0

我有一个衬里,它被烘焙成一个更大的脚本,用于一些高级取证。它只是一个简单的复制项命令,并将 dest 文件夹及其内容写回我的服务器。该代码运行良好,但即使使用开关:

-Recurse -Force

它不会返回扩展名为 .dat 的文件。您可以猜到我想要实现的目标,我需要 .dat 文件进行分析。我从一个特权帐户运行它。我唯一的想法是这是一个读/写冲突,并且主机文件当前正在使用它(或其他 sys 文件)。我错过了什么开关?不会复制的文件的“模式”是-a---。不隐藏,只是不复制。其他地方的建议说使用 xCopy/robocopy - 如果可能的话,我不想调用另一个依赖项 - 我已经在大部分脚本中使用 powershell,我更喜欢坚持使用它....有什么想法吗?在此先感谢,这个已经让我的大脑发痒了一点......

4

1 回答 1

1

复制正在使用的文件的唯一方法是找到锁定句柄关闭它,然后重试复制操作(handle.exe)。

从您的问题来看,您似乎正在尝试远程复制用户配置文件,其中包括ntuser.dat保持配置文件正常工作所需的其他文件。即使您确实设法找到了卸载dat文件的方法,您也必须考虑对远程系统的影响。

备份程序通常使用卷影副本来复制正在使用的文件,因此最好的办法是找到每台远程计算机的最新备份,然后尝试从备份副本中提取所需的文件,或者等待用户注销然后尝试。

于 2015-12-23T02:54:00.970 回答