前言:
昨晚闲来无事又捣鼓本人的“郴维电脑装机维护工具”Win PE系统,发现原本在进入PE桌面后自动运行备份IP信息的工具“IP信息提取工具”没有显示出来。
经过简单排查确定是本机系统“C:\Windows\System32\Config\SYSTEM”的注册表文件没有操作权限。
从昨天到今天一直在想是什么原因,如何解决,最终终于找到了解决办法,及出现该问题的可能原因是什么。
划重点:
各系统中“C:\Windows\System32\Config\SYSTEM”文件症状。
一、本人Win7正常系统中是正常可以使用的,占用空间、安全权限能显示、安全权限能修改、有2处和其它文件不同
1.文件显示被压缩(手动操作无法取消压缩),2.权限中所有者为“Administrator”。
二、(Win10PE、Win11正常系统) 无法进行删除,复制等操作,提示“你需要权限才能执行此操作”、文件占用空间仅为4K、
安全权限不能显示、安全权限不能修改,同样不能取消文件压缩。
三、Win7中反反复复经过一系列的权限修改,再进入PE查看问题依旧;使用各种第3方软件尝试复制等操作同样提示“无权限”。
四、由于SYSTEM是系统文件,在Win7中是无法复制的(提示“文件正在使用”),于是我想把自己的Win7系统克隆一份然后挂载会是什么情况?
用在使用的Win7挂载克隆后的Win7,克隆后的Win7中SYSTEM可以复制操作了(复制出来的文件也正常了),但是也不能取消压缩,
在PE中查看该文件和原系统文件一样没有操作权限。
上面的第四点也算是一种解决办法了,数据无价嘛;但是想想,假如哪天在客户家里他的系统坏了,刚好有个或多个文件跟现在的情况一样怎么办?
如果我今天没有遇到过类似的问题,我肯定会跟客户说:你的这些文件损坏了。
静下心来开始分析问题:
对于一个搞技术的来说不可能止步于上面半桶水的解决办法,必须要找到个完美的解决办法。
1. 本人Win7系统文件能用说明文件是正常的。
2. 本人Win7系统文件能够修改安全权限,说明安全权限方面的问题可能性也不大。
3. 文件安全权限中所有者为“Administrator”默认应该是“SYSTEM”,是不是有哪个软件对文件进行过权限修改操作,导致文件头部有些数据不规范?
4. 文件莫名有了压缩属性且不能取消,默认是没有的,猜测还是头部有些数据不规范。
5. 经以上分析,想会不会有别的办法可以把数据复制出来呢?
解决办法:
首先想到的是,像这种情况能不能在DOS下把文件复制出来呢?
1. 在U启界面瞟到Win2003PE,于是乎何不先进Win2003PE看看什么情况,加载到Win2003PE桌面时熟悉的界面竟然出来了(“IP信息提取工具”界面),
文件占用空间正确、文件能复制、安全权限有显示,我就不做其它操作测试了,因为能复制就足够了。
2. DOS下操作,依然顺溜。
3. 既然Win2003PE可操作,DOS也能操作,那Win7PE是否也行?刚好手上有Win7PE,结果是可以的。
4. 经问题原因分析后,心想直接使用专业软件读取扇区数据应该也是可行的,事实证明确实可行,且不依赖操作系统。
使用专业软件WinHex复制出文件操作:
各种方法得到的文件内容对比:
出现该问题原因分析:
前面已经说过文件的权限中所有者为“Administrator”,所以猜测应该是哪个软件对文件进行了权限操作,而它做的这些权限操作不符合规范,
所以导致文件头部有些数据不规范。在效高版本的系统中安全机制更为严格,会提示无权限;而在低版本的系统中没有这些限制,则可以绕过。