无法在 WindowsApps 目录上写入并恢复文件

2024-6-17 • tag-icon

一句话，我无法恢复此文件

SQLite3Wrapper.dll

在他们的位置

c:\Program Files\WindowsApps\Microsoft.BingWeather_4.8.239.0_x86__8wekyb3d8bbwe

背后的故事以及我所尝试的事情。

当 Comodo 防病毒软件向我发出有关病毒的警报时，一切就开始了 SQLite3Wrapper.dll并要求我将其隔离。我说好的，让我们将其隔离并检查一下。到目前为止一切顺利。在我再次确认这是误报后，我要求 comodo 恢复文件，这是我的第一次失败，因为 Windows 10 不允许它将文件写回原处。之后我所有的尝试都失败了……

首先，我取得目录的所有权，并授予管理员和我的完全访问权限。同时禁用 comodo 和 Windows 的所有防病毒软件。

因此，在获得许可后，我尝试复制，但也失败了。
我启动窗口在安全模式下但没有让我把文件复制回来
我启动窗口在命令模式下但没有让我把文件复制回来
我用以下方式启动 Windows达特女士最新版本，但这也是不允许我复制文件。这很奇怪，因为 MsDart 据说可以在 Windows 上运行，在旧版本的 Windows 上从未出现过此问题。
然后我尝试使用几天前的 Acronis 备份恢复文件。Acronis 也无法写入该目录 - 没有要求在启动时恢复它，因为我无法从 Acronis 请求，Acronis 无法识别无法写入该目录，因此永远堆栈在那里......
我尝试使用 explorer、total commander 和简单的命令提示符来复制它
同样使用 Hyper-X 和 Windows 10，我进行了更多测试并尝试复制任何目录中的文件，但失败了。
另外检查有效的访问窗口表明我可以在那里写入

但有些事不允许我：

关于我的研究的一些笔记

我是一名程序员，有人授予我管理员权限，并将所有用户帐户控制设置降至最低。还阅读并尝试了此处的答案。如何访问 C:\Program Files\WindowsApps？和这里在哪里可以找到 Windows Modern UI 应用程序的源代码？以及互联网上许多其他类似的答案和说明，但没有找到将该文件复制回其位置的方法。

关于程序本身

不再运行的程序是 Microsoft 商店中的“MSN Weather”。我使用此命令Get-AppxPackage *bingweather* | Remove-AppxPackage将其删除，然后重新安装，但实际上它从未从系统中删除，因此文件从未更新。我这样做了一次，第二次重新启动，第三次仔细检查……等等……目录中的文件仍然缺失，程序仍然无法运行。

调试复制过程

我还使用了 Sysinternals 的进程监视器来找出阻止它复制该文件的原因，这里是堆栈：

"Frame","Module","Location","Address","Path"
"0","FLTMGR.SYS","FltDecodeParameters + 0x18e1","0xfffff801e5066d21","C:\WINDOWS\System32\drivers\FLTMGR.SYS"   

"1","FLTMGR.SYS","FltDecodeParameters + 0x148c","0xfffff801e50668cc","C:\WINDOWS\System32\drivers\FLTMGR.SYS"    

"2","FLTMGR.SYS","FltQueryInformationFile + 0x723","0xfffff801e50962c3","C:\WINDOWS\System32\drivers\FLTMGR.SYS"    

"3","ntoskrnl.exe","ProbeForWrite + 0xc08","0xfffff803b7aa6d68","C:\WINDOWS\system32\ntoskrnl.exe"   

"4","ntoskrnl.exe","NtQueryInformationFile + 0x1026","0xfffff803b7a9d6d6","C:\WINDOWS\system32\ntoskrnl.exe"   

"5","ntoskrnl.exe","ObOpenObjectByNameEx + 0x1ec","0xfffff803b7a9c0dc","C:\WINDOWS\system32\ntoskrnl.exe"    

"6","ntoskrnl.exe","ObOpenObjectByName + 0x488","0xfffff803b7a89b78","C:\WINDOWS\system32\ntoskrnl.exe"    

"7","ntoskrnl.exe","NtCreateFile + 0x79","0xfffff803b7a896d9","C:\WINDOWS\system32\ntoskrnl.exe"    

"8","ntoskrnl.exe","setjmpex + 0x3943","0xfffff803b77ddca3","C:\WINDOWS\system32\ntoskrnl.exe"    

"9","ntdll.dll","NtCreateFile + 0x14","0x7ffbc09f5b24","C:\WINDOWS\SYSTEM32\ntdll.dll"   

"10","guard64.dll","Exported + 0xd341","0x7ffbbcda6161","C:\Windows\system32\guard64.dll"   

"11","<unknown>","0x7ffbc0da0052","0x7ffbc0da0052",""

抱歉，问题太长了

但我很沮丧，这是我第一次无法控制我的电脑并恢复文件。
当然，这不是唯一一个不允许在此目录中创建的文件……但在这些目录中，什么都不允许……

那么我怎样才能控制我的计算机，我错过了什么，我必须授予什么权限，或者我必须停止什么程序，以便我能够恢复该文件？

运行 icacls

C:\Program Files>icacls WindowsApps
WindowsApps NT SERVICE\TrustedInstaller:(F)
            NT SERVICE\TrustedInstaller:(CI)(IO)(F)
            S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(RX)
            S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(OI)(CI)(IO)(RX)
            NT AUTHORITY\SYSTEM:(RX,W)
            NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
            BUILTIN\Administrators:(RX)
            BUILTIN\Administrators:(OI)(CI)(IO)(RX)
            NT AUTHORITY\LOCAL SERVICE:(Rc,S,X,RA)
            NT AUTHORITY\LOCAL SERVICE:(OI)(CI)(IO)(RX)
            NT AUTHORITY\NETWORK SERVICE:(Rc,S,X,RA)
            NT AUTHORITY\NETWORK SERVICE:(OI)(CI)(IO)(RX)
            Aristos\MyNameHere:(OI)(CI)(F)
            Mandatory Label\Low Mandatory Level:(OI)(CI)(NW)

Successfully processed 1 files; Failed processing 0 files

和

C:\Program Files\WindowsApps>icacls Microsoft.BingWeather_4.8.239.0_x86__8wekyb3d8bbwe
Microsoft.BingWeather_4.8.239.0_x86__8wekyb3d8bbwe NT AUTHORITY\SYSTEM:(OI)(CI)(F)
Aristos\MyName:(OI)(CI)(F)
BUILTIN\Administrators:(OI)(CI)(F)
NT AUTHORITY\Authenticated Users:(OI)(CI)(F)
BUILTIN\Users:(OI)(CI)(F)
NT SERVICE\TrustedInstaller:(CI)(F)
S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(OI)(CI)(RX)
NT AUTHORITY\LOCAL SERVICE:(OI)(CI)(RX)
NT AUTHORITY\NETWORK SERVICE:(OI)(CI)(RX)
NT SERVICE\TrustedInstaller:(I)(CI)(F)
S-1-15-3-1024-3635283841-2530182609-996808640-1887759898-3848208603-3313616867-983405619-2501854204:(I)(OI)(CI)(RX)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(RX)
NT AUTHORITY\LOCAL SERVICE:(I)(OI)(CI)(RX)
NT AUTHORITY\NETWORK SERVICE:(I)(OI)(CI)(RX)
Aristos\MyName:(I)(OI)(CI)(F)
Mandatory Label\Low Mandatory Level:(I)(OI)(CI)(NW)
S-1-19-512-4096:(OI)(CI)(RX,D,WDAC,WO,WA)

答案1

下载执行程序（上一个链接) 来自 Microsoft 子公司 Sysinternals。在包含以下内容的目录中打开管理命令提示符psexec.exe并键入以下内容：

psexec -s -i cmd.exe

稍等片刻，您将看到一个以身份运行的命令提示符SYSTEM，该提示符实际上具有对 WindowsApps 目录的完全访问权限。使用该提示将move文件移动到正确的位置。完成后，您可以像关闭其他任何提示符一样关闭提示符和父控制台。