Обман операционной системы путем замены папки System Volume Information на символическую ссылку

318
Javad Bayat

Основываясь на том, что я узнал с этой веб-страницы, мы можем удалить папку System Volume Information на жестком диске, выполнив следующие три команды:

takeown /f "F:\System Volume information" /a /r /d y icacls "F:\System Volume information" /t /c /grant administrators:F System:F everyone:F rd /s /q "F:\System Volume information" 

Редактировать: при выполнении icaclsкоманды, если вам будет предложено «Вы уверены?», Введите символ Y.
Когда вы удаляете эту папку, система через некоторое время пытается ее воссоздать. Я провел несколько экспериментов и обнаружил некоторые события, которые вызывают воссоздание этой папки:

  • Операции с файловой системой диска. Особенно, когда вы переименовываете файл, удаляете файл или создаете новый файл с помощью проводника Windows.
  • Перезапуск explorer.exe. Просто завершите процесс explorer.exe с помощью диспетчера задач, а затем снова запустите его. Все ваши удаленные папки SVI вернутся.

Имея это в виду, рассмотрим следующий пакетный код:

takeown /f "H:\System Volume information" /a /r /d y icacls "H:\System Volume information" /t /c /grant administrators:F System:F everyone:F rd /s /q "H:\System Volume information" mklink /D "H:\System Volume Information" "E:\SVI on Volume H" taskkill /F /IM explorer.exe start explorer.exe 

В первых трех строках удаляется информация о системном томе на диске H. В следующей строке немедленно создается символическая ссылка с именем «Информация о системном томе», которая предназначена для перехода к исходной папке.
Таким образом, когда система пытается воссоздать папку SVI, она наталкивается на символическую ссылку. Затем система превращается в обман и создает SVI в том месте, на которое указывает символическая ссылка. (То есть «E: \ SVI на томе H»)
Последние две строки перезапускают explorer.exe. Как я уже упоминал ранее, это заставляет систему пытаться воссоздать информацию о томах системы.
Я думаю, что это хороший метод для перемещения SVI из одного места в другое. Хотя восстановление системы было отключено для всех дисков, я протестировал его на Windows 7 на своем компьютере, и мой компьютер оставался нетронутым в течение нескольких дней. Но у меня все еще есть сомнение: вызывает ли этот метод какой-либо ущерб или нестабильность системы? Просто ответь на этот вопрос. Вы можете пропустить чтение остальных.


Моя цель - ответить на этот вопрос, основная тема которого - как изменить расположение папки System Volume Information. Я также сделал сценарий JScript ( доступный на Github ), который упрощает перемещение этой папки. Например, вам просто нужно запустить скрипт и набрать ->Eв консоли. Затем скрипт переместит все папки SVI на диск E, используя мой обнаруженный метод.
Обратите внимание, что мой скрипт может работать с Windows Script Host (WSH).

1

0 ответов на вопрос