- Ссылка на репозиторий
GitHub - dragokas/Delete-Shield: Prevents processes from file deletion
Prevents processes from file deletion. Contribute to dragokas/Delete-Shield development by creating an account on GitHub.
github.com
DeleteShield — это утилита, которая блокирует удаление недавно созданных файлов.
Она может быть полезна для предотвращения само-уничтожения файлов, например, созданных через 7z SFX скрипты или другие временные распаковщики.
Утилита рекурсивно отслеживает указанный каталог.
Как только создаётся новый файл, DeleteShield немедленно блокирует его удаление одним из следующих способов:
DeleteShield можно использовать в интерактивном режиме или через командную строку.
Параметры командной строки
Утилита поддерживает 3 режима:
Поддерживаются маски * и ?
При запуске без параметров откроется интерактивное меню.
Примеры вызова
См. также Типичные сценарии использования
Мониторинг создаваемых файлов
Отслеживать каталог Temp пользователя рекурсивно и выводить события создания файлов в консоль (блокировка не применяется):
Аналогично, но только для файлов с расширениями .exe и .dll
Блокировка удаления создаваемых файлов
Блокировать операции удаления для всех создаваемых файлов в каталоге Temp пользователя рекурсивно:
Аналогично, но только для файлов с расширениями .exe и .dll
Удаление ограничений на удаление
Удалить все ACE запретов из файлов и папок в каталоге Temp пользователя рекурсивно:
Совместимость
Соображения безопасности
Важно: Не применяйте режим блокировки целиком на весь диск C: или на системных папках (например, C:\Windows, C:\Program Files, C:\ProgramData).
Это может привести к нестабильной работе системы или синему экрану (BSOD).
Всегда тестируйте в контролируемой среде и сначала используйте только режим мониторинга, чтобы определить конкретную директорию, которая нуждается в точечной блокировке.
Подарок для PC-Expert =)
Спасибо за вклад в развитие проекта таким людям:
Она может быть полезна для предотвращения само-уничтожения файлов, например, созданных через 7z SFX скрипты или другие временные распаковщики.
Утилита рекурсивно отслеживает указанный каталог.
Как только создаётся новый файл, DeleteShield немедленно блокирует его удаление одним из следующих способов:
- Добавление ACE с разрешением Deny в NTFS-права файла.
- Открытие файлового дескриптора без FILE_SHARE_DELETE, что предотвращает доступ на удаление.
DeleteShield можно использовать в интерактивном режиме или через командную строку.
Параметры командной строки
Утилита поддерживает 3 режима:
| Режим | Описание |
|---|---|
| -m <путь> [маски] | Отслеживание каталога и распечатка создаваемых файлов. |
| -b <путь> [маски] | Блокировка доступа на удаление для создаваемых файлов в указанном каталоге. |
| -u <путь> | Снятие блокировки: удаляет ACE с ограничениями со всех файлов указанного каталога. |
Поддерживаются маски * и ?
При запуске без параметров откроется интерактивное меню.
Примеры вызова
См. также Типичные сценарии использования
Мониторинг создаваемых файлов
Отслеживать каталог Temp пользователя рекурсивно и выводить события создания файлов в консоль (блокировка не применяется):
Код:
DeleteShield.exe -m "%Temp%"
Код:
DeleteShield.exe -b "%Temp%" *.exe *.dllБлокировка удаления создаваемых файлов
Блокировать операции удаления для всех создаваемых файлов в каталоге Temp пользователя рекурсивно:
Код:
DeleteShield.exe -b "%Temp%"
Код:
DeleteShield.exe -b "%Temp%" *.exe *.dllУдаление ограничений на удаление
Удалить все ACE запретов из файлов и папок в каталоге Temp пользователя рекурсивно:
Код:
DeleteShield.exe -u "%Temp%"Совместимость
- ОС Windows 7 x64 или новее
Соображения безопасности
Важно: Не применяйте режим блокировки целиком на весь диск C: или на системных папках (например, C:\Windows, C:\Program Files, C:\ProgramData).Это может привести к нестабильной работе системы или синему экрану (BSOD).
Всегда тестируйте в контролируемой среде и сначала используйте только режим мониторинга, чтобы определить конкретную директорию, которая нуждается в точечной блокировке.
Подарок для PC-Expert =)
Спасибо за вклад в развитие проекта таким людям:
- my13
