Recientemente descargué un software que "protege" las carpetas ocultándolas.
El software eshttps://fspro.net/mi-lockbox/
Abrí el cmd como administrador y pensé que lo recuperaría por atributos pero nada, me arroja un error.File not found - personal
Entonces noté algo cuando acababa de escribir cd personal:Access is denied.
Lo primero que pensé fue que tenía que ver con privilegios, takeown /F "D:\person" /A /R /D Ypero nuevamente aparece el mismo error Access is denied..
Ok, continúo y cerré todos los procesos que tenían que ver con ese programa.
Seguí lo mismo pero nada! Con estos comandos icacls "D:\person" /setowner "Administrators" /T /C
obtuve
D:\person: Access is denied. D:\person\*: Access is denied. Successfully processed 0 files; Failed processing 2 files.
OK, ¡tal vez sea algo más que esto!
Antes de "ocultar" la carpeta, estaba dentro de la carpeta y cuando la escondí revisé las Propiedades y viYou must have Read permissions to view the properties of this object
Marqué la opción avanzada: Cambiar propietario y no tenía la opción de cambiarlo, soloYou must have Read permissions to view the properties of this object
Con PowerShell y con PowerForensicsbiblioteca.... ¡¡Encontré el archivo!! Además, con un tercero ( WinUtilities Undeleteyhttps://www.x-ways.net/winhex/)!
Me di cuenta de que el nombre del archivo no había cambiado (no usé clsid), ¡estaba allí! ¡Simplemente oculto, sin atributos y sin cifrado!
Mi pregunta es ¿qué está pasando ahí?
¿Qué me falta acerca de los privilegios: permisos?
¿Qué lo hace inaccesible y oculto?
¡Por favor, el objetivo de esta pregunta no es criticar sino conocimiento! ¡Gracias!
Respuesta1
Mi Lockbox utilizaControlador del sistema de archivos. Básicamente, se encuentra entre el sistema operativo y el sistema de archivos, lo que le permite evitar la lectura y/oocultar carpetas/archivoscuando Explorer u otras aplicaciones usanestándarLa llamada API enumera el directorio. Dado que es simplemente una aplicación adicional que se carga al arrancar, es trivial para las aplicaciones que no usan API estándar enumerar y leer los archivos "ocultos", o simplemente arrancar desde otro sistema operativo (también puede ser Windows) que no lo hace. tener instalado My Lockbox. Incluso desactivar el controlador del filtro es suficiente para evitar la protección. Windows proporciona esta funcionalidad de interceptación no sólo para archivos y carpetas, sino también pararegistro y proceso.
Es por eso que My Lockbox intenta frustrar la desinstalación sin contraseña, ya que eso simplemente desactivará cualquier "protección". La dificultad para hacer esto (ya que la desinstalación realmente no necesita la aprobación de My Lockbox), la similitud con un virus que intenta ocultarse (lo que genera incompatibilidades con aplicaciones antivirus) y la amplia disponibilidad de una aplicación de cifrado gratuita y fácil de usar que todavía funciona incluso cuando arranca desde otro sistema operativo, hace que la "protección" del controlador del sistema de archivos sin cifrado sea bastante obsoleta ahora.