关闭系统还原

SystemVolumeInformation

概述

SystemVolumeInformation”是windows系统文件夹，中文名称可以翻译为“系统卷标信息”。这个文件夹里就存

储着系统还原的备份信息。

目录[隐藏]

简介

产生原因和解决方案

木马问题

处理方法

系统还原介绍

[编辑本段]

简介

SystemVolumeInformation文件夹是一个隐藏的系统文件夹，"系统还原"工具使用该文件夹来存储

它的信息和还原点。您的计算机的每个分区上都有一个SystemVolumeInformation文件夹。“System

VolumeInformation”文件夹,中文名称可以翻译为“系统卷标信息”。这个文件夹里就存储着系统还原的备

份信息.

[编辑本段]

产生原因和解决方案

1、空间不足问题：随着用户使用系统时间的增加，还原点会越来越多，导致硬盘空间越来越少，最

后还要被警告“磁盘空间不足”.

2、病毒保护伞（安全问题）：由于NTFS的分区里该目录只有SYSTEM权限，导致杀毒软件没有

权限查杀藏匿于该目录的病毒。

3、病毒保护伞（安全问题）解决方案：阻止“SystemVolumeInformation”文件夹的自动生成。（迄

今为止没人能做到）

4、治标不治本的解决方案：可以打开控制面板里的“系统属性”——“系统还原”选项卡上选中“在所有

驱动器上关闭系统还原”的复选框。

[编辑本段]

木马问题

“SystemVolumeInformation”文件夹里的NTFS木马（安全问题）

1、参考原理：

在一个NTFS分区里，把分区权限删到只剩EVERYONE权限，并只设一个“列出文件夹的目录”权限，

其他复选框都去钩。在这种情况下，该分区是没有写权限的，照理说不会再自动生成“SystemVolumeI

nformation”文件夹。但是，无论你这么设置，该硬盘的分区在任何一个电脑上插上去后依旧会自动生成“S

ystemVolumeInformation”文件夹。

2、木马原理：利用“SystemVolumeInformation”文件夹自动生成的原理，进行线程插入免杀下载器

到自动生成“SystemVolumeInformation”文件夹的系统进程里面，然后把加壳加密的木马下载到“Syste

mVolumeInformation”文件夹。在“SystemVolumeInformation”文件夹的保护下，杀毒软件无权查杀该

木马。在设定条件下夺取SYSTEM权限运行木马预运行模块查杀杀软，然后再脱壳解密启动木马，启用

保护进程防止该目录被删。此类木马无法手工删除，杀软无权查杀，就算FAT32的分区也由于加密原因

无法脱壳。

3、解决方案：阻止“SystemVolumeInformation”文件夹的自动生成。（至今为止没人能做到)

4、解决无法进入本文件夹的暂时方法:开始里点搜索。然后选择高级选项：搜索勾选搜索系统文件夹

和隐藏文件。搜索范围是所有硬盘。点“开始搜索”。你会找到很多个同名文件夹“SystemVolumeInform

ation”。右击点选属性。然后点选权限（好像是这个，总之是上面中间的），然后添加自己的用户名，比

如administrators，确定，好，现在你就可以浏览这个文件夹了，注意“SystemVolumeInformation”文件

夹只能是隐藏属性，你可以在地址栏输入Ｄ：SystemVolumeInformation来浏览，看看吧，很丰富呢，

不知道杀毒软件可以杀毒了吗？

[编辑本段]

处理方法

如何获得对“SystemVolumeInformation”文件夹的访问

使用FAT32文件系统的MicrosoftWindowsXPProfessional或WindowsXPHomeEditi

on

1、打开任意一个文件夹。

2、在“工具”菜单上，单击“文件夹选项”。

3、在“查看”→“隐藏文件和文件夹”选项卡上，单击“显示所有文件和文件夹”。

4、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。

5、清除“使用简单文件夹共享（推荐）”复选框

6、单击“确定”。

7、在文件夹中双击“SystemVolumeInformation”文件夹以将其打开。

8、操作后建议选择“还原为默认值”点确定

在域中使用NTFS文件系统的WindowsXPProfessional

1、打开任意一个文件夹。

2、在“工具”菜单上，单击“文件夹选项”。

3、在“查看”→“隐藏文件和文件夹”选项卡上，单击“显示所有文件和文件夹”。

4、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。

5、清除“使用简单文件夹共享（推荐）”复选框

6、单击“确定”。

7、在文件夹中右键单击“SystemVolumeInformation”文件夹，然后单击“共享和安全”。

8、单击“安全”选项卡。

9、单击“添加”，然后键入要向其授予该文件夹访问权限的用户的名称。选择相应的帐户位置（本地

帐户或域帐户）。通常，这是您登录时使用的帐户。单击“确定”，然后再次单击“确定”。（提示：建议键

入Everyone这个账户，意思是所有账户均有权限）

10、在文件夹中双击“SystemVolumeInformation”文件夹以将其打开。

在工作组或独立计算机上使用NTFS文件系统的WindowsXPProfessional

1、打开任意一个文件夹。

2、在“工具”菜单上，单击“文件夹选项”。

在“查看”选项卡上，单击“显示所有文件和文件夹”。

3、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。

4、清除“使用简单文件共享(推荐)”复选框。

5、清除“使用简单文件夹共享（推荐）”复选框

6、单击“确定”。

7、在文件夹中右键单击“SystemVolumeInformation”文件夹，然后单击“共享和安全”。

8、单击“安全”选项卡。

9、单击“添加”，然后键入要向其授予该文件夹访问权限的用户的名称。通常，这是您登录时使用的

帐户。单击“确定”，然后再次单击“确定”。（提示：建议键入Everyone这个账户，意思是所有账户均有权

限）

10、在文件夹中双击“SystemVolumeInformation”文件夹以将其打开。

注意：现在，WindowsXPHomeEdition的用户可以在正常模式下访问SystemVolumeInforma

tion文件夹。

方法适用范围

MicrosoftWindowsXPHomeEdition及MicrosoftWindowsXPProfessionalEdition

如何删除“SystemVolumeInformation”文件夹

1、关闭“系统还原”

2、获得对“SystemVolumeInformation”文件夹的访问

3、NTFS的分区里该目录只有SYSTEM权限，需要将您登录时使用的帐户（或将EVERYONE账户）

的权限设为完全控制才能删除。

4、删除“SystemVolumeInformation”文件夹

如何获得对SystemVolumeInformation文件夹的访问

右击我的电脑／属性／系统还原项／选“关闭所有还原”，再删除systemVolumeInformation文件夹。

或我的电脑／任何盘符／工具／文件夹选项／查看／还原默认值。

（注：是系统更改日志，主要监看各个盘区的变化，不是病毒）

"SystemVolumeInformation"的删除

一般情况下C：/SystemVolumeInformation这个文件夹是无法访问的，需要加NTFS权限

1.我的电脑-工具-文件夹选项-查看-关闭隐藏受保护的操作系统文件(推荐)-隐藏文件和文件夹选择

显示所有文件和文件夹

2.查看C：/SystemVolumeInformation的属性,会多出一个安全选项-添加-高级-立即查找-双击你目

前的用户名-确定.(如果看不见安全选项

:我的电脑-工具-文件夹选项-查看-关闭简单共享)

3.回到C：/SystemVolumeInformation的属性-安全选项-把权限里的完全控制点上

4.这时候你就可以进入C：/SystemVolumeInformation了,里面有什么,痛快的删掉它~!,.

彻底删除"SystemVolumeInformation"

1.在运行,输入""／（组策略）程序／计算机配置／管理模板／系统／系统还原／右边，

关闭系统还原，双击打开它，启用。

2,在运行,输入""／（组策略）程序／计算机配置／管理模板／windows组件/windowsI

nstaller／在右边会有一个"关闭创建系统还原检查点"双击打开它,选择启用。

运用cacls命令赋予当前用户完全控制权限后即可删除“SystemVolumeInformation”文件夹

命令如下：

cacls"c:SystemVolumeInformation"/geveryone:f

以上是赋予所有用户对c盘SystemVolumeInformation文件夹的完全控制权限，可以删除了

命令详解请在命令提示符下输入:cacls/?

[编辑本段]

系统还原介绍

“系统还原”及其优点

“系统还原”是WindowsXP最实用的功能之一，它采用“快照”的方式记录下系统在特定时间的状态信

息，也就是所谓的“还原点”，然后在需要的时候根据这些信息加以还原。还原点分为两种：一种是系统自

动创建的，包括系统检查点和安装还原点；另一种是用户自己根据需要创建的，也叫手动还原点。在Wi

ndowsXP系统中，我们可以利用系统自带的“系统还原”功能，通过对还原点的设置，记录我们对系统所

做的更改，当系统出现故障时，使用系统还原功就能将系统恢复到更改之前的状态。

如何使用“系统还原”

1、开启“系统还原”

鼠标右击“我的电脑”，选择“属性”/“系统还原”选项卡，确保“在所有驱动器上关闭系统还原”复选框未选

中，再确保“需要还原的分区”处于“监视”状态。

2、创建还原点

这里需要说明的是：在创建系统还原点时要确保有足够的硬盘可用空间，否则可能导致创建失败。设

置多个还原点方法同上。

3、恢复还原点

打开“系统还原向导”，选择“恢复我的计算机到一个较早的时间”，点击“下一步”，选择好日期后再跟着

向导还原即可。

需要注意的是：由于恢复还原点之后系统会自动重新启动，因此操作之前建议大家退出当前运行的所

有程序，以防止重要文件丢失

如何关闭“系统还原”

(一)、用“系统还原选项卡”

1、在“我的电脑”图标上点右键，选择属性

2、选择系统还原选项卡

3、将“在所有驱动器上关闭系统还原”打勾确定后即可

4、关闭“系统还原”后，就可以将该驱动器根目录下的“SystemVolumeInformation”文件夹删除。

(二)、用“组策略”

运行输入,找开组策略->管理模块->系统->系统还原-"关闭系统还原"的属性查看还原功能

是否被关闭,如果启动或未设置选择关闭就可以了。