剑走偏锋——扩展压缩软件非主流功能

现在压缩软件已经深入系统文件的底层，这样它们就可以执行一些常用软件无法执行的操作，比如用它们来进行文件管理，甚至可作为杀毒的利器。

火眼金睛 变身文件管理利器

有些人喜欢用一些伪装系统文件夹的方法来隐藏文件，比如将某文件夹命名为“网上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}”，这样在资源管理器中看到的就是“网络(WORKGROUP)”，我们将无法看到隐藏在其中的文件。不过这样一来，也给自己的访问带来不便（图1）。

图1 使用网上邻居隐藏文件

其实这些伪装手段只能迷惑常见的文件管理器，而压缩软件已经深入系统文件的底层，通过WinRAR、7ZIP之类的压缩软件就可以让这类隐藏文件快速现身。这里以7ZIP为例，启动7ZIP后定位到上述隐藏文件夹，可以看到该文件的实际名称仍然为“网上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}”，展开即可看到其中被隐藏的文件，这里可以对其进行复制、粘贴等常见的操作（图2）。

图2 使用7ZIP直接查看隐藏的文件

同样，对于其他特殊文件，比如受保护的系统隐藏文件，默认情况下我们只有在文件夹选项中，设置显示隐藏文件和取消受保护操作系统文件前的勾选，这样才能看到隐藏的系统文件。不过这样的设置，很容易导致重要系统文件的误删。如果只是临时要查看或者编辑这些隐藏的系统文件，比如备份C:\boot\bcd文件，无需对文件夹选项进行设置，直接启动7ZIP后定位到C:\bbot，选中其中的bcd文件，右击选择“复制到”，将其复制到其他位置保存即可（图3）。然后你就可以对其进行编辑操作了。

图3 在7ZIP里直接复制隐藏系统文件

小提示：更多文件管理功能

除了以上常规的文件管理功能外，还可以用压缩软件来管理回收站的文件。比如默认情况下误删文件后我们会到回收站去查找，但是回收站不支持直接打开文件和被删文件夹，这样如果回收站中有类似的误删文件，就只能将其恢复后查看。7ZIP等压缩软件则可以打开回收站，并在其中直接打开误删文件（夹），省去要先恢复再查看判断的不便（图4）。

图4 在7ZIP中直接查看回收站里的文件

查杀病毒 变身手动杀毒力器

现在一些顽固病毒为了躲避查杀，它们经常会将自身保存在一些特殊目录下，常规的杀毒软件或者文件管理器经常无法找到，或者找到后也很难删除。利用压缩软件深入系统文件底层的特点，通过它们即可删除顽固的病毒文件。

上网感染的一些病毒经常会藏身在“C:\Users\当前用户\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5”下的子目录中，虽然很多杀毒软件可以检测到该位置的病毒，但是却经常提示无法删除干净。而且使用资源管理器打开上述目录却无法发现任何文件，这给手动删除病毒带来麻烦（图5）。

图5 在资源管理器无法发现文件

对于这类特殊目录里的文件，借助压缩软件可以轻松查看，因为其中的文件只是上网缓冲文件，如果发现病毒就可以将其中文件全部删除。启动7ZIP后定位到上述目录后，可以看到“Content.IE5”下还有许多类似“FWL054AS”字样的子目录，病毒就是藏身于这些子目录中，现在按提示选中这些子目录（删除前将IE等浏览器关闭），然后点击“删除“即可（图6）。

图6 在7ZIP中直接删除病毒文件

同样的，病毒还经常藏身于“System Volume Information”、“ C:\Recovery”这类特殊账户（SYSTEM）才能访问的目录中，对于这些目录也可以使用压缩软件进行访问。不过由于权限的限制，我们需要让7ZIP以SYSTEM身份运行。

首先到suo.im/u1dln下载PsExec，下载后将其解压到系统目录备用。接着以系统管理员身份启动命令提示符，输入“PsExec -i -d -s "C:\Program Files\7-Zip\7zfm.exe"”（不含外侧引号），这样就会以SYSTEM身份启动7ZIP（图7）。

图7 以SYSTEM身份启动压缩软件

启动7ZIP后，打开任务管理器可以看到目前7ZIP运行的账户就是SYSTEM，也就是它具有了SYSTEM权限，能够直接访问原来只有SYSTEM账户才有权限访问的目录（图8）。

图8 在任务管理器查看7ZIP的运行账户

小提示：

上述代码中“C:\Program Files\7-Zip\7zfm.exe”代码表示运行指定压缩软件，如果不知道压缩软件具体名称，只要手动启动压缩软件，然后打开任务管理器查看即可获知压缩软件进程名。

现在再定位到“C:\System Volume Information”，已经可以直接在7ZIP窗口中访问上述目录了，打开该目录后按提示将病毒文件删除即可（图9）。当然，使用同样的方法可以用7ZIP访问一些原本没有权限访问或者删除的文件，因为权限是可以继承的，这样启动的压缩软件具有极高的SYSTEM权限。

图9 直接在7ZIP中访问“C:\System Volume Information”目录

小提示：

在查杀病毒时还经常需要删除注册表中病毒对应的键值，因为PsExec可以让程序以SYSTEM身份运行，我们可以使用同样的方法启动注册表编辑器（输入“PsExec -i -d –s c:\windows\regedit.exe”），这样一些原本只有SYSTEM才有权限访问的键值如[HKEY_LOCAL_MACHINE\SAM\SAM]，现在就可以直接访问，并且可以删除病毒在这些位置创建的键值了。