有没有办法将A000????.???
系统卷信息中的文件名映射到其原始名称,没有恢复它们?
我之所以问这个问题,是因为一个用户的系统卷信息 RP1 中的几个文件被 rootkit 感染了。虽然它们已经被删除了,但我还是想弄清楚它们最初是什么。A0001253.sys
而且A0001211.sys
这些名字没什么用。:)
它发生在两个系统上,一个是 XP SP2,另一个是 XP SP3。
答案1
看还原点取证,其中深入描述了还原点。
简而言之,重命名的文件会被记录在“change.log”文件中。搜索感兴趣的文件名(原扩展名保持不变),在重命名的文件名之前会找到原始路径: