Board logo

标题: [原创]CMD下初探System Volume Information文件夹(Windows XP Pro sp2) [打印本页]

作者: lxmxn     时间: 2006-12-7 12:09    标题: [原创]CMD下初探System Volume Information文件夹(Windows XP Pro sp2)


[原创]CMD下初探System Volume Information文件夹(Windows XP Pro sp2)


  今天看到论坛上的Michael兄提到这个System Volume Information文件夹,于是想到每次我们杀毒扫描或者用"dir /a c:\"类似命令查看磁盘根目录下的所有文件时,会发现有个名为System Volume Information的文件夹,以前并没有过多的注意这个文件夹,那么这个文件夹到底是干什么用的呢?怎么进入呢?废话不多说,开始我们的初探!
 
  System Volume Information,顾名思义,它就是“系统卷标信息”,带系统、隐藏属性,它里面储存了系统还原的备份信息。系统还原功能是XP自带的比较实用的功能,可以通过还原点将系统还原到以前的一个时间点的状态。
 
  现在就进去看看它的真面目吧:

  首先要做的就是关闭系统还原功能,方法如下:在[桌面]右键单击[我的电脑],选择[属性],切换到[系统还原]标签卡,将[在所有驱动器上关闭系统还原]前面的勾选上,然后确定。

  首先在命令行下输入"cd\"进入磁盘跟目录,如果磁盘的文件系统是NTFS类型的话,直接输入命令"cd System Volume Information"可能进不去,会出现拒绝访问的提示,因为没有权限,这时就要手工添加访问的权限了,输入"cacls "c:\System Volume Information" /E /G %username%:F",此时就应该可以进入System Volume Information文件夹了。
  
    "dir /a"了一下,发现里面有两个文件,一个是"MountPointManagerRemoteDatabase"文件,零字节,另一个文件是"tracking.log",这个文件有20K,type了一下,发现都是乱码,于是我将目标转移到了D盘,进入之后,发现里面一个文件都没有,于是又没有任何的文件,于是我把目标转移到d盘,没有任何文件,E盘呢?不会又没有文件吧?

    进入E:\System Volume Information之后,发现有一个文件夹和两个文件,其中的两个文件是和c盘System Volume Information里面的两个差不多,就不多讲了,另一个文件夹为"_restore{1BBEAD36-18FD-459E-A52A-F947FD9BB107}",进入之后dir了一下,里面很多文件夹,命名如RP11、RP3、RP12之类的,随便进了一个,RP12目录。dir /a了一下,结果令我有点意外,大家看它里面的文件:

  Quote:
-dir /a
驱动器 E 中的卷是 Hacker
卷的序列号是 3027-098B

E:\System Volume Information\_restore{1BBEAD36-18FD-459E-A52A-F947FD9BB107}\RP1
2 的目录

2006-09-26  13:20    <DIR>          .
2006-09-26  13:20    <DIR>          ..
2006-07-08  11:02                65 A0007775.ini
2006-05-31  10:01                65 A0007776.ini
1999-08-23  11:05                30 A0008820.INF
2002-01-31  11:36            96,256 A0008821.DLL
1994-11-17  16:50            69,248 A0008822.DLL
2002-01-31  12:35            49,664 A0008823.exe
1999-09-07  19:42            31,744 A0008824.DLL
1993-05-18  09:25            50,176 A0008825.DLL
2001-08-04  12:49           226,816 A0008826.exe
2001-06-25  19:24           251,532 A0008827.exe
1999-02-23  13:59            24,576 A0008828.exe
2001-05-27  13:21        52,124,604 A0008829.exe
2001-07-05  10:52                34 A0008830.inf
2001-07-07  11:14               107 A0008831.reg
2001-07-07  11:51                35 A0008832.inf
2000-10-22  13:28            24,576 A0008834.exe
1999-05-13  08:00         1,064,456 A0008836.OCX
1998-06-24  08:00           108,336 A0008837.ocx
2000-08-25  22:40            65,024 A0008838.exe
2001-02-26  20:15           512,000 A0008839.exe
2001-08-05  20:50         1,585,478 A0008840.exe
2001-07-04  22:16           629,362 A0008841.exe
2001-06-19  10:44            80,384 A0008842.exe
2000-07-30  23:23            45,056 A0008843.exe
1999-03-11  10:38            58,368 A0008844.dll
1998-04-04  10:50            50,176 A0008845.DLL
2000-03-24  12:48           147,456 A0008846.DLL
2000-03-24  11:35            30,208 A0008847.EXE
1999-09-17  21:40           121,856 A0008848.EXE
1995-07-11  09:50            87,552 A0008849.DLL
1995-07-11  09:50            19,968 A0008850.DLL
1995-08-16  09:26            59,904 A0008851.DLL
1995-07-11  09:50            23,552 A0008852.DLL
1995-07-11  09:50            48,640 A0008853.DLL
2001-08-06  17:18           676,652 A0008854.exe
2001-07-08  14:39         2,098,565 A0008855.exe
2000-10-04  13:22           302,145 A0008856.exe
2006-08-09  20:27                65 A0008930.ini
2006-08-10  20:28                65 A0013409.ini
2006-08-10  08:23             2,610 change.log.1
2006-08-10  19:37            29,472 change.log.2
2006-08-10  20:28             1,298 change.log.3
2006-08-11  21:14             1,298 change.log.4
2006-08-17  09:50                 8 RestorePointSize
              44 个文件     60,799,482 字节
               2 个目录 13,312,978,944 可用字节

  里面居然有这么多的exe文件和dll文件,还有ini,inf,ocx,reg文件,而且除了几个文件的时间符合事实之外,其它的都不符合事实,于是想看看我们比较熟悉的reg文件里面到底是什么,"type A0008831.reg"之后,里面的内容居然是这样的:

  Quote:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinLoad"="d:\\msnet.exe"

  经常玩注册表的人,很容易就知道这个reg文件是什么意思了,它是添加一个"WinLoad"的自启动项,运行的文件是D盘跟目录下的msnet.exe。我再到D盘下一看,发现根本没有这个msnet.exe文件,难道是以前中了病毒之后,病毒在这里种下的一个陷阱,而我自己以前杀毒又把这个msnet.exe给删除了,导致现在reg文件里面的所指向的路径不存在?

  我猜想,这些文件很有可能就是病毒自动添加的。病毒真是无孔不入啊,居然藏在我们平时很少去理会的System Volume Information文件夹下面。

  希望这篇文件能给大家一点启发。


[ Last edited by lxmxn on 2006-12-21 at 02:52 PM ]
作者: pengfei     时间: 2006-12-7 12:23
晕...  lxmxn兄, 这可不一定是病毒添进去的. 这是windows系统还原自动添加的, 当启用了系统还原功能. 你每删除一个文件系统自动将其备份在系统盘根目录下的System Volume Information文件夹. 当杀毒软件删除一个病毒时, 还原功能自然也备份了它. 并且记录下了备份信息, 当你选择还原点进行还原时, 将对删除的文件作恢复处理. 同时还将对注册表进行还原(系统应该备份了五份注册表), 整个系统还原功能的原理就是这样.

而如果觉得这些还原文件占了C盘的容积, 可以右键单击C盘选择属性或在程序附件中找到磁盘清理, 将只保留最近的一个还原点.

还有, 看这个文件夹不用在CMD下, 在文件夹选项中把"隐藏受保护的文件"前的钩去掉(如果不能显示隐藏文件夹, 可能是注册表被修改了. 要改注册表两个键值). 以前, 我查到病毒清除后, 都要把还原关了, 再重启, 就是怕还原后病毒被重新激活.

个人认为WINDOWS的系统还原比较垃圾, 系统还原经常失效, 就算有还原点也不能使用.  解决系统还原不能使用的办法是, 先关掉系统还原功能(在我的电脑属性中), 再重启.  

初学者还可以用用, 对恢复系统有一定帮助. 一出问题就还原. 如果你想多学点东东最好关了它, 而且这种还原没有任何保护, 病毒都会先把还原点破坏, 以对抗系统还原造成病毒失效, 它还可能被病毒利用, 将此文件夹做为一个寄存处.

另外, 系统还原对文件不能做到真正意义上的还原, 它主要还原的只是系统的状态(系统还原, 而不是文件还原).

[ Last edited by pengfei on 2006-12-7 at 12:39 PM ]
作者: zh159     时间: 2006-12-7 12:58
我从来就不用系统还原(安装系统后第一件事就是关掉系统还原),占用空间
作者: lxmxn     时间: 2006-12-7 15:31


  Quote:
它还可能被病毒利用, 将此文件夹做为一个寄存处.

  多谢兄细心的讲解,又收获不少,呵呵。不过还是要防着一点的。有的病毒也可能藏在那里,等你一还原系统,病毒又发作了。

作者: koala     时间: 2007-6-28 18:19    标题: 先下载回来再看

顶一下
作者: applecy     时间: 2007-6-28 20:23
晕,不知道为什么,我的机子系统还原关闭不了的,在属性里面连选项都没有,而且就算直接在服务(services)下都无法停止,怪事了
作者: SunRiseBoy     时间: 2007-6-28 23:43
系统恢复备份,只备份EXE COM CFG INI等文件,以便恢复
作者: zjindong     时间: 2007-7-1 20:32
晕.没想到这个也能研究啊
作者: lxmxn     时间: 2007-7-1 22:07
^_^
作者: shanliang8008     时间: 2007-7-2 01:19
貌似是存档文件 删除病毒一定把所有属性都去掉 噢
作者: shanliang8008     时间: 2007-7-2 01:21


  Quote:
Originally posted by SunRiseBoy at 2007-6-28 11:43 PM:
系统恢复备份,只备份EXE COM CFG INI等文件,以便恢复

比如我 建立一个 。EXE存了档也进那地方吗?
作者: shanliang8008     时间: 2007-7-2 01:22


  Quote:
Originally posted by applecy at 2007-6-28 08:23 PM:
晕,不知道为什么,我的机子系统还原关闭不了的,在属性里面连选项都没有,而且就算直接在服务(services)下都无法停止,怪事了

DOS下属性也都关了 什么服务 有的服务不能关
作者: shanliang8008     时间: 2007-7-2 01:24
在DOS下 或者 是用 工具盘WINPE什么的都能删除




欢迎光临 中国DOS联盟论坛 (http://cndos.fam.cx/forum/) Powered by Discuz! 2.5