电脑系统中system用户有什么权限

很多人认为在系统里administrator的权限最大，用ntsd和taskkill这两个命令时，通过对PID值的控制，基本上可以结束任何进程，后面有一句话叫 除SYSTEM 进程外。 所以，拥有至高无上的特权的是system 那怎么样才能以system用户登录呢？

首先：结束当前账户的explorer 。有多种方法：

A打开“任务管理器”，在“进程”一栏里找到EXPLOREREXE，选择“结束进程”。

B在运行对话框里输入taskkill /f /im explorerexe /f 指定要强行终止的进程。/im 指定要终止进程的图像名。更多参数，可能输入taskkill /进行查看。

C在资源管理器里，打开进程这一栏，然后点“查看”－－“选择列”。选择PID这一栏。记住explorerexe 的PID值。在运行里输入ntsd -c q -p pid值。

以上三个方法都可以使用，A在一些情况下不能结束一些病毒程序，B和C就可以。个人感觉C更强大一些，不过他也还是不能结束SYSTEM的进程。

这个时候，我们进入主题。以SYSTEM用户登录。

我常用的步骤。。

1打开“日期和时间属性”，方法是双击右下角的时间。可能有人会问为什么要找开这个窗口，不急往后面看。

2通过“任务管理器”，用A方法结束EXPLOREREXE进程。

3点击“任务管理器”左上角的上“文件”选择“新建任务”

4输入at 11:30 /interactive %systemroot%\explorerexe 注：11：30是你当前时间后的一点时间，上面不是有个“日期和时间属性”可以看到时间，如当前是11：29：20，这里输入11：30就很不错，%systemroot%表示我的c:\windows /interactivet 与当前用户进行交互。。。这个参数一定要，不然不行。

如没问题，到11：30的时候，系统就会以SYSTEM用户登录了。好怎么样才能知道呢，可以点桌面左下角的开始，在最上面显示的用户是SYSTEM。再就是在可以通过“任务管理器”查看你当前的进程的用户名。还有一种方法就是通过命令WHOIAM不过这个要装 XP SP2的工具包或者打上WindowsXP-KB838079-SupportTools-ENUexe这个补丁包。

好么现在我们来看看实际应用。

1不用说可以结束9999%的进程。。

2可以访问System Volume Information这个文件夹下的内容，还可以新建内容。这点大家应该知道，这个文件夹以管理员ADMINISTRATOR用户是也打不开，但我们在这种环境下可以打开，想想，如果你把你认为很私用的东东放在里面，呵呵。。。。这是不是一种很加密呢。

忘记说明了，FAT32格式下，管理员是可以访问的，在NTFS就不行。。。。。

3大家知道，我们有的时候用VIST系统里面的高版本文件来替换系统文件上，会有一个文件保护的对话框，如果在我们这种环境下，呵。。。强！一个字

4大家知道注册表里是有权限的，有一些键值，连ADMINISTRATOR用户也打不开，而这个东东病毒又会加载在里面，我们要删 的话，ADMINISTRATOR用户是删不掉的。在这个环境下，我们的SYSTEM就可派上用场了。。

对于第4点，我之前看到过对利用注册表的权限来防止病毒加载，如果我们以结合SYSTEM来实现，可以弥补利用注册表的权限来防止病毒加载的一些不足之处。

密码查看不太现实

因为用户的密码值都是保存在注册表中的嘻哈值hash值

你看到的只是经过加密的密文

还要进行破解才可以看到明文密码

只要登录系统有查看注册表的权限就可以查看这个hash值

这个加密方式破解很难的

建议你不用白费心思了

除非人家的密码很简单

123456类的

通过彩虹表能爆出来

其他的很难很难很难

System Volume Information 文件夹是一个隐藏的系统文件夹，"系统还原"工具使用该文件夹来存储它的信息和还原点。您的计算机的每个分区上都有一个 System Volume Information 文件夹。“System Volume Information”文件夹,中文名称可以翻译为“系统卷标信息”。这个文件夹里就存储着系统还原的备份信息

空间不足问题：

原因：随着用户使用系统时间的增加，还原点会越来越多，导致硬盘空间越来越少，最后还要被警告“磁盘空间不足”

解决方案：可以打开控制面板里的“系统属性”——“系统还原”选项卡上选中“在所有驱动器上关闭系统还原”的复选框。

病毒保护伞

原因：由于NTFS的分区里该目录只有SYSTEM权限，导致杀毒软件没有权限查杀藏匿于该目录的病毒。

解决方案：阻止“System Volume Information”文件夹的自动生成。（迄今为止没人能做到）

[编辑本段]木马问题

“System Volume Information”文件夹里的NTFS木马（安全问题）

1、参考原理：

在一个NTFS分区里，把分区权限删到只剩EVERYONE权限，并只设一个“列出文件夹的目录”权限，其他复选框都去钩。在这种情况下，该分区是没有写权限的，照理说不会再自动生成“System Volume Information”文件夹。但是，无论你这么设置，该硬盘的分区在任何一个电脑上插上去后依旧会自动生成“System Volume Information”文件夹。

2、木马原理：利用“System Volume Information”文件夹自动生成的原理，进行线程插入免杀下载器到自动生成“System Volume Information”文件夹的系统进程里面，然后把加壳加密的木马下载到“System Volume Information”文件夹。在“System Volume Information”文件夹的保护下，杀毒软件无权查杀该木马。在设定条件下夺取SYSTEM权限运行木马预运行模块查杀杀软，然后再脱壳解密启动木马，启用保护进程防止该目录被删。此类木马无法手工删除，杀软无权查杀，就算FAT32的分区也由于加密原因无法脱壳。

3、解决方案：阻止“System Volume Information”文件夹的自动生成。（可以用unlocker删除)

4、解决的具体方法:右击用unlocker删除，unlocker就会删除这个文件夹，打开回收站，再看看，是不是多了很多文件，这时还无法删除，现在打开x:/RECYCLER（“x:/”表示“System Volume Information”所在的分区），右击unlocker点击移动到桌面，桌面就会生成一些隐藏文件，这时选中这些文件，右击属性，将“只读”去掉，再选中之后，用unlocker删除，并且清空回收站，这样“System Volume Information”文件夹就从电脑中消失了。如何获得对“System Volume Information”文件夹的访问 使用 FAT32 文件系统的 Microsoft Windows XP Professional 或 Windows XP Home Edition

1、打开任意一个文件夹。

2、在“工具”菜单上，单击“文件夹选项”。

3、在“查看”→“隐藏文件和文件夹”选项卡上，单击“显示所有文件和文件夹”。

4、清除“隐藏受保护的 *** 作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。

5、清除“使用简单文件夹共享（推荐）”复选框

6、单击“确定”。

7、在文件夹中双击“System Volume Information”文件夹以将其打开。

8、 *** 作后建议选择“还原为默认值”点确定

在域中使用 NTFS 文件系统的 Windows XP Professional

1、打开任意一个文件夹。

2、在“工具”菜单上，单击“文件夹选项”。

3、在“查看”→“隐藏文件和文件夹”选项卡上，单击“显示所有文件和文件夹”。

4、清除“隐藏受保护的 *** 作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。

5、清除“使用简单文件夹共享（推荐）”复选框

6、单击“确定”。

7、在文件夹中右键单击“System Volume Information”文件夹，然后单击“共享和安全”。

8、单击“安全”选项卡。

9、单击“添加”，然后键入要向其授予该文件夹访问权限的用户的名称。选择相应的帐户位置（本地帐户或域帐户）。通常，这是您登录时使用的帐户。单击“确定”，然后再次单击“确定”。（提示：建议键入Everyone这个账户，意思是所有账户均有权限）

10、在文件夹中双击“System Volume Information”文件夹以将其打开。

在工作组或独立计算机上使用 NTFS 文件系统的 Windows XP Professional

1、打开任意一个文件夹。

2、在“工具”菜单上，单击“文件夹选项”。

在“查看”选项卡上，单击“显示所有文件和文件夹”。

3、清除“隐藏受保护的 *** 作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。

4、清除“使用简单文件共享(推荐)”复选框。

5、清除“使用简单文件夹共享（推荐）”复选框

6、单击“确定”。

7、在文件夹中右键单击“System Volume Information”文件夹，然后单击“共享和安全”。

8、单击“安全”选项卡。

9、单击“添加”，然后键入要向其授予该文件夹访问权限的用户的名称。通常，这是您登录时使用的帐户。单击“确定”，然后再次单击“确定”。（提示：建议键入Everyone这个账户，意思是所有账户均有权限）

10、在文件夹中双击“System Volume Information”文件夹以将其打开。

注意：现在，Windows XP Home Edition 的用户可以在正常模式下访问 System Volume Information 文件夹。

方法适用范围

Microsoft Windows XP Home Edition及 Microsoft Windows XP Professional Edition如何删除/访问“System Volume Information”文件夹 普通删除方法

1、关闭“系统还原”

2、获得对“System Volume Information”文件夹的访问

3、NTFS的分区里该目录只有SYSTEM权限，需要将您登录时使用的帐户（或将EVERYONE账户）的权限设为完全控制才能删除。

4、删除“System Volume Information”文件夹

彻底删除方法

1在运行,输入"gpeditmsc"／（组策略）程序／ 计算机配置／管理模板／系统／系统还原／右边，关闭系统还原，双击打开它，启用。

2,在运行,输入"gpeditmsc"／（组策略）程序／计算机配置／管理模板／windows组件/ windows Installer／在右边会有一个"关闭创建系统还原检查点"双击打开它,选择启用。

运用cacls命令赋予当前用户完全控制权限后即可删除“System Volume Information”文件夹

命令如下：

cacls "c:\System Volume Information" /g everyone:f

以上是赋予所有用户对c盘System Volume Information文件夹的完全控制权限，可以删除了

命令详解请在命令提示符下输入: cacls /

访问的方法

如何获得对 System Volume Information 文件夹的访问

右击我的电脑／属性／系统还原项／选“关闭所有还原”，再删除system Volume Information文件夹。或 我的电脑／任何盘符／工具／文件夹选项／查看／还原默认值。

（注：changelog是系统更改日志，主要监看各个盘区的变化，不是病毒）

[编辑本段]系统还原介绍

“系统还原”及其优点

“系统还原”是Windows XP最实用的功能之一，它采用“快照”的方式记录下系统在特定时间的状态信息，也就是所谓的“还原点”，然后在需要的时候根据这些信息加以还原。还原点分为两种：一种是系统自动创建的，包括系统检查点和安装还原点；另一种是用户自己根据需要创建的，也叫手动还原点。在Windows XP系统中，我们可以利用系统自带的“系统还原”功能，通过对还原点的设置，记录我们对系统所做的更改，当系统出现故障时，使用系统还原功就能将系统恢复到更改之前的状态。

如何使用“系统还原”

1、开启“系统还原”

鼠标右击“我的电脑”，选择“属性”/“系统还原”选项卡，确保“在所有驱动器上关闭系统还原”复选框未选中，再确保“需要还原的分区”处于“监视”状态。

2、创建还原点

这里需要说明的是：在创建系统还原点时要确保有足够的硬盘可用空间，否则可能导致创建失败。设置多个还原点方法同上。

3、恢复还原点

打开“系统还原向导”，选择“恢复我的计算机到一个较早的时间”，点击“下一步”，选择好日期后再跟着向导还原即可。

需要注意的是：由于恢复还原点之后系统会自动重新启动，因此 *** 作之前建议大家退出当前运行的所有程序，以防止重要文件丢失

如何关闭“系统还原”

(一)、用“系统还原选项卡”

1、在“我的电脑”图标上点右键，选择属性

2、选择系统还原选项卡

3、将“在所有驱动器上关闭系统还原”打勾确定后即可

4、关闭“系统还原”后，就可以将该驱动器根目录下的“System Volume Information”文件夹删除。

(二)、用“组策略”

运行输入,gpeditmsc找开组策略->管理模块->系统->系统还原-"关闭系统还原"的属性查看还原功能是否被关闭,如果启动或未设置选择关闭就可以了。

默认情况下，我们无法直接在登录对话框上以SYSTEM帐户的身份登录到Windows桌面环境。实际上SYSTEM帐户早就已经“盘踞”在系统中了。想想也是，连负责用户验证的Winlogon、Lsass等进程都是以SYSTEM身份运行的，谁还能有资格检验SYSTEM呢既然SYSTEM帐户早就已经出现在系统中，所以只需以SYSTEM帐户的身份启动Windows的Shell程序Explorer，就相当于用SYSTEM身份登录Windows了。以SYSTEM帐户的身份启动Explorer打开命令提示符，输入命令“taskkill /f /im explorerexe” 并回车，这个命令是结束当前账户explorer即图形用户界面的Shell。然后在命令提示符下继续输入“at time /interactive %systemroot%explorerexe”并回车。其中“time”为当前系统时间稍后的一个时间，比如间隔一秒，当前系统时间可以在命令提示符下输入“time”命令获得。一秒钟后会重新加载用户配置，以SYSTEM身份启动Windows的shell进程Explorerexe。验证exeplorerexe是否以system权限运行如何知道exeplorerexe是以system权限运行呢通过“开始”菜单可以看到最上面显示的是system账户。另外，打开注册表编辑器，只要证明HKCU就是HKUS-1-5-18的链接就可以了(S-1-5-18就是SYSTEM帐户的SID)。证明方法很简单：在HKCU下随便新建一个Test子项，然后刷新，再看看HKUS-1-5-18下是否同步出现了Test子项，如果是，就说明系统当前加载的就是SYSTEM帐户的用户配置单元。当然最简单的是在命令提示符号下输入命令“whoami”进行验证，如图所示显示为“NT AUTHORITYSYSTEM”这就证明当前exeplorerexe是System权限。System权限的实际用处System权限的Explorerexe在实际中有什么用呢下面笔者随意列举几个使用实例。(1)注册表访问我们知道在非SYSTEM权限下，用户是没有权限访问某些注册表项的，比如“HKEY_LOCAL_MACHINESAM”、“HKEY_LOCAL_MACHINESECURITY”等。这些项记录的是系统的核心数据，某些病毒或者木马会光顾这里。比如在SAM项目下建立具有管理员权限的隐藏账户，这样的帐户在命令及“本地用户和组”管理器(lusrmgrmsc)中是无法看到的，造成了很大的安全隐患。在“SYSTEM”权限下，注册表的访问就没有任何障碍，我们打开注册表定位到“HKEY_LOCAL_MACHINESAMSAMDomainsAccount”项下所有的隐藏帐户就都暴露了。(2)访问系统还原文件系统还原是windows系统的一种自我保护措施，它在每个磁盘根目录下建立“System Colume Information”文件夹，保存一些系统信息以备系统恢复是使用。该文件具有系统、隐藏属性管理员用户是没有 *** 作权限的。正因为如此，它成了病毒、木马的栖身之地，我们就可以在System权限下进入该文件夹删除病毒。当然，你也可以关闭“系统还原”预防此类病毒，但这样未免显得被动，有些因噎废食。(3)更换系统文件Windows系统为系统文件做了保护机制，一般情况下你是不可能更换系统文件的，因为系统中都有系统文件的备份，它存在于c:WINDOWSsystem32dllcache(假设你的系统装在C盘)。当你更换了系统文件后，系统自动就会从这个目录中恢复相应的系统文件。当目录中没有相应的系统文件的时候会d出提示让你插入安装盘。在实际应用中如果有时你需要Diy自己的系统修改一些系统文件，或者用高版本的系统文件更换低版本的系统文件，让系统功能提升。比如Window XP系统只支持一个用户远程登录，如果你要让它支持多用户的远程登录。要用Windows 2003的远程登录文件替换Window XP的相应文件。这在非SYSTEM权限下很难实现，但是在SYSTEM权限下就可以很容易实现。从Windows 2003的系统中提取termsrvdll文件，用该文件替换Windows XP的C:WINDOWSsystem32下的同名文件。(对于Windows XP SP2还必须替换C:WINDOWS$NtServicePackUninstall$和C:WINDOWSServicePackFilesi386目录下的同名文件)。再进行相应的系统设置即可让Windows XP支持多用户远程登录。(4)手工杀毒用户在使用电脑的过程中一般都是用Administrator或者其它的管理员用户登录的，中毒或者中马后，病毒、木马大都是以管理员权限运行的。我们在系统中毒后一般都是用杀毒软件来杀毒，如果杀软瘫痪了，或者杀毒软件只能查出来，但无法清除，这时候就只能赤膊上阵，手工杀毒了。在Adinistrator权限下，如果手工查杀对于有些病毒无能为力，一般要启动到安全模式下，有时就算到了安全模式下也无法清除干净。如果以SYSTEM权限登录，查杀病毒就容易得多。以一次手工杀毒为例，(为了截图在虚拟机上模拟了前段时间的一次手工杀毒。)打“Windows 任务管理器”，发现有个可疑进程“86a01exe”，在Administrator管理员下无法结束进程，当然更无法删除在系统目录下的病毒原文件“86a01exe”。以System权限登录系统，进程被顺利结束，然后删除病毒原文件，清除注册表中的相关选项，病毒被彻底清理出系统。总结System权限是比Administrator权限还高的系统最高权限，利用它可以完成很多常规情况下无法完成的任务。当然，最大的权限也就意味着更大的危险，就好比手握“尚方宝剑”，可不要滥杀无辜呀!在使用过程中建议大家用“系统管理员权限”或者“一般用户权限”，只有在特殊情况下才用System权限

以上就是关于电脑系统中system用户有什么权限全部的内容，包括:电脑系统中system用户有什么权限、我可以登录xp system权限可以查看其他用户密码、系统盘里有些东西为什么需要SYSTEM权限才能删除啊SYSTEM是什么等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！