自從微軟收購 Sysinternals 產品后,Sysinternals 所有工具軟體都帶上了微軟的數字簽名,從此名正言順的成為微軟的親兒子了!
今天要介紹的就是 Sysinternals 中的 movefile 工具!
官方檔案和軟體下載: https://docs.microsoft.com/en-us/sysinternals/downloads/movefile
官方軟體介紹(譯文):
有些應用程式,如 Service Packs 和 HotFixes,必須替換正在使用且無法替換的檔案。因此,Windows 提供了 MoveFileEx API 來重命名或洗掉檔案,并允許呼叫方指定在下次系統啟動引導時(在檔案被使用之前)執行操作。Session Manager 通過從 HKLM\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations 值讀取已注冊的重命名和洗掉命令來執行此任務。
看到這里大家應該明白,這是微軟官方認可的替換(洗掉)正在使用的檔案最安全的辦法。
有人可能要問了,為什么那些直接解除正在使用狀態的軟體不夠安全。從開發者的角度來講,檔案是正在使用的狀態,就意味著有一個行程打開了此檔案,并擁有讀寫操作的句柄。而那些強力洗掉工具,往往是強制關閉了使用這個檔案的句柄(不是整個行程),對于正在使用這個檔案的行程來說,句柄的關閉這極大的可能會導致出錯而拋出一個例外,如果這個程式沒有考慮到這樣特殊情況的例外捕獲和處理,往往就會導致這個行程的例外甚至崩潰。所以說,那些所謂的強力洗掉工具并不是最安全的做法。
而 movefile 原理是告知會話管理器“Session Manager”在 Windows 開機引導程序中(此時還沒有任何用戶程式、服務啟動,檔案就不可能變成正在使用狀態)對檔案進行移動或洗掉操作。
實際操作如下圖所示:(需要以管理員身份運行)
如圖操作完畢后,請重啟 Windows ,在下次啟動的程序中,目標檔案就會被洗掉了。
雖然沒有360之類的工具那樣點點滑鼠的傻瓜操作,但是給抵制360的用戶來說,不失為一種好的選擇!
uj5u.com熱心網友回復:
movefile真的什么檔案都可以刪掉么?轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/62661.html
標籤:安全技術/病毒
上一篇:隨便弄的