这就是重点。
我将 Windows 设置为显示所有隐藏文件和受保护的操作系统文件,但即使这样,我的防病毒软件(卡巴斯基)仍然在“c:\windows\system32”上收到“.dll”文件,说它是一个危险软件“Hidden.Object”。
我每次都尝试找到这个文件,但它不在那里。所以我请一位开发人员创建一个服务,每 5 秒验证一次文件夹,如果找到该文件,则将其复制到另一个位置。
如果它复制到另一个具有相同名称和扩展名的位置,我仍然无法在另一个文件夹中找到该文件,但卡巴斯基现在找到了这两个文件。如果我保留相同的名称但使用不同的扩展名,例如“.temp123”,我仍然找不到该文件。最后,我创建了一个空文本文件,并将其重命名为与另一个文件相同的名称,该文件也消失了。
经过所有这些研究,很明显,此特定服务器上的每个同名文件都会被隐藏,与文件扩展名无关。我在另一台服务器上创建了一个同名文件,什么也没发生,文件仍然在那里,没有问题。
我如何找到这种文件?我如何“揭露”它?我如何知道这个文件在做什么?
答案1
看起来像 rootkit,使用 sysinternals 套件中的 rootkit 揭示器http://technet.microsoft.com/en-us/sysinternals/bb897445或启动到救援模式(可能会或可能不会有帮助)或启动另一个系统(例如从 cd 启动 linux)或将磁盘插入另一台计算机
答案2
除了隐藏文件外,还有“受保护的操作系统文件“您可以确保也会显示出来。值得一试:
双击桌面上的“我的电脑”。
选择“工具”-“文件夹选项”。
当出现“文件夹选项”多选项卡对话框时,选择“查看”选项卡。
向下滚动到“隐藏受保护的操作系统文件(推荐)”并根据需要选中或取消选中该框。
单击“确定”关闭对话框。