NT authority\system 无法 TAKEOWN 任何文件

NT authority\system 无法 TAKEOWN 任何文件

我正在尝试使用以下命令删除计算机上的一些讨厌的文件

C:\Program Files>takeown /r /d Y /f "Bitdefender Antivirus Free"

但是,这会产生以下错误:

INFO: The current logged on user does not have ownership privileges on
      the file (or folder): <Various files and folders>

我认为这很奇怪,因为我以在 Windows 10 PC 上合理获得的最高权限来运行它:

C:\Program Files>whoami
nt authority\system

唯一具有更高权限的其他用户是与驾驶员相关的用户(IIRC)

我该如何删除这些文件?
其他(更高)权限可能会阻止此操作?

就这个问题而言,“运行卸载程序”不是一个有效的答案。

答案1

如果 SYSTEM(具有SeTakeOwnershipPrivilege 特权) 无法使用takeown(持有时启用该权限)来获取文件所有权,这是 Windows 标准安全模型之外发生的事情。

您怀疑驱动程序是正确的。虽然以 SYSTEM 身份运行的程序可以访问很多权限,但它们仍然是用户模式程序,只能在内核模式访问检查下才能行使权限。在内核模式下运行的所有内容(无论是标准操作系统组件还是驱动程序)理论上都对机器拥有完全的权限。Windows 为驱动程序提供了几种支持方式来覆盖用户模式下的常规检查。根据您尝试获取所有权的文件夹的名称,我怀疑文件系统过滤驱动程序防病毒产品用于访问时扫描和自我保护。您可以通过fltmc在管理命令提示符中运行来查看已加载过滤器的列表,以检查是否存在此类过滤器。要获取有关每个过滤器的更多信息,您可以在 中查找同名的 SYS 文件C:\Windows\System32\drivers。文件详细信息应包括简短描述和公司名称;如果您发现来自防病毒供应商的已加载过滤器,则它可能负责。

您可以尝试使用fltmc卸载过滤器,但我怀疑防病毒驱动程序会拒绝分离。正如评论中所建议的那样,过滤器可能未在安全模式下加载,因此值得一试。如果这也不起作用,您将无法在系统运行时更改这些文件,而必须从另一个操作系统(例如恢复环境或 Linux 实时磁盘)进行更改。

相关内容