教你辨认隐藏的系统文件真伪

【 tulaoshi.com - Windows XP教程 】

小提示：这个权限不够的错误提示仅在此分区文件系统为NTFS时出现， 如果使用FAT32则没有， 因为Windows 2000/XP/2003只有在NTFS文件系统上才能实现权限机制。

不用着急，这是因为这个文件夹默认只允许System账户访问，而普通用户(包括管理员账户在内)都不在允许访问的列表中。右击该文件夹选择属性，找到安全选项卡，点击添加，在出现的窗口中将你的用户名添加确定即可。此时再次打开此文件夹就不会有问题了，看到_restore{6D0A4536-638F-4B77-8976-2593EED1E197}如此长的文件名是不是很奇怪呢?再打开此文件夹，下面有一些名为RP*(*代表连续的数字)的文件夹，这些件夹按照数字的大小表示还原文距现在的时间长短，另外几个文件别为：扩展名为CFG是配置文件Drivetable.txt记录的是驱动信息，FiFo.log是Fifo的记录。

无尽的迷雾伴随着浓重的黑暗，这个称为寂静岭的废弃小镇被黏稠而黑暗的夜色包围着。即使打着手电，也只能从被迷雾吸收得差不多的光线中看到极有限的范围。即便是目力所及之处，仍是充满了黑暗的恐惧

我们的主角Jame s正是陷入了这样一个鬼地方，陪伴他的只有一台同样充满诡异的笔记本电脑。他的心里似乎有一种声音在指示什么:解开系统里的黑暗之谜，你就能走出这个鬼地方!于是，James启动了这台笔记本，希望能找出秘密所在。当他通过属性查看文件夹的大小时，显示的容量会和实际包含文件的总大小始终有些差异，这难道就是James要寻找的东西吗?

我要看到所有东西，迷雾退散!

既然要探究隐藏文件夹的奥秘，首先得让他们现出原形才可以。打开资源管理器，选择工具下的文件夹选项，打开查看选项卡，只要将隐藏受保护的操作系统文件(推荐)和显示所有文件和文件夹两项前的勾去掉，顺便将使用简单文件共享(推荐)前的勾去掉(一会儿用得着)，点击确定即可。什么?James惊奇地发现工具菜单下面没有文件夹选项，他打开Go ogle搜索了一下，似乎找到了结果。打开记事本输入以下内容并保存为Folder.reg，然后双击导入注册表，重启后所有的文件就都现身了。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

"CheckedValue"=dworD:00000001

随着隐藏文件/文件夹的显示，James惊奇地发现笼罩在周围的迷雾不可思异地迅速散去了。

小知识：

为什么操作系统要隐藏系统文件这是因为系统里有许多隐藏的文件，这一方面是为了保护系统，免得误删除造成系统崩溃;另一方面我们平时用不着操作这些文件，隐藏可以方便查找其他文件。

小提示：系统出现故障时通过Google搜索是个好主意，在关键字的选择上应尽量采用官方的术语或名称。 同时，你也可以去《电脑爱好者》 网站(http://www.cfan.com.cn/)、 新浪爱问、 百度知识找找答案。

第一话:禁忌的System Volume Information

开启了系统还原，分区里就会多出一个名为System Volume Information的文件夹，这里存放和记录着设置还原点之后你对此分区的所有操作信息。是不是有一种想立刻打开此文件夹的冲动呢?作为冲动的惩罚，你可能会遇到这样的错误提示。

1.Windows下还原失败时， 可以在系统启动的时候按F8键进入高级启动菜单，选择安全模式后进行还原。如果安全模式 也无法还原，那就以管理员账户登录带命令行的安全模式，在命令行提示符后输入%systemroot%system32restorerstrui.exe (不含引号)， 回车后根据向导将系统恢复到以前的正常状态。

2.上面已经说过*代表还原的时间长短，如果不想对很久以前的纪录进行还原，只要有选择地删除数字较大的文件夹即可。

第二话：删不了的大家伙PageFile.sys

系统盘根目录下有一个400MB～600MB、名为PageFile.sys的文件，它是Windows的页面文件(虚拟内存文件)。虚拟内存文件的默认大小为物理内存的1.5倍～2.5倍。当你的系统中有1GB或者更大的内存时，虚拟内存就会被设得过大。

小提示：即使物理内存再大，也不能将虚拟内存设为0，否则会导致系统运行不正常。

其实完全可以将虚拟内存的值设置得小一点。右击我的电脑选择属性，在弹出窗口中选择高级选项卡，点击性能框中的设置，然后在性能选项中点击虚拟内存框中的更改，在虚拟内存设置窗口的自定义设置里填入合适的最大值和最小值就可以了。物理内存在512MB以上的可以根据需要设置较小的值，至于小内存的用户建议还是使用系统默认。

含有页面文件的分区是不能格式化的， 解决办法是在刚才的设置位置中将要格式化的分区选中， 将 初始大小 和 最大值 都设为0， 然后点击 设置 ， 然后在别的分区中按照更改前的值设置虚拟内存， 重启后就能格式化了。

第三话:大胃口的Hiberfil.sys

如果你启用了休眠功能，系统盘下还有另外一个较大的文件就是hiberfil.sys，它就是休眠文件。休眠功能的优点非常明显，但对硬件和系统的兼容性要求很高，有很多电脑由于ACPI/APM支持得不好，使用休眠后就产生了各种系统故障或者运行速度变慢(休眠后有可能出现硬盘IO错误，系统会将读写模式由DMA改为PIO)。

小提示：其实休眠是将内存中的数据保存到硬盘上，由于电脑运行的时间较长，部分不经常运行的数据保存到了虚拟内存中，这时选择休眠虚拟内存中部分数据没能及时地释放出来。遇到休眠后启动无响应的情况，最好的方法是Reset键。

如果你根本不使用休眠功能，那还是把这些硬盘空间给释放出来吧!在控制面板的电源选项中，选择休眠选项卡，取消启用休眠的勾选，点击确定。

如果电脑不能正常使用休眠和待机选项，可以尝试重装主板的驱动程序，并且确保BIOS中的STR、STD选项已经启用(在Google中搜索这两个关键字可以找到详细的开启方法)。

第四话:图像的罪恶证据Thumbs.db

在许多图片文件夹下都有一个名为Thumbs.db的文件，这是病毒吗?它的特征实在令人生疑。

①在很多图片文件夹都存在。

②删除后仍然会生成。

③随着图片的增加不断增大。

不要责怪杀毒软件的无动于衷了，它是用来加快缩略图显示速度的缓存数据库文件。

小提示：只有在使用缩略图视图的图片文件夹中才会生成此文件。

虽然清除这个文件对你的硬盘空间并没有太大帮助，不过如果你的理由仅仅是不顺眼，可以这么干:打开资源管理器，选择菜单工具→文件夹选项，在查看选项卡下勾选不缓存缩略图(此选项只能控制不再新建，以前建立的需要手动删除)，然后在硬盘中搜索Thumbs.db，将搜索结果全部删除就行了。

谜团都解开了，James顺利离开了寂静岭。可是系统中还有未知的黑暗之处，如果你对系统中的奇怪文件夹有疑问，知道这些我能干什么

在thumbs.db中，利用工具还能找到已经删除的图片文件的缩略图，请参考电脑爱好者2006年第4期的《小心!别让Thumbs.db露点》 。

第五话:难以捉摸的代码含义

在D盘(也有可能是其他分区)中竟然出现了一个名为39ae6181b8e394461bc0的文件夹，这串数字代表什么呢?不要紧张，它是Windows自动更新的产物，只不过常见的系统补丁生成的是$NtUninstall开头的文件夹，而它是个例外。

小提示：常有病毒躲在伪装的补丁文件夹中，判断的方法是检查启动项，如果包含这类$NtUninstall 文件夹中的程序路径，就应该注意了。

这个39ae6181b8e394461bc0文件夹可以直接删除，如果删除不了，可以右击选择属性，然后在安全选项卡的权限列表中加入当前用户的完全控制权限。如果连权限都改不了，就在权限列表的下方点击高级，然后将文件夹的所有者改为当前用户，且勾选替换子窗口及对象的所有者。注意，执行这些操作都必须使用管理员账户。