能力值:
( LV2,RANK:10 )
|
-
-
2 楼
Recycle不就是回收站吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
对呀!可是现在被病毒利用啊!
System Volume Information”文件夹里的NTFS木马(安全问题)
1、参考原理:
在一个NTFS分区里,把分区权限删到只剩EVERYONE权限,并只设一个“列出文件夹的目录”权限,其他复选框都去钩。在这种情况下,该分区是没有写权限的,照理说不会再自动生成“System Volume Information”文件夹。但是,无论你这么设置,该硬盘的分区在任何一个电脑上插上去后依旧会自动生成“System Volume Information”文件夹。
2、木马原理:利用“System Volume Information”文件夹自动生成的原理,进行线程插入免杀下载器到自动生成“System Volume Information”文件夹的系统进程里面,然后把加壳加密的木马下载到“System Volume Information”文件夹。在“System Volume Information”文件夹的保护下,杀毒软件无权查杀该木马。在设定条件下夺取SYSTEM权限运行木马预运行模块查杀杀软,然后再脱壳解密启动木马,启用保护进程防止该目录被删。此类木马无法手工删除,杀软无权查杀,就算FAT32的分区也由于加密原因无法脱壳。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
彻底删除方法
1.在运行,输入"gpedit.msc"/(组策略)程序/ 计算机配置/管理模板/系统/系统还原/右边,关闭系统还原,双击打开它,启用。
2,在运行,输入"gpedit.msc"/(组策略)程序/计算机配置/管理模板/windows组件/ windows Installer/在右边会有一个"关闭创建系统还原检查点"双击打开它,选择启用。
运用cacls命令赋予当前用户完全控制权限后即可删除“System Volume Information”文件夹
命令如下:
cacls "c:\System Volume Information" /g everyone:f
以上是赋予所有用户对c盘System Volume Information文件夹的完全控制权限,可以删除了
命令详解请在命令提示符下输入: cacls /?
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
非常好,学习了
|
|
|
|
