破坏影子系统的思路,供有兴趣的朋友测试
摘自 [url]http://1117hk.blog.sohu.com/entry/[/url]1.先确保系统无毒,对C盘做个ghost备份
2.在单一保护模式下,打开影子保护
3.用冰刀(IceSword)等内核工具强行中止影子的所有进程
4. 用冰刀等内核工具强制删除几个操作系统锁定的重要组成文件,假如系统安装在C:\WINDOWS\目录下,可以删除c:\NTDETECT.COM文件, c:\ntldr文件,C:\WINDOWS\system32\drivers\目录下的所有文件,C:\WINDOWS\repair\目录下的所有文件(C:\WINDOWS\repair\目录是不可见目录,保存着注册表信息,在冰刀下可以删除)
另外再删除几个C盘中的大文件
5.核对一下C盘的容量,C盘所有文件占据的容量+C盘空闲空间容量,是否等于C盘硬件分区的总容量,如果小于C盘硬件分区总容量,说明影子系统把被删除的文件隐藏在C盘的其他地方了,破坏失败,不用再往下做了
如果,C盘所有文件占据的容量+C盘空闲空间容量=C盘硬件分区总容量,继续往下做
6.这一步很关键,关系到破坏最终能否成功
用bcwipe等硬盘擦除软件擦除C盘的空闲空间,最好擦3遍以上,看擦除软件是否能成功擦除C盘的空闲空间
7.如果成功擦除了C盘的空闲空间,关机重启,看看还能不能正常开机?那些被强制删除的文件还在不在?
如果还能正常开机,被删除的文件自动恢复,影子系统确实厉害!为它鼓鼓掌!
如果不能正常开机或有文件不能恢复,请用第1步的ghost备份恢复C盘
页:
[1]