返回
recycle和systemvolumeinformation

recycle和systemvolumeinformation

ID:39467758

大小:26.81 KB

页数:6页

时间:2019-07-04

recycle和systemvolumeinformation_第1页
recycle和systemvolumeinformation_第2页
recycle和systemvolumeinformation_第3页
recycle和systemvolumeinformation_第4页
recycle和systemvolumeinformation_第5页
资源描述:

《recycle和systemvolumeinformation》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、SystemVolumeInformation●、“SystemVolumeInformation”文件夹的分析SystemVolumeInformation文件夹是一个隐藏的系统文件夹,"系统还原"工具使用该文件夹来存储它的信息和还原点。您的计算机的每个分区上都有一个SystemVolumeInformation文件夹。“SystemVolumeInformation”文件夹,中文名称可以翻译为“系统卷标信息”。这个文件夹里就存储着系统还原的备份信息.●、“系统还原”及其优点“系统还原”是WindowsXP最实用的功能之一,它采用“快照”

2、的方式记录下系统在特定时间的状态信息,也就是所谓的“还原点”,然后在需要的时候根据这些信息加以还原。还原点分为两种:一种是系统自动创建的,包括系统检查点和安装还原点;另一种是用户自己根据需要创建的,也叫手动还原点。在WindowsXP系统中,我们可以利用系统自带的“系统还原”功能,通过对还原点的设置,记录我们对系统所做的更改,当系统出现故障时,使用系统还原功就能将系统恢复到更改之前的状态。●、如何使用“系统还原”1、开启“系统还原”鼠标右击“我的电脑”,选择“属性”/“系统还原”选项卡,确保“在所有驱动器上关闭系统还原”复选框未选中,再确保

3、“需要还原的分区”处于“监视”状态。2、创建还原点这里需要说明的是:在创建系统还原点时要确保有足够的硬盘可用空间,否则可能导致创建失败。设置多个还原点方法同上。3、恢复还原点打开“系统还原向导”,选择“恢复我的计算机到一个较早的时间”,点击“下一步”,选择好日期后再跟着向导还原即可。需要注意的是:由于恢复还原点之后系统会自动重新启动,因此操作之前建议大家退出当前运行的所有程序,以防止重要文件丢失●、“SystemVolumeInformation”文件夹产生的问题及解决方案1、空间不足问题:随着用户使用系统时间的增加,还原点会越来越多,导致

4、硬盘空间越来越少,最后还要被警告“磁盘空间不足”.2、病毒保护伞(安全问题):由于NTFS的分区里该目录只有SYSTEM权限,导致杀毒软件没有权限查杀藏匿于该目录的病毒。3、病毒保护伞(安全问题)解决方案:阻止“SystemVolumeInformation”文件夹的自动生成。(今为止没人能做到)4、治表不治本的解决方案:可以打开控制面板里的“系统属性”——“系统还原”选项卡上选中“在所有驱动器上关闭系统还原”的复选框。●、“SystemVolumeInformation”文件夹里的NTFS木马(安全问题)1、参考原理:在一个NTFS分区里

5、,把分区权限删到只剩EVERYONE权限,并只设一个“列出文件夹的目录”权限,其他复选框都去钩。在这种情况下,该分区是没有写权限的,照理说不会再自动生成“SystemVolumeInformation”文件夹。但是,无论你这么设置,该硬盘的分区在任何一个电脑上插上去后依旧会自动生成“SystemVolumeInformation”文件夹。2、木马原理:利用“SystemVolumeInformation”文件夹自动生成的原理,进行线程插入免杀下载器到自动生成“SystemVolumeInformation”文件夹的系统进程里面,然后把加壳加

6、密的木马下载到“SystemVolumeInformation”文件夹。在“SystemVolumeInformation”文件夹的保护下,杀毒软件无权查杀该木马。在设定条件下夺取SYSTEM权限运行木马预运行模块查杀杀软,然后再脱壳解密启动木马,启用保护进程防止该目录被删。此类木马无法手工删除,杀软无权查杀,就算FAT32的分区也由于加密原因无法脱壳。3、解决方案:阻止“SystemVolumeInformation”文件夹的自动生成。(今为止没人能做到)●、如何获得对“SystemVolumeInformation”文件夹的访问(一)、

7、使用FAT32文件系统的WindowsXPProfessional或WindowsXPHomeEdition1.单击开始,然后单击我的电脑。2.在工具菜单上,单击文件夹选项。3.在查看选项卡上,单击"显示隐藏文件或文件夹"。4.清除"隐藏受保护的操作系统文件(推荐)"复选框。在提示您确定更改时,单击是。5.单击确定。6.双击以打开根目录中的SystemVolumeInformation文件夹。(二)、在域上使用NTFS文件系统的WindowsXPProfessional1.单击开始,然后单击我的电脑。2.在工具菜单上,单击文件夹选项。3.在

8、查看选项卡上,单击"显示隐藏文件或文件夹"。4.清除"隐藏受保护的操作系统文件(推荐)"复选框。在提示您确定更改时,单击是。5.单击确定。6.右击根文件夹中的SystemVolu

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。