注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

God is U 做自己的上帝

富原孤島--只发优质级的文章

 
 
 

日志

 
 

解析“System Volume Information”文件夹  

2009-08-08 17:27:58|  分类: [IT技术] |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
  ★概念及作用★
  System Volume Information 文件夹是一个隐藏的系统文件夹,"系统还原"工具使用该文件夹来存储它的信息和还原点。您的计算机的每个分区上都有一个 System Volume Information 文件夹。“System Volume Information”文件夹,中文名称可以翻译为“系统卷标信息”。这个文件夹里就存储着系统还原的备份信息.
  
  ★“System Volume Information”文件夹产生的问题及解决方案★
  1、空间不足问题:随着用户使用系统时间的增加,还原点会越来越多,导致硬盘空间越来越少,最后还要被警告“磁盘空间不足”.
  2、病毒保护伞(安全问题):由于NTFS的分区里该目录只有SYSTEM权限,导致杀毒软件没有权限查杀藏匿于该目录的病毒。
  3、病毒保护伞(安全问题)解决方案:阻止“System Volume Information”文件夹的自动生成。(今为止没人能做到)
  4、治表不治本的解决方案:可以打开控制面板里的“系统属性”——“系统还原”选项卡上选中“在所有驱动器上关闭系统还原”的复选框。
  
    ★“System Volume Information”文件夹里的NTFS木马(安全问题)★
  1、参考原理:
  在一个NTFS分区里,把分区权限删到只剩EVERYONE权限,并只设一个“列出文件夹的目录”权限,其他复选框都去钩。在这种情况下,该分区是没有写权限的,照理说不会再自动生成“System Volume Information”文件夹。但是,无论你这么设置,该硬盘的分区在任何一个电脑上插上去后依旧会自动生成“System Volume Information”文件夹。
  2、木马原理:利用“System Volume Information”文件夹自动生成的原理,进行线程插入免杀下载器到自动生成“System Volume Information”文件夹的系统进程里面,然后把加壳加密的木马下载到“System Volume Information”文件夹。在“System Volume Information”文件夹的保护下,杀毒软件无权查杀该木马。在设定条件下夺取SYSTEM权限运行木马预运行模块查杀杀软,然后再脱壳解密启动木马,启用保护进程防止该目录被删。此类木马无法手工删除,杀软无权查杀,就算FAT32的分区也由于加密原因无法脱壳。
  3、解决方案:阻止“System Volume Information”文件夹的自动生成。(至今为止没人能做到)
 
    ★如何关闭“系统还原” (二选一)★
  (一)、用“系统还原选项卡”
  1、在“我的电脑”图标上点右键,选择属性
  2、选择系统还原选项卡
  3、将“在所有驱动器上关闭系统还原”打勾确定后即可
  (二)、用“组策略”
  运行输入,在运行,输入"gpedit.msc"/(组策略)程序/计算机配置/管理模板/系统/系统还原/右边,关闭系统还原,双击打开它,启用。
 
   ★如何获得对“System Volume Information”文件夹的访问★
    请先利用上述方法关闭“系统还原”
    单击“开始”,然后单击“我的电脑”。
  在“工具”菜单上,单击“文件夹选项”。
  在“查看”选项卡上,单击“显示所有文件和文件夹”。
  清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时,请单击“是”。
  清除“使用简单文件共享(推荐)”复选框。
  单击“确定”。
  在根文件夹中右键单击“System Volume Information”文件夹,然后单击“属性”。
  单击“安全”选项卡。
  单击“添加”,然后键入要向其授予该文件夹访问权限的用户的名称。通常,这是您登录时使用的帐户。单击“确定”,然后再次单击“确定”。
  在根文件夹中双击“System Volume Information”文件夹以将其打开。
  
    再说系统还原(没有尝试过,嘿~)
    ★“系统还原”及其优点★
  “系统还原”是Windows XP最实用的功能之一,它采用“快照”的方式记录下系统在特定时间的状态信息,也就是所谓的“还原点”,然后在需要的时候根据这些信息加以还原。还原点分为两种:一种是系统自动创建的,包括系统检查点和安装还原点;另一种是用户自己根据需要创建的,也叫手动还原点。在Windows XP系统中,我们可以利用系统自带的“系统还原”功能,通过对还原点的设置,记录我们对系统所做的更改,当系统出现故障时,使用系统还原功就能将系统恢复到更改之前的状态。
  如何使用“系统还原”
  1、开启“系统还原”
  鼠标右击“我的电脑”,选择“属性”/“系统还原”选项卡,确保“在所有驱动器上关闭系统还原”复选框未选中,再确保“需要还原的分区”处于“监视”状态。
  2、创建还原点
  这里需要说明的是:在创建系统还原点时要确保有足够的硬盘可用空间,否则可能导致创建失败。设置多个还原点方法同上。
  3、恢复还原点
  打开“系统还原向导”,选择“恢复我的计算机到一个较早的时间”,点击“下一步”,选择好日期后再跟着向导还原即可。
  需要注意的是:由于恢复还原点之后系统会自动重新启动,因此操作之前建议大家退出当前运行的所有程序,以防止重要文件丢失。
  评论这张
 
阅读(138)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017