里改回原来的启动信息就有可能成功了。我先我先用一张Win98系统盘引导进了DOS,可根本看不到硬盘的一个盘符(这是因为Win98的DOS不支持硬盘的NTFS格式,现在有的安装盘会带支持NTFS格式的DOS)。我忽然想起XP系统盘在安装之前有一个叫故障恢复控制台的东西,后来一试果然能访问NTFS磁盘了,算是初战告捷。
使用故障恢复控制台进入C盘,看到了boot.ini,这就是系统启动配置文件,又看到一个影子系统做的boot.ini备份bootbak.ini。很是开心,直接将boot.ini改名,再将bootbak.ini改回boot.ini(语法是Rename[drive:][path]filename1 filename2)。重新启动果真没有系统选择界面了,直接进入了系统。进入系统后先在桌面保存一个文件,重新启动,但是很遗憾,失败了,在其他盘里保存也失败了,上面的操作将系统变成了一个完全还原的系统。不但如此,进入系统后还是照样启动影子系统的程序,而且确实显示的是完全还原。我猜想是否是启动影子系统程序的问题,就到SYSROOT:\WINDOWS\system32\shadow\下面找东西。将shadowSetting.exe删除后,认为系统不会启动控制软件了,但进行此操作后,重启计算机,控制器确实不开启了,但照样还会还原。
后来根据原则查了一下system32下含有shadow、power等关键词的文件,又结合文件修改时间,找到了snpshot.sys,这个文件是影子系统的核心驱动。它在\WINDWOS\system32\drivers目录里,描述是shadowsystem。我们将这个文件删除过后,系统顺利进入,文件照样保存。到了这里,影子系统被彻底突破了。