如你所知,Windows隐藏了许多文件和文件夹,这些文件和文件夹处理一些重要任务,例如保持系统运行或保证某些功能正常运行,例子如驻留于 C 盘的 Hiberfil.sys和Pagefile.sys。按 Win+e 进入资源管理器 -> 更改文件夹和搜索选项 -> 查看,勾选“显示隐藏的文件、文件夹和驱动器”以及去掉勾选“隐藏受保护的操作系统文件(推荐)”,这些文件/文件夹才会显示出来。 

$Recycle.bin, Recycler和System Volume Information文件夹探秘_System Volume Inform

此时你会发现 C盘根目录出现了一些文件夹,如 $Recycle.Bin 或 System Volume Information,这些文件夹的用途是什么呢?

既然它们被隐藏,我们可以设想出于某种原因,这些文件/文件夹不能被用户使用,但是与 Windows 中的许多内容一样,如果某些内容的行为不正确或看起来很奇怪,这就值得我们仔细研究了,如果你对此感兴趣的话。

本文所有文件下载。


System Volume Information

System Volume Information 是 C盘根目录中隐藏的一个文件夹,它用于:

  • Windows 系统还原工具存储还原点。
  • Windows 索引服务存储搜索数据库。
  • 保存​卷影复制服务创建实时系统备份数据。
  • 保存​分布式链接跟踪存储数据库信息使用它修复快捷方式和链接文档。
  • 磁盘检查日志也保存在这里。

计算机的每个分区都会创建一个System Volume Information文件夹,包括外置硬盘驱动器,有时甚至是 U 盘。

由于该文件夹是系统还原点的存储位置,所以被高度保护,若想进入会收到错误提示:无法访问 C:\System Volume information。拒绝访问:

$Recycle.bin, Recycler和System Volume Information文件夹探秘_System Volume Inform_02

但如果系统把病毒或恶意软件备份进还原点进去就麻烦了,因为杀毒软件无法访问该文件夹。这就需要为当前登录的用户授予适当的权限,或者删除以前创建的所有还原点以删除附加其上的任何病毒,本文将向你展示这两种方法。

关闭系统还原

完全关闭"系统还原"将从 C:\System Volume information 文件夹中删除所有还原点,同时也就删除了还原点中的恶意内容。关闭"系统还原"后重启计算机,在确保系统没有病毒的情况下再次启用系统还原,这将创建一个全新且干净的还原点。默认情况下"系统还原"会自动开启,你可以从以下位置将其关闭,以WIN10为例,在桌面“此电脑”上右键属性 -> 系统保护 -> 配置:

$Recycle.bin, Recycler和System Volume Information文件夹探秘_$Recycle.bin_03

$Recycle.bin, Recycler和System Volume Information文件夹探秘_$Recycle.bin_04

这里可以启用或禁用还原点,调整还原点磁盘空间占用比例,也可以点“删除”以释放磁盘空间。CCleaner也能做到这点,但并不彻底,会保留最近的还原点。

访问 System Volume information 文件夹

如前所述,System Volume information 文件夹受Windows保护,无法直接打开查看内容,但可以通过为文件夹设置适当的权限来达到进入文件夹的目的。

适用于 Windows XP

基于使用的是Home还是Professional,XP对访问文件夹安全权限的处理方式有所不同,为了避免陷入技术细节,你可以运行我们编写的脚本,右击文件夹会出现一个菜单,点击即可获取访问文件夹的所有权。

1. 下载 Take Ownership XP。

2. 拷贝 Subinacl.exe, TakeOwnershipFile.cmd 和 TakeOwnershipDir.cmd 到 c:\windows 文件夹

3. 双击 Install_Take_Ownership_XP.reg 安装右键菜单。

4. 压缩包中的Subinacl.exe 是微软的实用程序,用于更改文件、注册表项和服务的用户安全性。

5. 在 System Volume information 文件夹上右键菜单,选择 Take Ownership (获得所有权)。

$Recycle.bin, Recycler和System Volume Information文件夹探秘_$Recycle.bin_05

现在应该能够进入文件夹了,你可以四处看看。要删除所有权请运行 remove_Take_Ownership_XP并从 C:\Windows文件夹中删除这3个文件。不建议删除该文件夹之下的内容,稍后会有详细介绍。

适用于 Windows Vista 及更高版本

此方法还使用 Take Ownership 创建上下文菜单,但由于新的操作系统有名为 takeown.exe 的内置工具,因此更容易安装。

1. 下载 Take Ownership,运行 InstallTakeOwnership.reg 安装右键菜单。

2. 在 System Volume information 文件夹上右键选择 Take Ownership 即可进入。

删除 System Volume information 文件夹及其下的文件

一旦获得了 System Volume information 文件夹的所有权,你就可以访问和删除文件夹内的数据乃至文件夹本身,但强烈建议不要对 Windows 驱动器 (C:) 上的 System Volume information 文件夹这样做。正如之前所说,它包含了除系统还原之外的许多其他系统组件的数据,如果删除可能导致 Windows 不稳定甚至崩溃,而且即使被删除了也会自动重建。

然而你可以安全地从其他驱动器或分区(如U盘/移动硬盘)上删除 System Volume information 文件夹,如果外置硬盘启用了系统还原功能,在连接到其他电脑时会重建还原点。下一个问题是 System Volume information 中的所有内容,包括文件夹本身都设置了统和隐藏属性,所以你不能通过 Windows 资源管理器简单地将其删除。

$Recycle.bin, Recycler和System Volume Information文件夹探秘_$Recycle.bin_06

在命令提示符的帮助下,只需要输入几个命令就可以删除整个文件夹和其下的文件。假设你已经取得了 System Volume information  文件夹的所有权,输入以下命令(还是那句话,不建议删除 C 盘的该文件夹):

attrib -S -H -R "{Drive}:\System Volume Information" /S /D

$Recycle.bin, Recycler和System Volume Information文件夹探秘_Recycler_07

要求确认时按Y键,这将完全删除文件夹,在运行该命令之前需确保文件夹内没有打开的窗口。

$Recycle.Bin 和 Recycler 文件夹

正如你从他们的英文名字所预料的那样,$Recycle.bin 和 RECYCLER 都与 Windows 回收站有关。当你从Windows资源管理器或“我的电脑”删除文件时,该文件并未被完全删除而是转移到了回收站,这两个文件夹就是回收站,在清空回收站或再次还原文件之前,被删除文件一直保留在这里,但为啥我们讨论两个隐藏文件夹而不是一个呢?

简单的回答是,Recycler 文件夹存在于 NTFS 格式的 Windows NT、2000或XP系统,而 $Recycle.bin 文件夹则存在于 Windows Vista 及以上系统。如果你有 XP 与 7/10 的双启动系统,或者一个插入不同操作系统的外置硬盘,你会发现这 2 个文件夹都被创建出来了:

$Recycle.bin, Recycler和System Volume Information文件夹探秘_Recycler_08

您可以删除这两个文件夹而不会给Windows带来太多麻烦,丢失的只是当前保存在回收站中的所有文件,下次在Windows中删除文件时会重新创建该文件夹,因此无法永久删除,除非删除了$Recycle.bin 或 Recycler 文件夹却从未将驱动器连接到对应的系统。

因此,最好的解决办法是删除 $Recycle.bin 或 Recycler文件夹之下的文件夹,这会删除回收站里的所有文件。如果出于某种原因回收站被破坏导致Windows无法清空回收站,这是个有用的技巧,因为它不是通过正常途径清空回收站而是直接删除。注意这会删除所有用户的回收站文件,而不仅仅是当前用户的回收站文件。

$Recycle.bin, Recycler和System Volume Information文件夹探秘_$Recycle.bin_09

如果无法删除 $Recycle.bin 或 Recycle 文件夹中的文件/文件夹,可以使用Unlocker等多种工具解锁和删除正在使用的文件,详见这篇博客。仅在怀疑删除回收站出现问题,或弹出与回收站有关的错误框时才需要这样做。