簡介
System Volume Information 資料夾是一個隱藏的系統資料夾,"系統還原"工具使用該資料夾來存儲它的信息和還原點。您的計算機的每個分區上都有一個 System Volume Information 資料夾。“System Volume Information”資料夾,中文名稱可以翻譯為“系統卷標信息”。這個資料夾里就存儲著系統還原的備份信息.
主要系統故障
空間不足問題:
原因:隨著用戶使用系統時間的增加,還原點會越來越多,導致硬碟空間越來越少,最後還要被警告“磁碟空間不足”.
解決方案:可以打開控制臺里的“系統屬性”——“系統還原”選項卡上選中“在所有驅動器上關閉系統還原”的複選框。
病毒保護傘
原因:由於NTFS的分區里該目錄只有SYSTEM許可權,導致防毒軟體沒有許可權查殺藏匿於該目錄的病毒。(現在大多數軟體都能查殺)
解決方案:阻止“System Volume Information”資料夾的自動生成。
木馬問題
“System Volume Information”資料夾里的NTFS木馬(安全問題)
1、參考原理:
在一個NTFS分區里,把分區許可權刪到只剩EVERYONE許可權,並只設一個“列出資料夾的目錄”許可權,其他複選框都去鉤。在這種情況下,該分區是沒有寫許可權的,照理說不會再自動生成“System Volume Information”資料夾。但是,無論你這么設定,該硬碟的分區在任何一個電腦上插上去後依舊會自動生成“System Volume Information”資料夾。
2、木馬原理:利用“System Volume Information”資料夾自動生成的原理,進行執行緒插入免殺下載器到自動生成“System Volume Information”資料夾的系統進程裡面,然後把加殼加密的木馬下載到“System Volume Information”資料夾。在“System Volume Information”資料夾的保護下,防毒軟體無權查殺該木馬。在設定條件下奪取SYSTEM許可權運行木馬預運行模組查殺殺軟,然後再脫殼解密啟動木馬,啟用保護進程防止該目錄被刪。此類木馬無法手工刪除,殺軟無權查殺,就算FAT32的分區也由於加密原因無法脫殼。
3、解決方案:阻止“System Volume Information”資料夾的自動生成。(可以用unlocker刪除)
4、解決的具體方法:右擊用unlocker刪除,unlocker就會刪除這個資料夾,打開資源回收筒,再看看,是不是多了很多檔案,這時還無法刪除,現在打開x:/RECYCLER(“x:/”表示“System Volume Information”所在的分區),右擊unlocker點擊移動到桌面,桌面就會生成一些隱藏檔案,這時選中這些檔案,右擊屬性,將“唯讀”去掉,再選中之後,用unlocker刪除,並且清空資源回收筒,這樣“System Volume Information”資料夾就從電腦中消失了。 如何獲得對“System Volume Information”資料夾的訪問 使用 FAT32 檔案系統的 Microsoft Windows XP Professional 或 Windows XP Home Edition
1、打開任意一個資料夾。
2、在“工具”選單上,單擊“資料夾選項”。
3、在“查看”→“隱藏檔案和資料夾”選項卡上,單擊“顯示所有檔案和資料夾”。
4、清除“隱藏受保護的作業系統檔案(推薦)”複選框。當系統提示您確認是否更改時,請單擊“是”。
5、清除“使用簡單資料夾共享(推薦)”複選框
6、單擊“確定”。
7、在資料夾中雙擊“System Volume Information”資料夾以將其打開。
8、操作後建議選擇“還原為默認值”點確定
在域中使用 NTFS 檔案系統的 Windows XP Professional
1、打開任意一個資料夾。
2、在“工具”選單上,單擊“資料夾選項”。
3、在“查看”→“隱藏檔案和資料夾”選項卡上,單擊“顯示所有檔案和資料夾”。
4、清除“隱藏受保護的作業系統檔案(推薦)”複選框。當系統提示您確認是否更改時,請單擊“是”。
5、清除“使用簡單資料夾共享(推薦)”複選框
6、單擊“確定”。
7、在資料夾中右鍵單擊“System Volume Information”資料夾,然後單擊“共享和安全”。
8、單擊“安全”選項卡。
9、單擊“添加”,然後鍵入要向其授予該資料夾訪問許可權的用戶的名稱。選擇相應的帳戶位置(本地帳戶或域帳戶)。通常,這是您登錄時使用的帳戶。單擊“確定”,然後再次單擊“確定”。(提示:建議鍵入Everyone這個賬戶,意思是所有賬戶均有許可權)
10、在資料夾中雙擊“System Volume Information”資料夾以將其打開。
在工作組或獨立計算機上使用 NTFS 檔案系統的 Windows XP Professional
1、打開任意一個資料夾。
2、在“工具”選單上,單擊“資料夾選項”。
在“查看”選項卡上,單擊“顯示所有檔案和資料夾”。
3、清除“隱藏受保護的作業系統檔案(推薦)”複選框。當系統提示您確認是否更改時,請單擊“是”。
4、清除“使用簡單檔案共享(推薦)”複選框。
5、清除“使用簡單資料夾共享(推薦)”複選框
6、單擊“確定”。
7、在資料夾中右鍵單擊“System Volume Information”資料夾,然後單擊“共享和安全”。
8、單擊“安全”選項卡。
9、單擊“添加”,然後鍵入要向其授予該資料夾訪問許可權的用戶的名稱。通常,這是您登錄時使用的帳戶。單擊“確定”,然後再次單擊“確定”。(提示:建議鍵入Everyone這個賬戶,意思是所有賬戶均有許可權)
10、在資料夾中雙擊“System Volume Information”資料夾以將其打開。
注意:現在,Windows XP Home Edition 的用戶可以在正常模式下訪問 System Volume Information 資料夾。
方法適用範圍
Microsoft Windows XP Home Edition及 Microsoft Windows XP Professional Edition如何刪除/訪問“System Volume Information”資料夾 普通刪除方法
1、關閉“系統還原”
2、獲得對“System Volume Information”資料夾的訪問
3、NTFS的分區里該目錄只有SYSTEM許可權,需要將您登錄時使用的帳戶(或將EVERYONE賬戶)的許可權設為完全控制才能刪除。
4、刪除“System Volume Information”資料夾
徹底刪除方法
1.在運行,輸入"gpedit.msc"/(組策略)程式/ 計算機配置/管理模板/系統/系統還原/右邊,關閉系統還原,雙擊打開它,啟用。
2,在運行,輸入"gpedit.msc"/(組策略)程式/計算機配置/管理模板/windows組件/ windows Installer/在右邊會有一個"關閉創建系統還原檢查點"雙擊打開它,選擇啟用。
運用cacls命令賦予當前用戶完全控制許可權後即可刪除“System Volume Information”資料夾
命令如下:
cacls "c:\System Volume Information" /g everyone:f
以上是賦予所有用戶對c盤System Volume Information資料夾的完全控制許可權,可以刪除了
命令詳解請在命令提示符下輸入: cacls /?
訪問的方法
如何獲得對 System Volume Information 資料夾的訪問
右擊我的電腦/屬性/系統還原項/選“關閉所有還原”,再刪除system Volume Information資料夾。或 我的電腦/任何盤符/工具/資料夾選項/查看/還原默認值。
(註:change.log是系統更改日誌,主要監看各個盤區的變化,不是病毒)
系統還原介紹
“系統還原”及其優點
“系統還原”是Windows XP最實用的功能之一,它採用“快照”的方式記錄下系統在特定時間的狀態信息,也就是所謂的“還原點”,然後在需要的時候根據這些信息加以還原。還原點分為兩種:一種是系統自動創建的,包括系統檢查點和安裝還原點;另一種是用戶自己根據需要創建的,也叫手動還原點。在Windows XP系統中,我們可以利用系統自帶的“系統還原”功能,通過對還原點的設定,記錄我們對系統所做的更改,當系統出現故障時,使用系統還原功就能將系統恢復到更改之前的狀態。
如何使用“系統還原”
1、開啟“系統還原”
滑鼠右擊“我的電腦”,選擇“屬性”/“系統還原”選項卡,確保“在所有驅動器上關閉系統還原”複選框未選中,再確保“需要還原的分區”處於“監視”狀態。
2、創建還原點
這裡需要說明的是:在創建系統還原點時要確保有足夠的硬碟可用空間,否則可能導致創建失敗。設定多個還原點方法同上。
3、恢復還原點
打開“系統還原嚮導”,選擇“恢復我的計算機到一個較早的時間”,點擊“下一步”,選擇好日期後再跟著嚮導還原即可。
需要注意的是:由於恢復還原點之後系統會自動重新啟動,因此操作之前建議大家退出當前運行的所有程式,以防止重要檔案丟失
如何關閉“系統還原”
(一)、用“系統還原選項卡”
1、在“我的電腦”圖示上點右鍵,選擇屬性
2、選擇系統還原選項卡
3、將“在所有驅動器上關閉系統還原”打勾確定後即可
4、關閉“系統還原”後,就可以將該驅動器根目錄下的“System Volume Information”資料夾刪除。
(二)、用“組策略”
運行輸入,gpedit.msc找開組策略->管理模組->系統->系統還原-"關閉系統還原"的屬性查看還原功能是否被關閉,如果禁用或未設定選擇啟用就可以了。
刪除資源回收筒中的system volume information
打開資源回收筒內無法刪除的system volume information資料夾所在磁碟,顯示受系統保護檔案,打開RECYCLER資料夾用unlocker將此資源回收筒移動到桌面,再移動回去,清空資源回收筒。