fff000
超级版主
积分 18503
发帖 2582
注册 2006-5-27
状态 离线
|
 #1 全面解读伪装文件
计算机中的文件根据其内容不同分为许多类型,Windows通过注册表登记了这些文件的类型及其它信息。我们打开注册表编辑器,在 HKEY_CLASSES_ROOT根键下面有一个子键CLSID(“类标识符”在Windows中的英文缩写),双击该子键会出现图1的窗口。
在左窗格中显示的是各类文件的类标识符,有很多项,主要用来标识文件、程序、控件类型等对象;右窗格是左窗格对应内容的展开,可以用来检查各个类标识符所表示的文件类型。例如:
{00020c01-0000-0000-c000-000000000046}是WAV文件类型;
{2227a280-3aea-1069-a2de-08002b30309d}是打印机文件类型;
{00020811-0000-0000-c000-000000000046}是Microsoft Excel图表文件类型。
伪装文件夹
长期以来,微机操作人员为了自己文件和数据的安全,采用了多种多样的方法进行保护。其实利用“类标识符”就可以十分方便地伪装重要的文件夹,从而达到对文件的保护目的。我们以几个新建的文件夹为例体会一下其神奇效果。
将myf2文件夹重命名为“my2.wav.{00020c01-0000-0000-c000-000000000046}”,原文件夹名被改成了 my2.wav声音文件,图标也被改成了wav的文件图标,双击它会弹出一个多媒体播放器的画面。若不是自己所为或别人指明,谁又会相信这是一个文件夹呢。
将myf3文件夹重命名为“打印机.{2227a280-3aea-1069-a2de-08002b30309d}”,原文件夹被改成了一个名为“打印机”的图标,双击它会弹出一个打印机设置窗口,你还认为在这里可以新安装或设置打印机呢,真是可以哄死人。
总之,我们可以利用文件的类标识符把文件夹伪装为类标识符表示的文件类型,达到为我所用的目的。但是事物都具有两面性,那些具有“黑客”心理的人完全可以用它开一个让你找不到文件的玩笑。所以无论是自己所为还是他人所为,如何查找和恢复用类标识符伪装的文件夹是我们要解决的问题,特别对初学者尤为重要,否则你的数据和文件与彻底删除无任何区别。
恢复伪装的内容
第一步:找出被伪装后的文件夹
一般自己的文件夹不见了,都会考虑是不是被删除、移动、改名、隐含了等,通常会采用查看“回收站”、用“搜索”命令查找、用“查看”命令去检查等方法,尤如大海捞针。但是,如果你怀疑文件夹是被类标识符伪装了,我们应该直接采用下述的办法(以检查E盘为例):在MSDOS方式下进入E盘,列目录。这时会出现类似图2所示的画面,在该画面中会出现当前路径下包括被隐藏的文件目录信息。
如果在某些目录的扩展名位置上出现类标识符,这样的目录就是可疑的对象。对照图1中的内容,应该能判断出对应的文件夹被伪装成了什么类型的文件。我们使用CD命令依次对可疑对象进行检查,看看是不是你文件夹的内容,直到发现要找的目录为止。
第二步:恢复文件
需要说明的是,文件夹被伪装成不同的文件类型,其文件夹内容的恢复方法不尽相同,甚至有些类型用常规的方法是不能恢复的。这里举几例说明。
恢复被伪装成WAV声音文件类型的文件夹(以上述my2.wav为例)。右键单击my2.wav图标,选择“打开”或“Explore Frome Here”命令即可直接访问其中的内容。
恢复被伪装成打印机文件类型的文件夹,操作如下:
cd打印机.{2227a280-3aea-1069-a2de-08002b30309d}
attrib *.* -h
xcopy *.* e:\myf3/s
了解DOS命令的人一下就能看出上述命令的功能:把伪装成打印机文件类型的原文件夹下的所有文件和目录(包括隐藏的文件)恢复到E盘的myf3子目录下。
恢复被伪装成Microsoft Excel图表文件、Word文档、公文包等类型的文件夹,方法与恢复打印机文件类型一样。
几点说明
利用文件的类标识符伪装文件夹是要冒一定风险的,例如某些类标识符伪装的文件夹很难将其恢复,一定要小心行事。一些被伪装的文件夹的子文件夹事先被隐含了,恢复后可能会给漏掉了等,所以如果你想用类标识符伪装文件夹,一定要记住其中的子文件夹,以便必要时分别处理。
|
|
|
