最近我下载了一款通过隐藏文件夹来“保护”文件夹的软件。
该软件https://fspro.net/my-lockbox/
我以管理员身份打开了 cmd,我想我可以通过属性来恢复它,但是,什么也没有,它引发了一个错误File not found - personal
然后我刚打字的时候注意到了一些东西cd personal-Access is denied.
我首先想到的是这与权限有关,takeown /F "D:\person" /A /R /D Y但再次出现同样的错误Access is denied.。
好的,我继续,并关闭了与该程序有关的所有进程。
我按照同样的方法操作,但没用!使用这些命令,icacls "D:\person" /setowner "Administrators" /T /C
我得到了
D:\person: Access is denied. D:\person\*: Access is denied. Successfully processed 0 files; Failed processing 2 files.
OK,也许情况不止于此!
在我“隐藏”文件夹之前,我在文件夹里面,当我隐藏它时,我检查了属性,然后我看到You must have Read permissions to view the properties of this object
我检查了高级选项 - 更改所有者,但我没有选择更改它,但只有You must have Read permissions to view the properties of this object
使用 PowerShell 和PowerForensics库....我找到了文件!!此外,使用第三方(WinUtilities Undelete和https://www.x-ways.net/winhex/)!
我注意到文件的名称没有改变,(没有使用 clsid)它就在那里!只是隐藏了,没有属性,也没有加密!
我的问题是那里发生了什么事?
我缺少了哪些有关特权和权限的信息?
是什么让它无法访问和隐藏?
请注意,这个问题的重点不是批评,而是知识!谢谢!
答案1
我的密码箱利用文件系统驱动程序。它本质上位于操作系统和文件系统之间,可以防止读取和/或隐藏文件夹/文件当 Explorer 或其他应用程序使用标准API 调用列出目录。由于它只是一个在启动时加载的附加应用程序,因此对于不使用标准 API 来列出和读取“隐藏”文件的应用程序,或者只是从其他未安装 My Lockbox 的操作系统(也可以是 Windows)启动的应用程序来说,这很简单。即使禁用过滤驱动程序也足以绕过保护。Windows 不仅为文件和文件夹提供此拦截功能,还为注册和流程。
这就是为什么 My Lockbox 试图阻止无密码卸载,因为这样只会禁用任何“保护”。这样做的难度(因为卸载实际上不需要 My Lockbox 批准)、与试图隐藏自身的病毒的相似性(这导致与防病毒应用程序不兼容)以及免费且易于使用的加密应用程序的广泛可用性(即使您从另一个操作系统启动,它仍会工作),使得没有加密的文件系统驱动程序“保护”现在相当过时了。