Recentemente baixei um software que está "protegendo" as pastas, ocultando-as.
O software éhttps://fspro.net/my-lockbox/
Abri o cmd como administrador e pensei que iria recuperá-lo por atributos mas nada, gerou um erroFile not found - personal
Então notei algo quando acabei de digitar cd personal-Access is denied.
Meu primeiro pensamento foi que isso tinha a ver com privilégios, takeown /F "D:\person" /A /R /D Ymas novamente o mesmo erro Access is denied..
Ok, continuo e fechei todos os processos relacionados a esse programa.
Segui o mesmo mas nada! Com esses comandos icacls "D:\person" /setowner "Administrators" /T /C
fiquei
D:\person: Access is denied. D:\person\*: Access is denied. Successfully processed 0 files; Failed processing 2 files.
bem, talvez seja algo mais que isso!
Antes de "ocultar" a pasta eu estava dentro da pasta e quando a escondi verifiquei as Propriedades e viYou must have Read permissions to view the properties of this object
Marquei a opção avançada - Alterar proprietário e não tive a opção de alterá-la, apenasYou must have Read permissions to view the properties of this object
Com PowerShell e com PowerForensicsbiblioteca.... encontrei o arquivo!! Além disso, com terceiros ( WinUtilities Undeleteehttps://www.x-ways.net/winhex/)!
Percebi que o nome do arquivo não mudou, (não usei clsid) estava lá! Apenas oculto, sem atributos, sem criptografia!
Minha pergunta é o que está acontecendo lá?
O que estou perdendo em privilégios - permissões?
o que o torna inacessível e oculto?
Por favor, o objetivo desta pergunta não é criticar, mas sim conhecimento! Obrigado!
Responder1
Meu Lockbox utilizaDriver do sistema de arquivos. Essencialmente, ele fica entre o sistema operacional e o sistema de arquivos, permitindo impedir a leitura e/ouocultar pastas/arquivosquando o Explorer ou outros aplicativos usandopadrãoA chamada de API lista o diretório. Como é simplesmente um aplicativo adicional que é carregado na inicialização, é trivial para aplicativos que não usam API padrão listar e ler os arquivos "ocultos" ou apenas inicializar a partir de outro sistema operacional (também pode ser o Windows) que não o faz. tenha o My Lockbox instalado. Até mesmo desabilitar o driver do filtro é suficiente para contornar a proteção. O Windows fornece essa funcionalidade de interceptação não apenas para arquivos e pastas, mas também pararegistro e processo.
É por isso que o My Lockbox tenta impedir a desinstalação sem senha, pois isso simplesmente desabilitará qualquer "proteção". A dificuldade em fazer isso (já que a desinstalação não precisa realmente da aprovação do My Lockbox), a semelhança com vírus tentando se esconder (o que leva a incompatibilidades com aplicativos antivírus) e a ampla disponibilidade de aplicativos de criptografia gratuitos e fáceis de usar que irão ainda funciona mesmo quando você inicializa a partir de outro sistema operacional, torna a "proteção" do driver do sistema de arquivos sem criptografia bastante obsoleta agora.