The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

如何以 SYSTEM 系統群組的權限操作電腦

Windows 本機系統中都會有個 "SYSTEM" 群組,這個群組是由 Windows Server 自動建立的,但卻無法透過 GUI 介面瀏覽或修改。通常 SYSTEM 群組都用於作業系統中的特殊使用者,通常是作業系統中所附的一些 Windows 服務或作業系統專用的帳戶,通常這類的使用者都無法登入,但擁有的權限卻是無限大。

例如說在每個磁碟機下都會有個 "System Volume Information" 的系統目錄,當你的 Windows XP 有使用「系統還原」功能時,System Volume Information 目錄就是用來備份磁碟資料與還原點資訊的目錄,而在每個磁碟分割上都一定會有一個 System Volume Information 資料夾,不過預設是看不見的,要取消勾選檔案總管中 [資料夾選項] 中的「隱藏保護的作業系統檔案」才看的見。

取消勾選檔案總管中 [資料夾選項] 中的「隱藏保護的作業系統檔案」

不過,這個目錄正常來說連 Administrator 都無法存取,就算看的見你也是無法存取的,我用檔案總管看一下這個目錄的安全性設定,發現只有 SYSTEM 這個群組可以操作而已。

System Volume Information 內容 / 安全性頁籤

如果你硬要進入該目錄,就會得到「無法存取 C:\System Volume Information。存取被拒。」的錯誤訊息:

無法存取 C:\System Volume Information。存取被拒。

如果透過命令提示字元模式進入,也會得到同樣的訊息:

C:\>cd "\System Volume Information" 存取被拒。

如果要以 SYSTEM 的身份操作電腦的話,可以利用 at 命令搭配 cmd.exe 進入命令提示字元模式,因為 AT 命令是用來排定某些命令或程式在某個特定的日期和時間,在電腦上執行,預設來說執行的身份是 SYSTEM 權限,所以我們可以透過這個方式以 SYSTEM 的權限進入命令提示字元模式,以下是進入的步驟:

首先,你要先查詢目前的時間:

C:\>time /t
下午 10:17

然後下達 at 指令,如下:

C:\>at 22:18 /interactive cmd
新增一項工作,工作識別碼= 1

然後過不到一分鐘,就會有一個「命令提示字元」視窗出現,此時再進入 C:\System Volume Information 就可以正常進入了。如下圖示,我可以正常進入系統專用的目錄,且可以對該目錄進行任何檔案的操作,你看到我的圖示下達 dir 指令是找不到檔案,那是因為我並沒有啟用系統還原功能。

過不到一分鐘,就會有一個「命令提示字元」視窗出現,此時再進入 C:\System Volume Information 就可以正常進入了

另外,如果你有那些很想要刪除但卻無法刪除的檔案,也可以透過這個方式將檔案給刪除掉。別懷疑,電腦用久了總是會遇到鬼,有時後就真的有檔案刪不掉(例如中毒的檔案)。

注意: 如果是透過遠端桌面登入 Windows Server 2003 的話,必須登入 Console 才能正常開啟互動視窗!

相關連結