System Volume Information

windows操作系統的文件夾

SystemVolumeInformation是windows操作系統的系統文件夾,默認為隱藏屬性,不可見,中文名稱可以翻譯為“系統卷標信息”。這個文件夾里就存儲著系統還原的備份信息。開啟了系統還原,分區里就會多出一個名為SystemVolumeInformation的文件夾,這裡存放和記錄著設置還原點之後你對此分區的所有操作信息。

文件夾簡介


件夾隱藏系統件夾,"系統"具該件夾存儲息。

主要系統故障


空間不足問題

:隨戶系統增,越越,導致硬碟空越越,警“磁碟空足”.
決案:控制板“系統屬”——“系統”選項卡選“驅器閉系統”複選框。

病毒保護傘

原因:由於NTFS的分區里該目錄只有SYSTEM許可權,導致殺毒軟體沒有許可權查殺藏匿於該目錄的病毒。(現在大多數軟體都能查殺)
解決方案:阻止“SystemVolumeInformation”文件夾的自動生成。

木馬問題


“SystemVolumeInformation”文件夾里的NTFS木馬(安全問題)
1、參考原理:
在一個NTFS分區里,把分區許可權刪到只剩EVERYONE許可權,並只設一個“列出文件夾的目錄”許可權,其他複選框都去鉤。在這種情況下,該分區是沒有寫許可權的,照理說不會再自動生成“SystemVolumeInformation”文件夾。但是,無論你這麼設置,該硬碟的分區在任何一個電腦上插上去后依舊會自動生成“SystemVolumeInformation”文件夾。
2、木馬原理:利用“SystemVolumeInformation”文件夾自動生成的原理,進行線程插入免殺下載器到自動生成“SystemVolumeInformation”文件夾的系統進程裡面,然後把加殼加密的木馬下載到“SystemVolumeInformation”文件夾。在“SystemVolumeInformation”文件夾的保護下,殺毒軟體無權查殺該木馬。在設定條件下奪取SYSTEM許可權運行木馬預運行模塊查殺殺軟,然後再脫殼解密啟動木馬,啟用保護進程防止該目錄被刪除。此類木馬無法手工刪除,殺軟無權查殺,就算FAT32的分區也由於加密原因無法脫殼。
3、解決方案:阻止“SystemVolumeInformation”文件夾的自動生成。(可以用unlocker刪除)
4、解決的具體方法:右擊用unlocker刪除,unlocker就會刪除這個文件夾,打開回收站,再看看,是不是多了很多文件,這時還無法刪除,現在打開x:/RECYCLER(“x:/”表示“SystemVolumeInformation”所在的分區),右擊unlocker點擊移動到桌面,桌面就會生成一些隱藏文件,這時選中這些文件,右擊屬性,將“只讀”去掉,再選中之後,用unlocker刪除,並且清空回收站,這樣“SystemVolumeInformation”文件夾就從電腦中消失了。如何獲得對“SystemVolumeInformation”文件夾的訪問使用FAT32文件系統的MicrosoftWindowsXPProfessional或WindowsXPHomeEdition
1、打開任意一個文件夾。
2、在“工具”菜單上,單擊“文件夾選項”。
3、在“查看”→“隱藏文件和文件夾”選項卡上,單擊“顯示所有文件和文件夾”。
4、清除“隱藏受保護的操作系統文件(推薦)”複選框。當系統提示您確認是否更改時,請單擊“是”。
5、清除“使用簡單文件夾共享(推薦)”複選框
6、單擊“確定”。
7、在文件夾中雙擊“SystemVolumeInformation”文件夾以將其打開。
8、操作后建議選擇“還原為默認值”點確定
在域中使用NTFS文件系統的WindowsXPProfessional
1、打開任意一個文件夾。
2、在“工具”菜單上,單擊“文件夾選項”。
3、在“查看”→“隱藏文件和文件夾”選項卡上,單擊“顯示所有文件和文件夾”。
4、清除“隱藏受保護的操作系統文件(推薦)”複選框。當系統提示您確認是否更改時,請單擊“是”。
5、清除“使用簡單文件夾共享(推薦)”複選框
6、單擊“確定”。
7、在文件夾中右鍵單擊“SystemVolumeInformation”文件夾,然後單擊“共享和安全”。
8、單擊“安全”選項卡。
9、單擊“添加”,然後鍵入要向其授予該文件夾訪問許可權的用戶的名稱。選擇相應的帳戶位置(本地帳戶或域帳戶)。通常,這是您登錄時使用的帳戶。單擊“確定” 然後再次單擊“確定”。(提示:建議鍵入Everyone這個賬戶,意思是所有賬戶均有許可權)
10、在文件夾中雙擊“SystemVolumeInformation”文件夾以將其打開。
在工作組或獨立計算機上使用NTFS文件系統的WindowsXPProfessional
1、打開任意一個文件夾。
2、在“工具”菜單上,單擊“文件夾選項”。
在“查看”選項卡上,單擊“顯示所有文件和文件夾”。
3、清除“隱藏受保護的操作系統文件(推薦)”複選框。當系統提示您確認是否更改時,請單擊“是”。
4、清除“使用簡單文件共享(推薦)”複選框。
5、清除“使用簡單文件夾共享(推薦)”複選框
6、單擊“確定”。
7、在文件夾中右鍵單擊“SystemVolumeInformation”文件夾然後單擊“共享和安全”。
8、單擊“安全”選項卡。
9、單擊“添加”,然後鍵入要向其授予該文件夾訪問許可權的用戶的名稱。通常,這是您登錄時使用的帳戶。單擊“確定”,然後再次單擊“確定”。(提示:建議鍵入Everyone這個賬戶,意思是所有賬戶均有許可權)
10、在文件夾中雙擊“SystemVolumeInformation”文件夾以將其打開。
注意:現在,WindowsXPHomeEdition的用戶可以在正常模式下訪問SystemVolumeInformation文件夾。
方法適用範圍
MicrosoftWindowsXPHomeEdition及MicrosoftWindowsXPProfessionalEdition如何刪除/訪問“SystemVolumeInformation”文件夾
普通刪除方法
1、關閉“系統還原”
2、獲得對“SystemVolumeInformation”文件夾的訪問
3、NTFS的分區里該目錄只有SYSTEM許可權,需要將您登錄時使用的帳戶(或將EVERYONE賬戶)的許可權設為完全控制才能刪除。
4、刪除“SystemVolumeInformation”文件夾
徹底刪除方法
1.在運行,輸入"gpedit.msc"/(組策略)程序/計算機配置/管理模板/系統/系統還原/右邊,關閉系統還原,雙擊打開它,啟用。
2,在運行,輸入"gpedit.msc"/(組策略)程序/計算機配置/管理模板/windows組件/windowsInstaller/在右邊會有一個"關閉創建系統還原檢查點"雙擊打開它,選擇啟用。
運用cacls命令賦予當前用戶完全控制許可權后即可刪除“SystemVolumeInformation”文件夾
命令如下:
cacls"c:\SystemVolumeInformation"/geveryone:f
以上是賦予所有用戶對c盤SystemVolumeInformation文件夾的完全控制許可權,可以刪除了
命令詳解請在命令提示符下輸入:cacls/?
訪問的方法
如何獲得對SystemVolumeInformation文件夾的訪問
右擊我的電腦/屬性/系統還原項/選“關閉所有還原”,再刪除systemVolumeInformation文件夾。或我的電腦/任何盤符/工具/文件夾選項/查看/還原默認值。
(註:change.log是系統更改日誌,主要監看各個盤區的變化,不是病毒)

系統還原介紹


“系統還原”及其優點
“系統還原”是WindowsXP最實用的功能之一,它採用“快照”的方式記錄下系統在特定時間的狀態信息,也就是所謂的“還原點”,然後在需要的時候根據這些信息加以還原。還原點分為兩種:一種是系統自動創建的,包括系統檢查點和安裝還原點;另一種是用戶自己根據需要創建的,也叫手動還原點。在WindowsXP系統中,我們可以利用系統自帶的“系統還原”功能,通過對還原點的設置,記錄我們對系統所做的更改,當系統出現故障時,使用系統還原功就能將系統恢復到更改之前的狀態。
如何使用“系統還原”
1、開啟“系統還原”
滑鼠右擊“我的電腦”,選擇“屬性”/“系統還原”選項卡,確保“在所有驅動器上關閉系統還原”複選框未選中,再確保“需要還原的分區”處於“監視”狀態。
2、創建還原點
這裡需要說明的是:在創建系統還原點時要確保有足夠的硬碟可用空間,否則可能導致創建失敗。設置多個還原點方法同上。
3、恢復還原點
打開“系統還原嚮導”,選擇“恢復我的計算機到一個較早的時間”,點擊“下一步”,選擇好日期后再跟著嚮導還原即可。
需要注意的是:由於恢復還原點之後系統會自動重新啟動,因此操作之前建議大家退出當前運行的所有程序,以防止重要文件丟失
如何關閉“系統還原”
(一)、用“系統還原選項卡”
1、在“我的電腦”圖標上點右鍵,選擇屬性
2、選擇系統還原選項卡
3、將“在所有驅動器上關閉系統還原”打勾確定后即可
4、關閉“系統還原”后,就可以將該驅動器根目錄下的“SystemVolumeInformation”文件夾刪除。
(二)、用“組策略”
運行輸入,gpedit.msc找開組策略->管理模塊->系統->系統還原-"關閉系統還原"的屬性查看還原功能是否被關閉,如果禁用或未設置選擇啟用就可以了。在回收站刪除
打開回收站內無法刪除的systemvolumeinformation文件夾所在磁碟,顯示受系統保護文件,打開RECYCLER文件夾用unlocker將此回收站移動到桌面,再移動回去,清空回收站。

刪除方法


1.我的電腦-工具--文件夾選項--查看-除去使用簡單文件共享前的勾。
2.右擊SystemVolumeInformation文件夾,點擊屬性,會多出一個安全選項-(中間的)添加--選擇用戶或組,點高級--立即查找-雙擊你目前的管理員用戶名-確定。
3.返回到選擇用戶或組,點確定--在SystemVolumeInformation屬性下組或用戶名稱中就有了你所設定的管理員用戶。--點窗口下的高級--在彈出的SystemVolumeInformation的高級安全設置窗口中選中過去的用戶(不一定是SYSTEM,如果不是要先刪除那個,才會出來SYSTEM,再來刪除SYSTEM。下面兩項如勾選過,把勾去掉)--編輯--全部清除--確定。
4.返回到SystemVolumeInformation的高級安全設置窗口,點確定--回到SystemVolumeInformation屬性,把下面的完全控制勾選上--確定。這就完成了對此文件夾的控制權。
5.刪除各分區下的SystemVolumeInformation文件夾。