Недавно я скачал одну программу, которая «защищает» папки, скрывая их.
Программное обеспечение - этоhttps://fspro.net/my-lockbox/
Я открыл cmd как администратор и думал, что восстановлю его по атрибутам, но ничего, возникла ошибкаFile not found - personal
А потом я заметил кое-что, когда только что набрал текст cd personal
...Access is denied.
Сначала я подумал, что это связано с привилегиями, takeown /F "D:\person" /A /R /D Y
но снова та же ошибка Access is denied.
.
Хорошо, я продолжу и закрою все процессы, связанные с этой программой.
Я сделал то же самое, но ничего! С этими командами icacls "D:\person" /setowner "Administrators" /T /C
у меня
D:\person: Access is denied. D:\person\*: Access is denied. Successfully processed 0 files; Failed processing 2 files.
все в порядке, может быть, это что-то большее!
До того, как я «скрыл» папку, я был внутри нее, а когда я ее скрыл, я проверил свойства и увиделYou must have Read permissions to view the properties of this object
Я проверил расширенную опцию - Изменить владельца, и у меня не было возможности изменить ее, а толькоYou must have Read permissions to view the properties of this object
С PowerShell и PowerForensics
библиотекой .... Я нашел файл!! Также, с третьей стороной ( WinUtilities Undelete
иhttps://www.x-ways.net/winhex/)!
Я заметил, что имя файла не изменилось, (не использовал clsid) он был там! Просто скрытый, без атрибутов, без шифрования!
У меня вопрос: что там происходит?
Что я упускаю из виду в привилегиях и разрешениях?
что делает его недоступным и скрытым?
Пожалуйста, суть этого вопроса не в критике, а в знании! Спасибо!
решение1
Использование моего LockboxДрайвер файловой системы. По сути, он располагается между ОС и файловой системой, что позволяет ему предотвращать чтение и/илискрыть папки/файлыкогда Explorer или другие приложения используютстандартныйAPI вызывает список каталогов. Поскольку это просто дополнительное приложение, которое загружается при загрузке, это тривиально для приложений, которые не используют стандартный API для перечисления и чтения "скрытых" файлов, или просто загружаются из другой ОС (может быть и Windows), в которой не установлен My Lockbox. Даже отключения драйвера фильтра достаточно, чтобы обойти защиту. Windows предоставляет эту функцию перехвата не только для файлов и папок, но и дляРеестр и процесс.
Вот почему My Lockbox пытается помешать удалению без пароля, так как это просто отключит любую "защиту". Сложность этого (поскольку удаление на самом деле не требует одобрения My Lockbox), сходство с попытками вируса скрыть себя (что приводит к несовместимости с антивирусными приложениями) и широкая доступность бесплатных и простых в использовании приложений для шифрования, которые будут работать даже при загрузке с другой ОС, делают "защиту" драйвера файловой системы без шифрования сейчас довольно устаревшей.