现在压缩软件已经深入系统文件的底层,这样它们就可以执行一些常用软件无法执行的操作,比如用它们来进行文件管理,甚至可作为杀毒的利器。
火眼金睛 变身文件管理利器
有些人喜欢用一些伪装系统文件夹的方法来隐藏文件,比如将某文件夹命名为“网上邻居.{
208D2C60-3AEA-1069-A2D7-08002B30309D}”,这样在资源管理器中看到的就是“网络(WORKGROUP)”,我们将无法看到隐藏在其中的文件。不过这样一来,也给自己的访问带来不便(图1)。
图1 使用网上邻居隐藏文件
其实这些伪装手段只能迷惑常见的文件管理器,而压缩软件已经深入系统文件的底层,通过WinRAR、7ZIP之类的压缩软件就可以让这类隐藏文件快速现身。这里以7ZIP为例,启动7ZIP后定位到上述隐藏文件夹,可以看到该文件的实际名称仍然为“网上邻居.{
208D2C60-3AEA-1069-A2D7-08002B30309D}”,展开即可看到其中被隐藏的文件,这里可以对其进行复制、粘贴等常见的操作(图2)。
图2 使用7ZIP直接查看隐藏的文件
同样,对于其他特殊文件,比如受保护的系统隐藏文件,默认情况下我们只有在文件夹选项中,设置显示隐藏文件和取消受保护操作系统文件前的勾选,这样才能看到隐藏的系统文件。不过这样的设置,很容易导致重要系统文件的误删。如果只是临时要查看或者编辑这些隐藏的系统文件,比如备份C:\boot\bcd文件,无需对文件夹选项进行设置,直接启动7ZIP后定位到C:\bbot,选中其中的bcd文件,右击选择“复制到”,将其复制到其他位置保存即可(图3)。然后你就可以对其进行编辑操作了。
图3 在7ZIP里直接复制隐藏系统文件
小提示:更多文件管理功能
除了以上常规的文件管理功能外,还可以用压缩软件来管理回收站的文件。比如默认情况下误删文件后我们会到回收站去查找,但是回收站不支持直接打开文件和被删文件夹,这样如果回收站中有类似的误删文件,就只能将其恢复后查看。7ZIP等压缩软件则可以打开回收站,并在其中直接打开误删文件(夹),省去要先恢复再查看判断的不便(图4)。
图4 在7ZIP中直接查看回收站里的文件
查杀病毒 变身手动杀毒力器
现在一些顽固病毒为了躲避查杀,它们经常会将自身保存在一些特殊目录下,常规的杀毒软件或者文件管理器经常无法找到,或者找到后也很难删除。利用压缩软件深入系统文件底层的特点,通过它们即可删除顽固的病毒文件。
上网感染的一些病毒经常会藏身在“C:\Users\当前用户\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5”下的子目录中,虽然很多杀毒软件可以检测到该位置的病毒,但是却经常提示无法删除干净。而且使用资源管理器打开上述目录却无法发现任何文件,这给手动删除病毒带来麻烦(图5)。
图5 在资源管理器无法发现文件
对于这类特殊目录里的文件,借助压缩软件可以轻松查看,因为其中的文件只是上网缓冲文件,如果发现病毒就可以将其中文件全部删除。启动7ZIP后定位到上述目录后,可以看到“Content.IE5”下还有许多类似“FWL054AS”字样的子目录,病毒就是藏身于这些子目录中,现在按提示选中这些子目录(删除前将IE等浏览器关闭),然后点击“删除“即可(图6)。
图6 在7ZIP中直接删除病毒文件
同样的,病毒还经常藏身于“System Volume Information”、“ C:\Recovery”这类特殊账户(SYSTEM)才能访问的目录中,对于这些目录也可以使用压缩软件进行访问。不过由于权限的限制,我们需要让7ZIP以SYSTEM身份运行。
首先到suo.im/u1dln下载PsExec,下载后将其解压到系统目录备用。接着以系统管理员身份启动命令提示符,输入“PsExec -i -d -s "C:\Program Files\7-Zip\7zfm.exe"”(不含外侧引号),这样就会以SYSTEM身份启动7ZIP(图7)。
图7 以SYSTEM身份启动压缩软件
启动7ZIP后,打开任务管理器可以看到目前7ZIP运行的账户就是SYSTEM,也就是它具有了SYSTEM权限,能够直接访问原来只有SYSTEM账户才有权限访问的目录(图8)。
图8 在任务管理器查看7ZIP的运行账户
小提示:
上述代码中“C:\Program Files\7-Zip\7zfm.exe”代码表示运行指定压缩软件,如果不知道压缩软件具体名称,只要手动启动压缩软件,然后打开任务管理器查看即可获知压缩软件进程名。
现在再定位到“C:\System Volume Information”,已经可以直接在7ZIP窗口中访问上述目录了,打开该目录后按提示将病毒文件删除即可(图9)。当然,使用同样的方法可以用7ZIP访问一些原本没有权限访问或者删除的文件,因为权限是可以继承的,这样启动的压缩软件具有极高的SYSTEM权限。
图9 直接在7ZIP中访问“C:\System Volume Information”目录
小提示:
在查杀病毒时还经常需要删除注册表中病毒对应的键值,因为PsExec可以让程序以SYSTEM身份运行,我们可以使用同样的方法启动注册表编辑器(输入“PsExec -i -d –s c:\windows\regedit.exe”),这样一些原本只有SYSTEM才有权限访问的键值如
HKEY_LOCAL_MACHINE\SAM\SAM
,现在就可以直接访问,并且可以删除病毒在这些位置创建的键值了。