教你辨認隱藏的系統文件真偽

 

　　小提示：這個權限不夠的錯誤提示僅在此分區文件系統為NTFS時出現， 如果使用FAT32則沒有， 因為Windows 2000/XP/2003只有在NTFS文件系統上才能實現權限機制。

　　不用著急，這是因為這個文件夾默認只允許System賬戶訪問，而普通用戶(包括管理員賬戶在內)都不在允許訪問的列表中。右擊該文件夾選擇“屬性”，找到“安全”選項卡，點擊“添加”，在出現的窗口中將你的用戶名添加“確定”即可。此時再次打開此文件夾就不會有問題了，看到“_restore{6D0A4536-638F-4B77-8976-2593EED1E197}”如此長的文件名是不是很奇怪呢?再打開此文件夾，下面有一些名為“RP*”(*代表連續的數字)的文件夾，這些件夾按照數字的大小表示還原文距現在的時間長短，另外幾個文件別為：擴展名為“CFG”是配置文件“Drivetable.txt”記錄的是驅動信息，“FiFo.log”是Fifo的記錄。

　　無盡的迷霧伴隨著濃重的黑暗，這個稱為寂靜嶺的廢棄小鎮被黏稠而黑暗的夜色包圍著。即使打著手電，也只能從被迷霧吸收得差不多的光線中看到極有限的范圍。即便是目力所及之處，仍是充滿了黑暗的恐懼……

　　我們的主角Jame s正是陷入了這樣一個鬼地方，陪伴他的只有一台同樣充滿詭異的筆記本電腦。他的心裡似乎有一種聲音在指示什麼:“解開系統裡的黑暗之謎，你就能走出這個鬼地方!”於是，James啟動了這台筆記本，希望能找出秘密所在。當他通過屬性查看文件夾的大小時，顯示的容量會和實際包含文件的總大小始終有些差異，這難道就是James要尋找的東西嗎?

　　我要看到所有東西，迷霧退散!

　　既然要探究隱藏文件夾的奧秘，首先得讓他們現出原形才可以。打開“資源管理器”，選擇“工具”下的“文件夾選項”，打開“查看”選項卡，只要將“隱藏受保護的操作系統文件(推薦)”和“顯示所有文件和文件夾”兩項前的勾去掉，順便將“使用簡單文件共享(推薦)”前的勾去掉(一會兒用得著)，點擊“確定”即可。“什麼?”James驚奇地發現“工具”菜單下面沒有“文件夾選項”，他打開Go ogle搜索了一下，似乎找到了結果。打開“記事本”輸入以下內容並保存為Folder.reg，然後雙擊導入注冊表，重啟後所有的文件就都現身了。

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

　　"CheckedValue"=dworD:00000001

　　隨著隱藏文件/文件夾的顯示，James驚奇地發現籠罩在周圍的迷霧不可思異地迅速散去了。

　　小知識：

　　為什麼操作系統要隱藏系統文件這是因為系統裡有許多隱藏的文件，這一方面是為了保護系統，免得誤刪除造成系統崩潰;另一方面我們平時用不著操作這些文件，隱藏可以方便查找其他文件。

　　小提示：系統出現故障時通過Google搜索是個好主意，在關鍵字的選擇上應盡量采用官方的術語或名稱。 同時，你也可以去《電腦愛好者》 網站(http://www.cfan.com.cn/)、 新浪愛問、 百度知識找找答案。

　　第一話:禁忌的System Volume Information

　　開啟了系統還原，分區裡就會多出一個名為System Volume Information的文件夾，這裡存放和記錄著設置還原點之後你對此分區的所有操作信息。是不是有一種想立刻打開此文件夾的沖動呢?作為沖動的懲罰，你可能會遇到這樣的錯誤提示。

 

　　1.Windows下還原失敗時， 可以在系統啟動的時候按F8鍵進入“高級啟動菜單”，選擇“安全模式”後進行還原。如果“安全模式” 也無法還原，那就以管理員賬戶登錄“帶命令行的安全模式”，在命令行提示符後輸入“%systemroot%\system32\restore\rstrui.exe” (不含引號)， 回車後根據向導將系統恢復到以前的正常狀態。

　　2.上面已經說過“*”代表還原的時間長短，如果不想對很久以前的紀錄進行還原，只要有選擇地刪除數字較大的文件夾即可。

　　第二話：刪不了的大家伙—PageFile.sys

　　系統盤根目錄下有一個400MB～600MB、名為“PageFile.sys”的文件，它是Windows的頁面文件(虛擬內存文件)。虛擬內存文件的默認大小為物理內存的1.5倍～2.5倍。當你的系統中有1GB或者更大的內存時，虛擬內存就會被設得過大。

　　小提示：即使物理內存再大，也不能將虛擬內存設為0，否則會導致系統運行不正常。

　　其實完全可以將虛擬內存的值設置得小一點。右擊“我的電腦”選擇“屬性”，在彈出窗口中選擇“高級”選項卡，點擊“性能”框中的“設置”，然後在“性能選項”中點擊“虛擬內存”框中的“更改”，在“虛擬內存設置”窗口的“自定義設置”裡填入合適的最大值和最小值就可以了。物理內存在512MB以上的可以根據需要設置較小的值，至於小內存的用戶建議還是使用系統默認。

 

上一頁12下一頁共2頁

　　含有頁面文件的分區是不能格式化的， 解決辦法是在剛才的設置位置中將要格式化的分區選中， 將 “初始大小” 和 “最大值” 都設為0， 然後點擊 “設置” ， 然後在別的分區中按照更改前的值設置虛擬內存， 重啟後就能格式化了。

　　第三話:大胃口的Hiberfil.sys

　　如果你啟用了休眠功能，系統盤下還有另外一個較大的文件就是hiberfil.sys，它就是休眠文件。休眠功能的優點非常明顯，但對硬件和系統的兼容性要求很高，有很多電腦由於ACPI/APM支持得不好，使用休眠後就產生了各種系統故障或者運行速度變慢(休眠後有可能出現硬盤IO錯誤，系統會將讀寫模式由DMA改為PIO)。

　　小提示：其實休眠是將內存中的數據保存到硬盤上，由於電腦運行的時間較長，部分不經常運行的數據保存到了虛擬內存中，這時選擇休眠虛擬內存中部分數據沒能及時地釋放出來。遇到休眠後啟動無響應的情況，最好的方法是Reset鍵。

　　如果你根本不使用休眠功能，那還是把這些硬盤空間給釋放出來吧!在“控制面板”的“電源選項”中，選擇“休眠”選項卡，取消“啟用休眠”的勾選，點擊“確定”。

 

　　如果電腦不能正常使用“休眠”和“待機”選項，可以嘗試重裝主板的驅動程序，並且確保BIOS中的STR、STD選項已經啟用(在Google中搜索這兩個關鍵字可以找到詳細的開啟方法)。

　　第四話:圖像的“罪惡”證據—Thumbs.db

　　在許多圖片文件夾下都有一個名為“Thumbs.db”的文件，這是病毒嗎?它的特征實在令人生疑。

　　①在很多圖片文件夾都存在。

　　②刪除後仍然會生成。

　　③隨著圖片的增加不斷增大。

　　不要責怪殺毒軟件的無動於衷了，它是用來加快縮略圖顯示速度的緩存數據庫文件。

　　小提示：只有在使用縮略圖視圖的圖片文件夾中才會生成此文件。

　　雖然清除這個文件對你的硬盤空間並沒有太大幫助，不過如果你的理由僅僅是不順眼，可以這麼干:打開“資源管理器”，選擇菜單“工具→文件夾選項”，在“查看”選項卡下勾選“不緩存縮略圖”(此選項只能控制不再新建，以前建立的需要手動刪除)，然後在硬盤中搜索Thumbs.db，將搜索結果全部刪除就行了。

　　　　謎團都解開了，James順利離開了寂靜嶺。可是系統中還有未知的黑暗之處，如果你對系統中的奇怪文件夾有疑問，知道這些我能干什麼

　　在thumbs.db中，利用工具還能找到已經刪除的圖片文件的縮略圖，請參考電腦愛好者2006年第4期的《小心!別讓Thumbs.db“露點”》 。

　　第五話:難以捉摸的代碼含義

　　在D盤(也有可能是其他分區)中竟然出現了一個名為“39ae6181b8e394461bc0”的文件夾，這串數字代表什麼呢?不要緊張，它是Windows自動更新的產物，只不過常見的系統補丁生成的是“$NtUninstall”開頭的文件夾，而它是個例外。

　　小提示：常有病毒躲在偽裝的補丁文件夾中，判斷的方法是檢查啟動項，如果包含這類“$NtUninstall” 文件夾中的程序路徑，就應該注意了。

　　這個“39ae6181b8e394461bc0”文件夾可以直接刪除，如果刪除不了，可以右擊選擇“屬性”，然後在“安全”選項卡的權限列表中加入當前用戶的完全控制權限。如果連權限都改不了，就在權限列表的下方點擊“高級”，然後將文件夾的“所有者”改為當前用戶，且勾選“替換子窗口及對象的所有者”。注意，執行這些操作都必須使用管理員賬戶。

上一頁12 下一頁共2頁