“System Volume Information”文件夹里的NTFS木马(安全问题)

病毒保护伞

原因:由于NTFS的分区里该目录只有SYSTEM权限,导致杀毒软件没有权限查杀藏匿于该目录的病毒。(现在大多数软件都能查杀)

解决方案:阻止“System Volume Information”文件夹的自动生成。

1、参考原理:

在一个NTFS分区里,把分区权限删到只剩EVERYONE权限,并只设一个“列出文件夹的目录”权限,其他复选框都去钩。在这种情况下,该分区是没有写权限的,照理说不会再自动生成“System Volume Information”文件夹。但是,无论你这么设置,该硬盘的分区在任何一个电脑上插上去后依旧会自动生成“System Volume Information”文件夹。

2、木马原理:利用“System Volume Information”文件夹自动生成的原理,进行线程插入免杀下载器到自动生成“System Volume Information”文件夹的系统进程里面,然后把加壳加密的木马下载到“System Volume Information”文件夹。在“System Volume Information”文件夹的保护下,杀毒软件无权查杀该木马。在设定条件下夺取SYSTEM权限运行木马预运行模块查杀杀软,然后再脱壳解密启动木马,启用保护进程防止该目录被删。此类木马无法手工删除,杀软无权查杀,就算FAT32的分区也由于加密原因无法脱壳。

3、解决方案:阻止“System Volume Information”文件夹的自动生成。(可以用unlocker删除)

4、解决的具体方法:右击用unlocker删除,unlocker就会删除这个文件夹,打开回收站,再看看,是不是多了很多文件,这时还无法删除,现在打开x:/RECYCLER(“x:/”表示“System Volume Information”所在的分区),右击unlocker点击移动到桌面,桌面就会生成一些隐藏文件,这时选中这些文件,右击属性,将“只读”去掉,再选中之后,用unlocker删除,并且清空回收站,这样“System Volume Information”文件夹就从电脑中消失了。如何获得对“System Volume Information”文件夹的访问 使用 FAT32 文件系统的 Microsoft Windows XP Professional 或 Windows XP Home Edition

1、打开任意一个文件夹。

2、在“工具”菜单上,单击“文件夹选项”。

3、在“查看”→“隐藏文件和文件夹”选项卡上,单击“显示所有文件和文件夹”。

4、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时,请单击“是”。

5、清除“使用简单文件夹共享(推荐)”复选框

6、单击“确定”。

7、在文件夹中双击“System Volume Information”文件夹以将其打开。

8、操作后建议选择“还原为默认值”点确定

在域中使用 NTFS 文件系统的 Windows XP Professional

1、打开任意一个文件夹。

2、在“工具”菜单上,单击“文件夹选项”。

3、在“查看”→“隐藏文件和文件夹”选项卡上,单击“显示所有文件和文件夹”。

4、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时,请单击“是”。

5、清除“使用简单文件夹共享(推荐)”复选框

6、单击“确定”。

7、在文件夹中右键单击“System Volume Information”文件夹,然后单击“共享和安全”。

8、单击“安全”选项卡。

9、单击“添加”,然后键入要向其授予该文件夹访问权限的用户的名称。选择相应的帐户位置(本地帐户或域帐户)。通常,这是您登录时使用的帐户。单击“确定”,然后再次单击“确定”。(提示:建议键入Everyone这个账户,意思是所有账户均有权限)

10、在文件夹中双击“System Volume Information”文件夹以将其打开。

在工作组或独立计算机上使用 NTFS 文件系统的 Windows XP Professional

1、打开任意一个文件夹。

2、在“工具”菜单上,单击“文件夹选项”。

在“查看”选项卡上,单击“显示所有文件和文件夹”。

3、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时,请单击“是”。

4、清除“使用简单文件共享(推荐)”复选框。

5、清除“使用简单文件夹共享(推荐)”复选框

6、单击“确定”。

7、在文件夹中右键单击“System Volume Information”文件夹,然后单击“共享和安全”。

8、单击“安全”选项卡。

9、单击“添加”,然后键入要向其授予该文件夹访问权限的用户的名称。通常,这是您登录时使用的帐户。单击“确定”,然后再次单击“确定”。(提示:建议键入Everyone这个账户,意思是所有账户均有权限)

10、在文件夹中双击“System Volume Information”文件夹以将其打开。

注意:现在,Windows XP Home Edition 的用户可以在正常模式下访问 System Volume Information 文件夹。

方法适用范围

Microsoft Windows XP Home Edition及 Microsoft Windows XP Professional Edition如何删除/访问“System Volume Information”文件夹 普通删除方法

1、关闭“系统还原”

2、获得对“System Volume Information”文件夹的访问

3、NTFS的分区里该目录只有SYSTEM权限,需要将您登录时使用的帐户(或将EVERYONE账户)的权限设为完全控制才能删除。

4、删除“System Volume Information”文件夹

彻底删除方法

1.在运行,输入"gpedit.msc"/(组策略)程序/ 计算机配置/管理模板/系统/系统还原/右边,关闭系统还原,双击打开它,启用。

2,在运行,输入"gpedit.msc"/(组策略)程序/计算机配置/管理模板/windows组件/ windows Installer/在右边会有一个"关闭创建系统还原检查点"双击打开它,选择启用。

运用cacls命令赋予当前用户完全控制权限后即可删除“System Volume Information”文件夹

命令如下:

cacls "c:\System Volume Information" /g everyone:f

以上是赋予所有用户对c盘System Volume Information文件夹的完全控制权限,可以删除了

命令详解请在命令提示符下输入: cacls /?

访问的方法

如何获得对 System Volume Information 文件夹的访问

右击我的电脑/属性/系统还原项/选“关闭所有还原”,再删除system Volume Information文件夹。或 我的电脑/任何盘符/工具/文件夹选项/查看/还原默认值。

(注:change.log是系统更改日志,主要监看各个盘区的变化,不是病毒)

如果您愿意花几块钱请我喝杯茶的话,可以用手机扫描下方的二维码,通过 支付宝 捐赠。我会努力写出更好的文章。 
(捐赠不显示捐赠者的个人信息,如需要,请注明您的联系方式) 
Thank you for your kindly donation!!

时间: 2024-10-08 23:54:10

“System Volume Information”文件夹里的NTFS木马(安全问题)的相关文章

一个文件夹里放多少个文件合适?

FAT16文件系统  可以保存的文件体积最大值是 4 GB - 1 byte (2^32 bytes - 1 byte):  卷的最大体积是4GB:每个卷上最多可以保存的文件数量是65,536个 (2^16):  根目录下可以保存的文件和文件夹数量最大值是512个(如果使用了长文件名,该数字还会减小) FAT32文件系统  可以保存的文件体积最大值是 4 GB - 1 byte (2^32 bytes - 1byte):  Windows自带的工具可以创建的卷的最大体积是32GB:  每个卷中最

diff两个文件夹里的东西

diff --help -x, --exclude=PAT               exclude files that match PAT 排除某个类型的文件 -u, -U NUM, --unified[=NUM]   output NUM (default 3) lines of unified context 输入行好 -N, --new-file                  treat absent files as empty 如果某个文件只在一个地方有,就把这个文件当作不存

C++如何用system命令获取文件夹下所有文件名

http://www.cplusplus.com/reference/cstdlib/system/ http://bbs.csdn.net/topics/30068943 #include <stdlib.h> 查找当前路径下文件名,并存入tmp.txt. system("dir > tmp.txt"); 查找绝对路径c:\folder下文件名,并存入tmp.txt. system("dir c:\\folder>tmp.txt"); C+

oracle 数据恢复,只有oradata文件夹里的文件,没有备份文件的数据库恢复,重装系统后,oracle 10g数据库恢复

格式化重装系统后,才想起来oracle 10g 数据库没有做备份,开始以为很麻烦,没想到数据库恢复的还挺顺利的 恢复方法: 1,把原来的数据库文件备份,(D:\oracle\product\10.2.0\oradata\gqxt),重新命名即可,我命名为gqxt_old,(否则装数据库的时候会提示sid已存在). 2,重新安装数据库到原来的路径(不安装到原来的路径也没关系,但是原来的数据库文件必须在原来的路径不能变,也就是oradata\gqxt所在的路径不能变),数据库的名字就是你要恢复的名字

su认证失败&amp;文件夹里打开终端的方法&amp;atom安装

很久没用笔记本上的ubuntu,用不顺手,比在公司调教了半年多的电脑差远了.一步一步来.先解决最不顺手的三件事 1.su认证失败. 新安装的ubuntu系统是无法切换到root账户的,得做一番修改 sudo passwd 密码: 输入新的UNIX密码: 确认密码: 这样就可以了 2.文件夹里打开终端 sudo apt-get install nautilus-open-terminal 然后nautilus -q重新加载文件管理器,或注销登陆即可生效. 3.安装atom编辑器 sudo add-

SQL扫描并执行文件夹里的sql脚本

原文:SQL扫描并执行文件夹里的sql脚本 场景:项目数据库操作全部使用存储过程实现.每天都会有很多存储过程更新/增加,人工对测试环境中存储过程更新,会有一定概率出现遗漏,也麻烦!所以,需要一个工具将文件夹中所有存         储过程执行一次.实现:首先想到的是用c#,很简单,而且功能强大.        但是,我想尝试一下使用sql实现同样的功能,然后就发现了xp_cmdshell这个强大而又危险的东西!查询分析器执行,无需传入数据库用户名.密码,传入目录,就会按照脚本文件名排      

删除文件夹里的 .svn,

删除文件夹里的 .svn,cmd  进入相应目录  运行    for /r ./ %a in (./) do @if exist "%a/.svn" rd /s /q "%a/.svn"

将Temporary文件夹里的Logo文件转移到Logo文件夹

/// <summary> /// 将Temporary文件夹里的Logo文件转移到Logo文件夹 /// </summary> /// <param name="new_resume"></param> /// <returns></returns> private bool RemoveToLogo(Resume new_resume) { string destinationPath = new_resume

jq和js插件的各个文件夹里放置的内容

1. demo文件夹,存放各种实例. 2. dist文件夹,全称是distribution.在某些框架中,因为开发和发布的内容或者代码形式是不一样的(比如利用Grunt压缩等等),这时候就需要一个存放最终发布版本的代码,这就是dist文件夹的用处.dist文件夹里的localization文件夹是本地化/局部化文件夹,是提供语言更换的.一般中文是zh.js. 3. lib文件夹是静态数据连接库,一般放引入文件,这个目录里存放着系统最基本的动态链接共享库,几乎所有的应用程序都须要用到这些共享库.个