剖析系统还原快照

剖析系统还原快照

有没有办法将A000????.???系统卷信息中的文件名映射到其原始名称,没有恢复它们?

我之所以问这个问题,是因为一个用户的系统卷信息 RP1 中的几个文件被 rootkit 感染了。虽然它们已经被删除了,但我还是想弄清楚它们最初是什么。A0001253.sys而且A0001211.sys这些名字没什么用。:)

它发生在两个系统上,一个是 XP SP2,另一个是 XP SP3。

答案1

还原点取证,其中深入描述了还原点。

简而言之,重命名的文件会被记录在“change.log”文件中。搜索感兴趣的文件名(原扩展名保持不变),在重命名的文件名之前会找到原始路径:

在此处输入图片描述

相关内容