8.3短文件名导致删除不了顽固文件
文:铁乐猫
一般而言,手动删除顽固文件或木马病毒,不外乎有以下两种措施。
一、调出任务管理器,把相关进程关掉,然后进入dos模式,通过rd命令删除。
二、在第一种不凑效的情况下,很有可能文件是被进程调用了DLL。
可以使用工具查看各进程所调用的DLL正不正常。用内核级别的工具来手动停止这种进程DLL、句柄之类对其的‘保护’。此类软件有微软的ProcessExplorer、ProcessMonitor以及更加强大的第三方软件等等。
而如果在以上两种措施下都没办法删除掉顽固文件或木马的情况下,很有可能你碰到的是第三种情况,该文件夹采用了8.3格式命名,而里面的文件则不采用8.3格式,那么该文件夹和里面的文件就都不能被读取和删除,一般会提示无法读取源文件且右键属性看到的大小为0,文件数目也为0。
进入dos模式,键入命令“dir /x”可以查看到该文件夹的8.3格式的文件名,然后再用rd该短文件名的方式删除就可以了。
所谓8.3格式短文件名规范,就是如“PROGRA~1”目录 或中文的“元素周~1.exe”这样的名称。“8”是指文件名或目录名的主体部分小于等于8个字节,“3”是指文件名的扩展名部分小于等于3个字节。另外,8.3文件名的有效字符不包括空格等特殊字符。细心的童鞋可能会怀疑过为什么IE浏览器主程序名叫做Iexplore.exe而不是Iexplorer.exe?就是为了照顾8.3短文件名规划。
如上图,系统为了向前兼容,仍然会能看到8.3规范的短名称。
8.3短文件名格式规范是DOS+FAT12/FAT16时代遗留下的老规范,自从win95开始,windows就已经能支持长文件名,但是为了向前兼容,特别是文件系统兼容性,FAT文件系统均强制执行“为长文件名提供8.3兼容格式的短文件名”的特性。因此你还是能看到,在FAT16/32文件系统上,例如目录“program files”同时还拥有一个8.3规范的“PROGRA~1”的短名称。
另外还有一种整个文件夹或文件名字都显示乱码而无法删除的情况就不在此讨论范围了。
END