Всем доброго времени суток, дорогие друзья, знакомые, читатели, почитатели и прочие личности. Сегодня поговорим про Shadow Defender.
Мы с Вами говорили про многие средства защиты компьютера, причем, как напрямую относящиеся к активной защите, вроде всяческих антивирусов и фаерволлов; полу-активных чистильщиках вирусов и spyware вроде AVZ, AdwCleaner, Spybot, Malwarebytes, HitmanPro и тп; так и о методах упреждения, вроде No-Script, uBlock, Ghostery, uMatrix и много о чем еще.
В частности, мы затрагивали такие вещи как резервное копирование и восстановление (что тоже может служить некоей защитой от заражения или хотя бы способом вернуть целостность после нанесённого ущерба), так и специфичные решения, по типу той же песочницы Sandboxie.
Сегодня пришла речь поговорить о еще одной интересной штуке, позволяющей сохранить целостность ОС и программ, методом создания теневого образа.
Давайте приступим.
Принцип работы защиты на основе динамических копий
Итак, речь пойдет об утилите Shadow Defender, что Вы уже поняли из заголовка и подзаголовка. Суть работы неплохо проиллюстрирована в Википедии и звучит как:
- На выбранные объекты программа создаёт динамические копии файлов, после чего все объекты будут защищены от нежелательных или злонамеренных изменений. Также существует настройка для создания исключений для целых папок и отдельных файлов, изменения которых будут происходить на оригинале, в отличие от защищённых, где изменения не трогают физическое содержимое файла, а производят изменения в теневой копии, которые только эмитируют (эмулируют) оригинальный файл;
- Теневым образом является виртуальная среда, куда идёт перенаправление буквально каждого элемента, в котором были совершены изменения, а реальная окружающая среда остаётся неизменной;
- После всех изменений и перезагрузки компьютера, система восстановится в первоначальное состояние, каким она являлась до включения защиты. До перезагрузки компьютера утилита предлагает пользователю восстановить систему из «замороженной» среды или оставить её в защищённом режиме, какой она является на текущий момент.
В некотором смысле она построена на принципе песочницы, только для эмулирования и виртуализации использует несколько другой подход к стилю защиты. Чем-то, кстати, она похожа на интереснейший Rollback RX о котором мы писали в соответствующей статье.
к содержанию ↑Загрузка, установка и запуск Shadow Defender
Программа платная, поэтому мы напишем еще отдельную статью по её бесплатному аналогу. Пока мы предлагаем Вам просто попробовать её использовать, в целях ознакомления с данным принципом защиты для понимания того, какие, помимо многострадальных антивирусов, интересные решения, существуют в плане безопасности компьютера.
Скачать можно по этой ссылке, т.е с сайта разработчика.
Установка, традиционно, проста, хотя и не поддерживает русский язык (как и сама программа). Правда, зачем-то не понятно, в установщике присутствует древнейший запрос на информацию о пользователе:
После установки будет запрошена перезагрузка. Сделайте её вручную (выбрав второй кружок) или автоматически (выбрав первый). Перед автоматическим режимом не забудьте закрыть и сохранить всё ценное.
После перезагрузки у Вас должен будет появится значок в трее (где часы) и на рабочем столе (если не снимали соответствующую галочку):
По двойному клику на который запустится программа, точнее говоря, сначала не сама она, а непосредственно предложение зарегистрировать её (Register), купить (Buy) или пока использовать 30-ти дневный пробник (Later).
к содержанию ↑Использование программы и запуск теневой защиты
Остановимся на последнем пункте, который является вторым (центральным) на скриншоте:
После этого откроется окно программы Shadow Defender, где будет предложено выбрать диски, которые Вы хотите "Отправить в тень", т.е как раз защитить методом эмулирования и создания виртуальной копии, как оно и описано в принципе работы (кликабельно):
Выберите нужные диски и нажмите в кнопку "Enter Shadow Mode", чтобы запустить процесс. Кстати говоря, если у Вас МНОГО оперативной памяти, то её часть можно задействовать для ускорения операций записи, для чего есть соответствующее окошко справа над кнопками.
После нажатия соответствующей кнопки Вы получите предупреждение с, не совсем понятным, выбором опций "Enter Shadow Mode on Boot" (входить в режим защиты при загрузке) и "Exit Shadow Mode on Shutdown" (выходить из режима при выключении) и предупреждением вида:
Please save your documents before enter Shadow Mode. To continiue click "OK".
Note: In Shadow Mode any changes of the files and folders in Exclusion List will be commited to the original volume with no warneng whatsoever.
Что условно можно перевести как:
Сохраните документы перед тем, как войти в "Теневой режим". Чтобы продолжить, нажмите «ОК».
Примечание: в этом режиме любые изменения файлов и папок в списке исключений будут переданы в исходный том без каких-либо предупреждений.
Нажмите "Cancel" и перейдите на вкладку "File Exclusion List", чтобы настроить исключения (кнопками "Add File" и "Add Folder") или убедится, что их нет:
Либо сразу нажмите "OK" (я бы рекомендовал выбрать автоматический вход в теневой режим при загрузке, т.к зайти можно и забыть, а вот выходить вручную уже не так критично с точки зрения уровня безопасности).
После этого появится просьба подождать и, если всё прошло успешно, то уведомит о том, что операция завершена и диск защищен:
Это же можно будет увидеть в списке дисков, где, защищенные из них, будут отмечены особенным значком:
И поверх рабочего стола будет соответствующая надпись:
Теперь поговорим немного о вкладках и настройках.
к содержанию ↑Настройка и описание вкладок программы
В самой же программе Shadow Defender, на вкладке "System Status" можно будет посмотреть статус работы, т.е сколько места свободно, сколько занято под нужды защиты (Space Used by SD), какие исключения есть и тп:
Раздел "Registry Exclusion List" позволит задать, как и в случае с "File Exclusion List", исключения, но в отличии от последнего, для записей или веток реестра:
С помощью вкладки "Commit Now" и соответствующих кнопок "Add File" и "Add Folder" (или по правой кнопки мышки в контекстном меню проводника) Вы можете записать изменения каких-либо папок или файлов на текущий момент, т.е это не совсем исключение из правил, сколько "привязка" изменений к текущему тому.
Не знаю насколько понятно объяснил, может подсказка будет понятнее:
Add the files and folders to the list above, then click "Apply" button, all changes of the files and folders will be committed to the original volume immediately, and once changes happen, you need to commit them again
Примерный перевод:
Добавьте файлы и папки в список выше, затем нажмите кнопку «Применить», все изменения файлов и папок будут немедленно переданы в исходный том, и после того, как изменения произойдут, вам необходимо снова их зафиксировать
Т.е, таким образом можно как бы фиксировать разные стадии изменений, если можно так выразиться и сохранять какие-то из них на определенный момент времени.
Ну и вкладка Shadow Defender администрирования позволяет задать настройки..
..вроде следующих:
- Start with Windows, - запускать при старте системы;
- Enable tray icon, - показывать иконку в трее;
- Enable desktop tip, - показывать уведомление поверх рабочего стола (см.скриншот в тексте статьи);
- Enable shell context menu extension, - добавить пункт в контекстное меню;
- Enable password control, - включить защиту паролем;
- Need password when commiting files via shell context menu, - включить защиту паролем commit через контекстное меню;
- Notify me with low free space on the protected volume, - уведомлять о малом размере свободного места за защищенном диске;
- Encrypt write cache, - шифровать кеш записи;
- Check for updates automatically, - проверять обновления автоматически;
- Enable hibernation in Shadow Mode, - работать в режиме гибернации.
Собственно, можете оставить их как есть или настроить на своё усмотрение. Думаю, что тут всё понятно.
Идём дальше.
к содержанию ↑Как проверить, что Shadow Defender работает?
Как же теперь проверить, что это работает? Да в общем и целом очень просто. Для простейшей проверки просто создайте на диске, который Вы защитили любой файл или проделайте любые изменения (удалите/скопируйте/переместите папку, файл или что-либо еще):
В моём случае, я удалю папку с названием одноименной игры Overwatch, где хранятся настройки, демки и прочее. Убедимся, что папки больше нет и создам пустую папку с именем "Sonikelf_shadow":
Теперь перейдем в саму программу и отключим режим защиты (т.е "теневой" или "виртуальный" режим) соответствующей кнопкой:
На что получу уведомление, вида:
И содержания:
Some volumes you selected cannot exit Shadow Mode (maybe some files ared used by other applications), a reboot or shutdown is needed for the change to take effect.
Do you want to reboot or shutdown now (After a reboot or shutdown, OS will exit Shadow Mode automatically)?
Что, условно, можно перевести как:
Некоторые выбранные тома не могут выйти из режима тени (возможно, что файлы используются другими приложениями), для вступления изменений в силу требуется перезагрузка или завершение работы.
Вы хотите перезагрузить или выключить компьютер сейчас (после перезагрузки или выключения ОС автоматически выйдет из режима тени и выгрузит используемые программы/файлы)?
Что само по себе логично, ибо мною был переведен в теневой режим системный диск, который, логично, используется самой системой, браузером и другими программами и приложениями Windows. Соответственно, будут предложены варианты:
- Exit Shadow Mode and reboot now (выйти из режима защиты и перезагрузиться сейчас);
- Exit Shadow Mode and shutdown now (выйти из режима защиты и выключить компьютер сейчас);
- Reboot or shutdown later (сделать это позже вручную).
Я выберу первый пункт, дождусь перезагрузки и.. Увижу, что после неё все изменения, которые я сделал (удалил папку, создал новую) откатились:
Это затронуло, само собой, вообще все изменения на диске, который я защищал (т.е системный) и, соответственно, даже вкладке в браузере у меня остались те, что были открыты на момент включения Shadow Mode в Shadow Defender'е, т.к браузер хранит и кеширует данные в системные папки на этом диске.
Думаю, после такого "финта" ушами принцип работы Вам должен быть уже понятен. Кое что я еще добавлю в послесловии, к которому, собственно, мы сейчас и перейдём.
к содержанию ↑Послесловие
В общем и целом, - Shadow Defender это потрясающий инструмент для защиты данных и быстрого отката любых изменений, в том числе вредоносных. При некоторой сноровки это хороший способ для защиты конфиденциальности, мол, если что, то я не я и лошадка не моя. Купить, если надо, можно по этой ссылке (ну или с сайта разработчика, хотя там не всё так прозрачно и удобно).
Тем не менее, у такого подхода есть существенный изъян, - это то, что этот метод не защищает от кражи каких-либо персональных данных. Т.е, если во время работы в защищенном режиме к Вам проник троян и он успел слить данные кредитки, логины-пароли или что-то там еще в интернет, то при откате системы, трояна на диске может уже и не будет, но данные как бы уже утекли и при этом, за счёт отката, Вы можете даже об этом не узнать, т.к вируса то уже нет, а когда он был Вы и не заметили :)
Помимо прочего это некоторым образом создаёт нагрузку на диск (и компьютер вцелом, особенно, если Вы шифруете кеш записи и тп), потребляет определённое количество места и других ресурсов, что стоит иметь ввиду.
Ну и платность, да. Хотя, прямо скажем, цена небольшая за такую защиту. Впрочем, есть и бесплатные аналоги о которых мы, быть можем, со временем расскажем.
Первый, само собой.
Попробуйте, вещь, сама по себе, интересная. Плюс есть в штатной методологии при администрировании.
"Плюс есть в штатной методологии при администрировании."
Это как понимать?
Ценник для Российских реалий дороговат
Понимать так, что похожие механизмы можно реализовать штатными методами
3000 - это дорого?
Привет! Хорошая статья как всегда,появились правда некоторые вопросы,ответы на которые,думаю будет полезно знать всем (причем один из вопросов немного не связан с темой статьи,а связан скорее со скриншотом и интересом) итак:
1) При использовании Acronis true image есть смысл использовать данную прогу?
2) Почему у тебя активный защитник windows?
З.Ы я думаю,как аналог, может пойти RollBack RX Home
Привет.
1. Почему нет? Зависит от целей и задач. У Acronis и Shadow они абсолютно разные
2. Такая система, где писали статью
PS: Нет, он похож, но не совсем о том
Спасибо за ответы. :)) Я так понимаю,что данную прогу тоже можно считать частью безантивирусного подхода при желании
Можно
Здравствуйте.
Программа поддерживает русский язык. Для русификации необходимо скачать файл с официального сайта и положить его в директорию с установленной программой.
Вот цитата с сайта: "To use the language file, please copy downloaded res.ini to the SD installation directory (usually C:\Program Files\Shadow Defender)"
Думаю эту информацию нужно указать в статье.
Приветствую.
Спасибо за дополнение!
Спасибо, классная штука!
Да не за что
практически тот же функционал у Toolwiz time freeze.Причём лучше скачать её старую версию.Она оставляет изменения без перезагрузки.И хотя ключи к Shadow defender легко находятся в интернете, главное преимущество тулвиза это бесплатность
Спасибо за дополнение
Пользуюсь этим софтом уже несколько месяцев. В целом радует и полёт нормальный, когда всё под себя настроишь и добавишь в исключения. Такая себе, антивандальная система)
Раз уж и здесь о ней речь зашла, хотел спросить:
1. Нормально ли её использовать стабильно - постоянно? Т.е. загружать с ней систему и всегда через неё работать, а не просто, когда что то мутное поставить надо? Я так делаю и всё хорошо, но вопрос в долгосрочных перспективах здоровья ПК.
Слышал что её используют например в отелях, где есть компы. Что б люди пользовались спокойно, но после них никаких следов не оставалось (и вирусов с флешек).
2. Может сталкивался кто, в браузере Вивальди выпиливает сохранённые вкладки при перезагрузке компа, заново приходится открывать. Конечно в браузере выбрано открытие последней сохранённой сессии (и до Дефендера оно стабильно работало) и в самом Дефендере добавлена в и исключение вся папка c:\Users\****\AppData\Local\Vivaldi\
Больше вроде Вивальди вообще нигде не прописывается, не нашёл, хотя искал даже через поиск в Тотал Коммандере с показыванием всех скрытых файлов. Может это где то в реестре, не знаю.
Приветствую.
По вопросам:
1. Да и даже хорошо. Примерно на нескольких десятках машин у меня такой (или аналогичный софт) работает в режиме 24x7. Так что идеально, особенно при определенных сферах деятельности (как отели те же, ага).
2. Версия какая?
Спасибо за ответ) Буду спокойнее спать теперь)
Версия Дефендера
1.4.0.665
До этого была более старая, с ней те же проблемы были
Версия браузера Вивальди
1.10.867.48 (Stable channel) (32 бит)
На всякий случай :)
Хм, не сталкивался :( Или, точнее говоря, пока ничего в голову не приходит.
Здравствуйте. А что утилиту то не дожали?
Что бы сохранить изменения,нужно: В программе Shadow Defender,в защищенном режиме, надо поставить галочку на против диска(дисков)в котором вы собираетесь сохранить изменения.Допустим это диск С.Ставим галочку на против диска C.Нажать: Обычный режим->В сплывающем окне выбрать: сохранить все изменения-> ОК -> В сплывающем окне выбрать: отключить защищенный режим и перезагрузить компьютер.
Приветствую.
Спасибо за дополнение.
Здравствуйте! Скажите пожалуйста, можно ли восстановить документы , которые были удаленны данной программой?