SystemVolumeInformation

admin管理员组

文章数量:1532174

2024年2月9日发(作者：)

百度文库 - 让每个人平等地提升自我

System Volume Information

百科名片

System Volume Information”是系统文件夹，中文名称能够翻译为“系统卷标信息”。那个文件夹里就存储着的备份信息。

目录

展开

简介

System Volume Information 文件夹是一个隐藏的系统文件夹，"系统还原"工具利用该文件夹来存储它的信息和还原点。您的运算机的每一个分区上都有一个 System Volume Information 文件夹。“System Volume

Information”文件夹,中文名称能够翻译为“系统卷标信息”。那个文件夹里就存储着系统还原的备份信息.

1

百度文库 - 让每个人平等地提升自我

主要系统故障

空间不足问题：

原因：随着用户利用系统时刻的增加，还原点会愈来愈多，致使硬盘空间愈来愈少，最后还要被警告“磁盘空间不足”.

解决方案：能够打开控制面板里的“系统属性”——“系统还原”选项卡上选中“在所有驱动器上关闭系统还原”的复选框。

病毒保护伞

原因：由于NTFS的分区里该目录只有SYSTEM权限，致使杀毒软件没有权限查杀藏匿于该目录的病毒。(此刻大多数软件都能查杀)

解决方案：阻止“System Volume Information”文件夹的自动生成。（迄今为止没人能做到）

木马问题

“System Volume Information”文件夹里的NTFS木马（安全问题）

一、参考原理：

在一个NTFS分区里，把分区权限删到只剩EVERYONE权限，并只设一个“列出文件夹的目录”权限，其他复选框都去钩。在这种情形下，该分区是没有写权限的，照理说不会再自动生成“System Volume

Information”文件夹。可是，无论你这么设置，该硬盘的分区在任何一个电脑上插上去后依旧会自动生成“System Volume Information”文件夹。

2

百度文库 - 让每个人平等地提升自我

二、木马原理：利用“System Volume Information”文件夹自动生成的原理，进行线程插入免杀下载器到自动生成“System Volume

Information”文件夹的系统进程里面，然后把加壳加密的木马下载到“System Volume Information”文件夹。在“System Volume Information”文件夹的保护下，杀毒软件无权查杀该木马。在设定条件下夺取SYSTEM权限运行木马预运行模块查杀杀软，然后再脱壳解密启动木马，启用保护进程避免该目录被删。此类木马无法手工删除，杀软无权查杀，就算FAT32的分区也由于加密原因无法脱壳。

3、解决方案：阻止“System Volume Information”文件夹的自动生成。（能够用unlocker删除)

4、解决的具体方式:右击用unlocker删除，unlocker就会删除那个文件夹，打开回收站，再看看，是不是多了很多文件，这时还无法删除，此刻打开x:/RECYCLER（“x:/”表示“System Volume Information”所在的分区），右击unlocker点击移动到桌面，桌面就会生成一些隐藏文件，这时选中这些文件，右击属性，将“只读”去掉，再选中以后，用unlocker删除，而且清空回收站，如此“System Volume Information”文件夹就从电脑中消失了。如何取得对“System Volume Information”文件夹的访问 利用

FAT32 文件系统的 Microsoft Windows XP Professional 或 Windows XP

Home Edition

一、打开任意一个文件夹。

二、在“工具”菜单上，单击“文件夹选项”。

3

百度文库 - 让每个人平等地提升自我

3、在“查看”→“隐藏文件和文件夹”选项卡上，单击“显示所有文件和文件夹”。

4、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是不是更改时，请单击“是”。

五、清除“利用简单文件夹共享（推荐）”复选框

六、单击“肯定”。

7、在文件夹中双击“System Volume Information”文件夹以将其打开。

八、操作后建议选择“还原为默许值”点肯定

在域中利用 NTFS 文件系统的 Windows XP Professional

一、打开任意一个文件夹。

二、在“工具”菜单上，单击“文件夹选项”。

3、在“查看”→“隐藏文件和文件夹”选项卡上，单击“显示所有文件和文件夹”。

4、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是不是更改时，请单击“是”。

五、清除“利用简单文件夹共享（推荐）”复选框

六、单击“肯定”。

7、在文件夹中右键单击“System Volume Information”文件夹，然后单击“共享和安全”。

八、单击“安全”选项卡。

4

百度文库 - 让每个人平等地提升自我

九、单击“添加”，然后键入要向其授予该文件夹访问权限的用户的名称。选择相应的帐户位置（本地帐户或域帐户）。通常，这是您登录时利用的帐户。单击“肯定”，然后再次单击“肯定”。（提示：建议键入Everyone那个账户，意思是所有账户均有权限）

10、在文件夹中双击“System Volume Information”文件夹以将其打开。

在工作组或独立运算机上利用 NTFS 文件系统的 Windows XP

Professional

一、打开任意一个文件夹。

二、在“工具”菜单上，单击“文件夹选项”。

在“查看”选项卡上，单击“显示所有文件和文件夹”。

3、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是不是更改时，请单击“是”。

4、清除“利用简单文件共享(推荐)”复选框。

五、清除“利用简单文件夹共享（推荐）”复选框

六、单击“肯定”。

7、在文件夹中右键单击“System Volume Information”文件夹，然后单击“共享和安全”。

八、单击“安全”选项卡。

九、单击“添加”，然后键入要向其授予该文件夹访问权限的用户的名称。通常，这是您登录时利用的帐户。单击“肯定”，然后再次单击5

百度文库 - 让每个人平等地提升自我

“肯定”。（提示：建议键入Everyone那个账户，意思是所有账户均有权限）

10、在文件夹中双击“System Volume Information”文件夹以将其打开。

注意：此刻，Windows XP Home Edition 的用户能够在正常模式下访问 System Volume Information 文件夹。

方式适用范围

Microsoft Windows XP Home Edition及 Microsoft Windows XP

Professional Edition如何删除/访问“System Volume Information”文件夹

普通删除方式

一、关闭“系统还原”

二、取得对“System Volume Information”文件夹的访问

3、NTFS的分区里该目录只有SYSTEM权限，需要将您登录时利用的帐户（或将EVERYONE账户）的权限设为完全控制才能删除。

4、删除“System Volume Information”文件夹

完全删除方式

1.在运行,输入""／（组策略）程序／ 运算机配置／管理模板／系统／系统还原／右边，关闭系统还原，双击打开它，启用。

2,在运行,输入""／（组策略）程序／运算机配置／管理模板／windows组件/ windows Installer／在右边会有一个"关闭创建系统还原检查点"双击打开它,选择启用。

6

百度文库 - 让每个人平等地提升自我

运用cacls命令给予当前用户完全控制权限后即可删除“System

Volume Information”文件夹

命令如下：

cacls "c:System Volume Information" /g everyone:f

以上是给予所有效户对c盘System Volume Information文件夹的完全控制权限，能够删除

命令详解请在命令提示符下输入: cacls /?

访问的方式

如何取得对 System Volume Information 文件夹的访问

右击我的电脑／属性／系统还原项／选“关闭所有还原”，再删除system Volume Information文件夹。或 我的电脑／任何盘符／工具／文件夹选项／查看／还原默许值。

（注：是系统更改日记，主要监看各个盘区的转变，不是病毒）

系统还原介绍

“系统还原”及其长处

“系统还原”是Windows XP最实用的功能之一，它采用“快照”的方式记录下系统在特按时刻的状态信息，也就是所谓的“还原点”，然后在需要的时候按照这些信息加以还原。还原点分为两种：一种是系统自动创建的，包括系统检查点和安装还原点；另一种是用户自己按照需要创建的，也叫手动还原点。在Windows XP系统中，咱们能够利用系统自带的7

百度文库 - 让每个人平等地提升自我

“系统还原”功能，通过对还原点的设置，记录咱们对系统所做的更改，当系统出现故障时，利用系统还原功就可以将系统恢复到更改之前的状态。

如何利用“系统还原”

一、开启“系统还原”

鼠标右击“我的电脑”，选择“属性”/“系统还原”选项卡，确保“在所有驱动器上关闭系统还原”复选框未选中，再确保“需要还原的分区”处于“监视”状态。

二、创建还原点

这里需要说明的是：在创建系统还原点时要确保有足够的硬盘可用空间，不然可能致使创建失败。设置多个还原点方式同上。

3、恢复还原点

打开“系统还原向导”，选择“恢复我的运算机到一个较早的时刻”，点击“下一步”，选择好日期后再随着向导还原即可。

需要注意的是：由于恢复还原点以后系统会自动从头启动，因此操作之前建议大家退出当前运行的所有程序，以避免重要文件丢失

如何关闭“系统还原”

(一)、用“系统还原选项卡”

一、在“我的电脑”图标上点右键，选择属性

二、选择系统还原选项卡

3、将“在所有驱动器上关闭系统还原”打勾肯定后即可

4、关闭“系统还原”后，就可以够将该驱动器根目录下的“System

Volume Information”文件夹删除。

8

百度文库 - 让每个人平等地提升自我

(二)、用“组策略”

运行输入,找开组策略->管理模块->系统->系统还原-"关闭系统还原"的属性查看还原功能是不是被关闭,若是启动或未设置选择关闭就可以够了。

删除回收站中的system volume information

打开回收站内无法删除的system volume information文件夹所在磁盘，显示受系统保护文件，打开RECYCLER文件夹用unlocker将此回收站移动到桌面，再移动归去，清空回收站。

9

本文标签： 文件夹系统系统还原权限利用