尝试了多次，金山仍无法查杀System Volume Information目录

无声无息

System Volume Information 文件夹是一个隐藏的系统文件夹，"系统还原"工具使用该文件夹来存储它的信息和还原点。您的计算机的每个分区上都有一个 System Volume Information 文件夹。“System Volume Information”文件夹,中文名称可以翻译为“系统卷标信息”。这个文件夹里就存储着系统还原的备份信息.

http://support.microsoft.com/kb/309531/

即使当前登录的管理员账户取得访问权限，使用金山卫士自定义扫描目录仍然无法查看到该目录下的文件夹，所以也无法查杀（毒霸还没尝试，哪位装毒霸的朋友可以看下毒霸能否查杀）。

这确实给病毒木马的生存留下了空间。

大金鱼先生

表示金山卫士层面是ring3，貌似进程权限不是system，所以能不能进去都是问题

zhang_guo_shuai

我记得金山急救箱扩展扫描是可以扫描到这个目录的，按理说金山毒霸和卫士也应该可以啊，你用卫士的系统修复扫扫试试。

无声无息

zhang_guo_shuai 发表于 2011-7-27 10:22
我记得金山急救箱扩展扫描是可以扫描到这个目录的，按理说金山毒霸和卫士也应该可以啊，你用卫士的系统修复 ...

之前一段时间装过毒霸2011，应该也是不扫描的，一个很老的毒没被发现，被小A拿出来后用金山卫士扫描报毒，证明金山是认识这毒的，但是进不去这目录


样本http://bbs.kafan.cn/thread-1037658-1-1.html

zhang_guo_shuai

那就奇怪了，你用强力查杀试试，那个应该是基于急救箱的。
一年多之前我在中毒严重的机器上试过一回，你说的那个目录被急救箱的扩展报了很多毒。

郑伟用户

zhang_guo_shuai 发表于 2011-7-27 10:37
那就奇怪了，你用强力查杀试试，那个应该是基于急救箱的。
一年多之前我在中毒严重的机器上试过一回，你说 ...

这个要看分区的格式，NTFS的估计急救箱也进不去。但是这个目录有没有必要查杀，就算查杀会不会破坏了备份文件。

无声无息

郑伟用户 发表于 2011-7-27 10:42
这个要看分区的格式，NTFS的估计急救箱也进不去。但是这个目录有没有必要查杀，就算查杀会不会破坏了备份 ...

只要有木马病毒生存的空间作为安全厂商就应该绞杀，当年谁会想到MBR也会被病毒利用。防范是肯定需要的。金山不能查杀应该算是金山的缺陷

zhang_guo_shuai

郑伟用户 发表于 2011-7-27 10:42
这个要看分区的格式，NTFS的估计急救箱也进不去。但是这个目录有没有必要查杀，就算查杀会不会破坏了备份 ...

不会吧，应该能进去吧，这个目录还是值得扫扫的。

郑伟用户

无声无息 发表于 2011-7-27 11:34
只要有木马病毒生存的空间作为安全厂商就应该绞杀，当年谁会想到MBR也会被病毒利用。防范是肯定需要的。 ...

到底为什么咱们不是太了解，我想单纯就是查杀，金山应该能做到但是为什么不做呢。个人关点就是，就算这里面有木马暂时也不能感染系统，如果为了查杀而破坏了备份何苦呢。

385872808

表示毒霸12和卫士3.1都木有查杀……