“System Volume Information”文件夹里的NTFS木马（安全问题）

病毒保护伞

原因：由于NTFS的分区里该目录只有SYSTEM权限，导致杀毒软件没有权限查杀藏匿于该目录的病毒。(现在大多数软件都能查杀)

解决方案：阻止“System Volume Information”文件夹的自动生成。

 

1、参考原理：

在一个NTFS分区里，把分区权限删到只剩EVERYONE权限，并只设一个“列出文件夹的目录”权限，其他复选框都去钩。在这种情况下，该分区是没有写权限的，照理说不会再自动生成“System Volume Information”文件夹。但是，无论你这么设置，该硬盘的分区在任何一个电脑上插上去后依旧会自动生成“System Volume Information”文件夹。

2、木马原理：利用“System Volume Information”文件夹自动生成的原理，进行线程插入免杀下载器到自动生成“System Volume Information”文件夹的系统进程里面，然后把加壳加密的木马下载到“System Volume Information”文件夹。在“System Volume Information”文件夹的保护下，杀毒软件无权查杀该木马。在设定条件下夺取SYSTEM权限运行木马预运行模块查杀杀软，然后再脱壳解密启动木马，启用保护进程防止该目录被删。此类木马无法手工删除，杀软无权查杀，就算FAT32的分区也由于加密原因无法脱壳。

3、解决方案：阻止“System Volume Information”文件夹的自动生成。（可以用unlocker删除)

4、解决的具体方法:右击用unlocker删除，unlocker就会删除这个文件夹，打开回收站，再看看，是不是多了很多文件，这时还无法删除，现在打开x:/RECYCLER（“x:/”表示“System Volume Information”所在的分区），右击unlocker点击移动到桌面，桌面就会生成一些隐藏文件，这时选中这些文件，右击属性，将“只读”去掉，再选中之后，用unlocker删除，并且清空回收站，这样“System Volume Information”文件夹就从电脑中消失了。如何获得对“System Volume Information”文件夹的访问　使用 FAT32 文件系统的 Microsoft Windows XP Professional 或 Windows XP Home Edition

1、打开任意一个文件夹。

2、在“工具”菜单上，单击“文件夹选项”。

3、在“查看”→“隐藏文件和文件夹”选项卡上，单击“显示所有文件和文件夹”。

4、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。

5、清除“使用简单文件夹共享（推荐）”复选框

6、单击“确定”。

7、在文件夹中双击“System Volume Information”文件夹以将其打开。

8、操作后建议选择“还原为默认值”点确定

在域中使用 NTFS 文件系统的 Windows XP Professional

1、打开任意一个文件夹。

2、在“工具”菜单上，单击“文件夹选项”。

3、在“查看”→“隐藏文件和文件夹”选项卡上，单击“显示所有文件和文件夹”。

4、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。

5、清除“使用简单文件夹共享（推荐）”复选框

6、单击“确定”。

7、在文件夹中右键单击“System Volume Information”文件夹，然后单击“共享和安全”。

8、单击“安全”选项卡。

9、单击“添加”，然后键入要向其授予该文件夹访问权限的用户的名称。选择相应的帐户位置（本地帐户或域帐户）。通常，这是您登录时使用的帐户。单击“确定”，然后再次单击“确定”。（提示：建议键入Everyone这个账户，意思是所有账户均有权限）

10、在文件夹中双击“System Volume Information”文件夹以将其打开。

在工作组或独立计算机上使用 NTFS 文件系统的 Windows XP Professional

1、打开任意一个文件夹。

2、在“工具”菜单上，单击“文件夹选项”。

在“查看”选项卡上，单击“显示所有文件和文件夹”。

3、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。

4、清除“使用简单文件共享(推荐)”复选框。

5、清除“使用简单文件夹共享（推荐）”复选框

6、单击“确定”。

7、在文件夹中右键单击“System Volume Information”文件夹，然后单击“共享和安全”。

8、单击“安全”选项卡。

9、单击“添加”，然后键入要向其授予该文件夹访问权限的用户的名称。通常，这是您登录时使用的帐户。单击“确定”，然后再次单击“确定”。（提示：建议键入Everyone这个账户，意思是所有账户均有权限）

10、在文件夹中双击“System Volume Information”文件夹以将其打开。

注意：现在，Windows XP Home Edition 的用户可以在正常模式下访问 System Volume Information 文件夹。

方法适用范围

Microsoft Windows XP Home Edition及 Microsoft Windows XP Professional Edition如何删除/访问“System Volume Information”文件夹　普通删除方法

1、关闭“系统还原”

2、获得对“System Volume Information”文件夹的访问

3、NTFS的分区里该目录只有SYSTEM权限，需要将您登录时使用的帐户（或将EVERYONE账户）的权限设为完全控制才能删除。

4、删除“System Volume Information”文件夹

彻底删除方法

1.在运行,输入"gpedit.msc"/（组策略）程序/ 计算机配置/管理模板/系统/系统还原/右边，关闭系统还原，双击打开它，启用。

2,在运行,输入"gpedit.msc"/（组策略）程序/计算机配置/管理模板/windows组件/ windows Installer/在右边会有一个"关闭创建系统还原检查点"双击打开它,选择启用。

运用cacls命令赋予当前用户完全控制权限后即可删除“System Volume Information”文件夹

命令如下：

cacls "c:\System Volume Information" /g everyone:f

以上是赋予所有用户对c盘System Volume Information文件夹的完全控制权限，可以删除了

命令详解请在命令提示符下输入:　cacls /?

访问的方法

如何获得对 System Volume Information 文件夹的访问

右击我的电脑/属性/系统还原项/选“关闭所有还原”，再删除system Volume Information文件夹。或　我的电脑/任何盘符/工具/文件夹选项/查看/还原默认值。

（注：change.log是系统更改日志，主要监看各个盘区的变化，不是病毒）

 

 

 

如果您愿意花几块钱请我喝杯茶的话，可以用手机扫描下方的二维码，通过 支付宝 捐赠。我会努力写出更好的文章。 
（捐赠不显示捐赠者的个人信息，如需要，请注明您的联系方式） 
Thank you for your kindly donation！！