tricking a protected file in windows

%System_Root%system32\Restore\filelist.xml

1.remove attribute

2. add [target file] to Exclude


<PCHealthProtect>
<VERSION>1.0</VERSION>
<DEFTYPE>E</DEFTYPE>
<FILES>
<Exclude>
<REC>%windir%\system.ini</REC>
<REC>%windir%\tasks\desktop.ini</REC>
<REC>%windir%\win.ini</REC>
<REC>*:\AUTOEXEC.BAT</REC>
<REC>*:\CONFIG.MSI</REC>
<REC>*:\CONFIG.SYS</REC>
<REC>*:\DUMPFILE.SYS</REC>
</Exclude>
<Include>
<REC>c:\placeholder\ph.dll</REC>
</Include>
</FILES>
<DIRECTORIES>
<Exclude>
<REC>%cookies%</REC>
<REC>%favorites%</REC>
<REC>%History%</REC>
<REC>%internetcache%</REC>
<REC>%nethood%</REC>
<REC>%personaldocuments%</REC>
<REC>%ProgramFiles%\WindowsUpdate</REC>
<REC>%windir%\Downloaded Program Files</REC>
<REC>%windir%\SoftwareDistribution</REC>
<REC>%windir%\Offline Web Pages</REC>
<REC>%windir%\PCHealth\HelpCtr\Config</REC>
<REC>%windir%\PCHealth\HelpCtr\Database</REC>
<REC>%windir%\PCHealth\HelpCtr\DataColl</REC>
<REC>%windir%\PCHealth\HelpCtr\System</REC>
<REC>%windir%\PCHealth\HelpCtr\Vendors</REC>
<REC>%windir%\pchealth\ErrorRep\UserDumps</REC>
<REC>%windir%\prefetch</REC>
<REC>%windir%\temp</REC>
<REC>*:\~MSSETUP.T</REC>
<REC>*:\$WIN_NT$.~LS</REC>
<REC>*:\$WIN_NT$.~BT</REC>
<REC>%windir%\$NtServicePackUninstallmce_markerlt;/REC>
<REC>%windir%\security\Database</REC>
<REC>*:\System Volume Information</REC>
<REC>*:\SIS Common Store</REC>
<REC>*:\TEMP</REC>
<REC>*:\TMP</REC>
<REC>*:\W95UNDO.INI</REC>
<REC>*:\W98UNDO.INI</REC>
<REC>*:\W9XUNDO.INI</REC>
<REC>*:\WININST0.400</REC>
<REC>*:\WINLFN.INI</REC>
<REC>*:\WINUNDO.INI</REC>
<REC>%SRDataStoreRoot%</REC>
<REC>%windir%\system32\wbem\repository</REC>
<REC>%windir%\system32\wbem\repository.tmp</REC>
<REC>%windir%\system32\wbem\repository.bak</REC>
<REC>%SystemDrive%\Documents And Settings\All Users\Favorites</REC>
<REC>%SystemDrive%\Documents And Settings\All Users\Documents</REC>
<REC>%SystemDrive%\Documents And Settings\Default User\My Documents</REC>
<REC>%SystemDrive%\Documents And Settings\Default User\NetHood</REC>
<REC>%SystemDrive%\Documents And Settings\Default User\Favorites</REC>
<REC>%SystemDrive%\Documents And Settings\Default User\Cookies</REC>
<REC>%SystemDrive%\Documents And Settings\Default User\Cache</REC>
<REC>%SystemDrive%\Documents And Settings\Default User\Local Settings\History</REC>
<REC>%SystemDrive%\Documents And Settings\Default User\Local Settings\Temp</REC>
<REC>%SystemDrive%\Documents And Settings\Default User\Local Settings\Temporary Internet Files</REC>
</Exclude>
<Include>
<REC>*:\Documents And Settings\*\Application Data\Microsoft\Internet Explorer\Quick Launch</REC>
</Include>
</DIRECTORIES>
<EXTENSIONS>
<Include>
<REC>~~C</REC>
<REC>~~D</REC>
<REC>12A</REC>
<REC>1PA</REC>
<REC>1ST</REC>
<REC>386</REC>
<REC>8BA</REC>
<REC>8BY</REC>
<REC>8LI</REC>
<REC>A2A</REC>
<REC>AAS</REC>
<REC>AAX</REC>
<REC>ABM</REC>
<REC>ABR</REC>
<REC>ACF</REC>
<REC>ACG</REC>
<REC>ACO</REC>
<REC>ACS</REC>
<REC>ADK</REC>
<REC>ADW</REC>
<REC>ADX</REC>
<REC>AFM</REC>
<REC>AID</REC>
<REC>AIP</REC>
<REC>ALT</REC>
<REC>AM</REC>
<REC>AMB</REC>
<REC>APL</REC>
<REC>APM</REC>
<REC>APP</REC>
<REC>APPLICATION</REC>
<REC>APPREF-MS</REC>
<REC>APV</REC>
<REC>AR</REC>
<REC>ARX</REC>
<REC>AS</REC>
<REC>AT</REC>
<REC>ATC</REC>
<REC>ATL</REC>
<REC>ATM</REC>
<REC>ATN</REC>
<REC>AW</REC>
<REC>AWE</REC>
<REC>AWX</REC>
<REC>AX</REC>
<REC>B0</REC>
<REC>BAT</REC>
<REC>BCF</REC>
<REC>BD</REC>
<REC>BDR</REC>
<REC>BE</REC>
<REC>BGB</REC>
<REC>BGR</REC>
<REC>BID</REC>
<REC>BIT</REC>
<REC>BK1</REC>
<REC>BLD</REC>
<REC>BM</REC>
<REC>BMA</REC>
<REC>BND</REC>
<REC>BNF</REC>
<REC>BOF</REC>
<REC>BPP</REC>
<REC>BPT</REC>
<REC>BPX</REC>
<REC>BT</REC>
<REC>BTN</REC>
<REC>BUC</REC>
<REC>CAG</REC>
<REC>CAO</REC>
<REC>CAT</REC>
<REC>CBS</REC>
<REC>CC</REC>
<REC>CDF-MS</REC>
<REC>CF</REC>
<REC>CFG</REC>
<REC>CHA</REC>
<REC>CIK</REC>
<REC>CL</REC>
<REC>CLW</REC>
<REC>CLX</REC>
<REC>CLY</REC>
<REC>CMD</REC>
<REC>CNT</REC>
<REC>CNV</REC>
<REC>COL</REC>
<REC>COM</REC>
<REC>CONFIG</REC>
<REC>CPB</REC>
<REC>CPL</REC>
<REC>CQM</REC>
<REC>CR</REC>
<REC>CRL</REC>
<REC>CRS</REC>
<REC>CRV</REC>
<REC>CS</REC>
<REC>CSB</REC>
<REC>CSI</REC>
<REC>CSL</REC>
<REC>CSW</REC>
<REC>CTB</REC>
<REC>CTG</REC>
<REC>CTY</REC>
<REC>CUS</REC>
<REC>CW_</REC>
<REC>D01</REC>
<REC>D02</REC>
<REC>D03</REC>
<REC>D04</REC>
<REC>D05</REC>
<REC>D32</REC>
<REC>DATA</REC>
<REC>DB0</REC>
<REC>DB1</REC>
<REC>DB2</REC>
<REC>DC2</REC>
<REC>DCA</REC>
<REC>DCF</REC>
<REC>DCI</REC>
<REC>DCL</REC>
<REC>DDB</REC>
<REC>DDD</REC>
<REC>DEP</REC>
<REC>DES</REC>
<REC>DESKLINK</REC>
<REC>DET</REC>
<REC>DGM</REC>
<REC>DIALOG</REC>
<REC>DID</REC>
<REC>DIR</REC>
<REC>DISABLED</REC>
<REC>DIX</REC>
<REC>DLL</REC>
<REC>DOB</REC>
<REC>DOS</REC>
<REC>DRC</REC>
<REC>DRS</REC>
<REC>DRV</REC>
<REC>DS</REC>
<REC>DSC</REC>
<REC>DSK</REC>
<REC>DSN</REC>
<REC>DSR</REC>
<REC>DSX</REC>
<REC>DT</REC>
<REC>DTT</REC>
<REC>DUN</REC>
<REC>DVB</REC>
<REC>DWT</REC>
<REC>DXT</REC>
<REC>DYNCMD</REC>
<REC>ECF</REC>
<REC>EFF</REC>
<REC>EFM</REC>
<REC>EID</REC>
<REC>EL</REC>
<REC>ELM</REC>
<REC>END</REC>
<REC>ENU</REC>
<REC>ENV</REC>
<REC>EOT</REC>
<REC>EPF</REC>
<REC>ET</REC>
<REC>EXA</REC>
<REC>EXCLUDE</REC>
<REC>EXE</REC>
<REC>EXL</REC>
<REC>F32</REC>
<REC>FAE</REC>
<REC>FAM</REC>
<REC>FAS</REC>
<REC>FFP</REC>
<REC>FIN</REC>
<REC>FIO</REC>
<REC>FLL</REC>
<REC>FLW</REC>
<REC>FMC</REC>
<REC>FMP</REC>
<REC>FNT</REC>
<REC>FON</REC>
<REC>FSG</REC>
<REC>FSS</REC>
<REC>GCS</REC>
<REC>GDB</REC>
<REC>GMS</REC>
<REC>GNG</REC>
<REC>GPD</REC>
<REC>GS</REC>
<REC>GSF</REC>
<REC>GST</REC>
<REC>GUIATN</REC>
<REC>GUICMD</REC>
<REC>GVT</REC>
<REC>GWD</REC>
<REC>H16</REC>
<REC>HCT</REC>
<REC>HDC</REC>
<REC>HDI</REC>
<REC>HDP</REC>
<REC>HFX</REC>
<REC>HGD</REC>
<REC>HHC</REC>
<REC>HHK</REC>
<REC>HK0</REC>
<REC>HK1</REC>
<REC>HK2</REC>
<REC>HK3</REC>
<REC>HLP</REC>
<REC>HM</REC>
<REC>HTA</REC>
<REC>HTC</REC>
<REC>HTZ</REC>
<REC>HU</REC>
<REC>HWL</REC>
<REC>HYP</REC>
<REC>IAT</REC>
<REC>IBD</REC>
<REC>ICD</REC>
<REC>ICM</REC>
<REC>ICO</REC>
<REC>ICR</REC>
<REC>ICW</REC>
<REC>IDS</REC>
<REC>IFA</REC>
<REC>ILF</REC>
<REC>ILG</REC>
<REC>ILM</REC>
<REC>IME</REC>
<REC>INCL</REC>
<REC>INF</REC>
<REC>INI</REC>
<REC>INK</REC>
<REC>INL</REC>
<REC>INO</REC>
<REC>INS</REC>
<REC>INV</REC>
<REC>IP</REC>
<REC>IRS</REC>
<REC>ISA</REC>
<REC>ISS</REC>
<REC>ISU</REC>
<REC>ITF</REC>
<REC>J0</REC>
<REC>JA</REC>
<REC>JBR</REC>
<REC>JCM</REC>
<REC>JGD</REC>
<REC>K01</REC>
<REC>K02</REC>
<REC>K03</REC>
<REC>KBD</REC>
<REC>KNN</REC>
<REC>KO</REC>
<REC>L0</REC>
<REC>L2L</REC>
<REC>L2P</REC>
<REC>LAB</REC>
<REC>LAM</REC>
<REC>LAST</REC>
<REC>LCA</REC>
<REC>LCK</REC>
<REC>LDA</REC>
<REC>LEX</REC>
<REC>LGC</REC>
<REC>LGD</REC>
<REC>LGE</REC>
<REC>LGF</REC>
<REC>LIC</REC>
<REC>LID</REC>
<REC>LIM</REC>
<REC>LIVEREG</REC>
<REC>LLI</REC>
<REC>LMC</REC>
<REC>LMG</REC>
<REC>LMP</REC>
<REC>LNK</REC>
<REC>LO~</REC>
<REC>LRD</REC>
<REC>LRS</REC>
<REC>LSM</REC>
<REC>LSO</REC>
<REC>LSQ</REC>
<REC>LSS</REC>
<REC>LSX</REC>
<REC>LT</REC>
<REC>LTS</REC>
<REC>LV</REC>
<REC>M20</REC>
<REC>MANIFEST</REC>
<REC>MAPIMAIL</REC>
<REC>MC</REC>
<REC>MCD</REC>
<REC>MCM</REC>
<REC>MD2</REC>
<REC>MDM</REC>
<REC>MDP</REC>
<REC>ME</REC>
<REC>MFL</REC>
<REC>MHK</REC>
<REC>MIL</REC>
<REC>MLN</REC>
<REC>MMC</REC>
<REC>MMM</REC>
<REC>MMX</REC>
<REC>MNC</REC>
<REC>MNL</REC>
<REC>MNR</REC>
<REC>MNS</REC>
<REC>MOF</REC>
<REC>MOR</REC>
<REC>MP</REC>
<REC>MPD</REC>
<REC>MPT</REC>
<REC>MSB</REC>
<REC>MSC</REC>
<REC>MSE</REC>
<REC>MSI</REC>
<REC>MST</REC>
<REC>MSK</REC>
<REC>MSO</REC>
<REC>MXT</REC>
<REC>MYDOCS</REC>
<REC>N0</REC>
<REC>NAM</REC>
<REC>NAME</REC>
<REC>NDX</REC>
<REC>NEW</REC>
<REC>NFO</REC>
<REC>NIB</REC>
<REC>NMD</REC>
<REC>NOD</REC>
<REC>NPM</REC>
<REC>NQM</REC>
<REC>NQV</REC>
<REC>NSI</REC>
<REC>NSW</REC>
<REC>NTE</REC>
<REC>NU4</REC>
<REC>NUM</REC>
<REC>NUS</REC>
<REC>NV</REC>
<REC>OBE</REC>
<REC>OCM</REC>
<REC>OCX</REC>
<REC>ODE</REC>
<REC>ODL</REC>
<REC>OLB</REC>
<REC>OLD</REC>
<REC>OLE</REC>
<REC>OP</REC>
<REC>OPG</REC>
<REC>OR5</REC>
<REC>OSD</REC>
<REC>OUT</REC>
<REC>P2A</REC>
<REC>PAG</REC>
<REC>PBC</REC>
<REC>PBK</REC>
<REC>PBV</REC>
<REC>PC3</REC>
<REC>PCI</REC>
<REC>PDI</REC>
<REC>PDR</REC>
<REC>PEN</REC>
<REC>PER</REC>
<REC>PFB</REC>
<REC>PFM</REC>
<REC>PFR</REC>
<REC>PH</REC>
<REC>PHO</REC>
<REC>PHX</REC>
<REC>PID</REC>
<REC>PIF</REC>
<REC>PL3</REC>
<REC>PLY</REC>
<REC>PMT</REC>
<REC>PNF</REC>
<REC>POC</REC>
<REC>POF</REC>
<REC>POL</REC>
<REC>POLICY</REC>
<REC>PPD</REC>
<REC>PR4</REC>
<REC>PROPERTIES</REC>
<REC>PRX</REC>
<REC>PSC</REC>
<REC>PSF</REC>
<REC>PT</REC>
<REC>PTH</REC>
<REC>PTX</REC>
<REC>PV</REC>
<REC>Q0</REC>
<REC>Q32</REC>
<REC>Q3X</REC>
<REC>QDAT</REC>
<REC>QJF</REC>
<REC>QRS</REC>
<REC>QTC</REC>
<REC>QTD</REC>
<REC>QTW</REC>
<REC>QUE</REC>
<REC>QUF</REC>
<REC>QUT</REC>
<REC>R0</REC>
<REC>R98</REC>
<REC>RAD</REC>
<REC>RAT</REC>
<REC>RBF</REC>
<REC>RC2</REC>
<REC>RCP</REC>
<REC>RCT</REC>
<REC>RDB</REC>
<REC>RDC</REC>
<REC>REF</REC>
<REC>REG</REC>
<REC>RGS</REC>
<REC>RH</REC>
<REC>RI</REC>
<REC>RJS</REC>
<REC>RO</REC>
<REC>ROB</REC>
<REC>RPR</REC>
<REC>RPS</REC>
<REC>RSD</REC>
<REC>RSP</REC>
<REC>RSRC</REC>
<REC>RTA</REC>
<REC>RTR</REC>
<REC>RU</REC>
<REC>S98</REC>
<REC>SAM</REC>
<REC>SAX</REC>
<REC>SCK</REC>
<REC>SCR</REC>
<REC>SCS</REC>
<REC>SDB</REC>
<REC>SECURITY</REC>
<REC>SELFREG</REC>
<REC>SFP</REC>
<REC>SG</REC>
<REC>SG0</REC>
<REC>SG1</REC>
<REC>SHARED</REC>
<REC>SHR</REC>
<REC>SHX</REC>
<REC>SIF</REC>
<REC>SK</REC>
<REC>SLL</REC>
<REC>SMC</REC>
<REC>SMM</REC>
<REC>SNP</REC>
<REC>SOF</REC>
<REC>SPC</REC>
<REC>SPE</REC>
<REC>SPM</REC>
<REC>SPT</REC>
<REC>SPX</REC>
<REC>SR</REC>
<REC>SRC</REC>
<REC>SRG</REC>
<REC>SRT</REC>
<REC>SSM</REC>
<REC>SST</REC>
<REC>ST4</REC>
<REC>STB</REC>
<REC>STD</REC>
<REC>STF</REC>
<REC>STP</REC>
<REC>SWB</REC>
<REC>SYM</REC>
<REC>SYN</REC>
<REC>SYS</REC>
<REC>T32</REC>
<REC>TAG</REC>
<REC>TB</REC>
<REC>TDF</REC>
<REC>TH</REC>
<REC>THE</REC>
<REC>THK</REC>
<REC>THS</REC>
<REC>TID</REC>
<REC>TIE</REC>
<REC>TIP</REC>
<REC>TLB</REC>
<REC>TLD</REC>
<REC>TLF</REC>
<REC>TLT</REC>
<REC>TLU</REC>
<REC>TLX</REC>
<REC>TMC</REC>
<REC>TNL</REC>
<REC>TOL</REC>
<REC>TPA</REC>
<REC>TR</REC>
<REC>TRE</REC>
<REC>TRG</REC>
<REC>TRO</REC>
<REC>TSK</REC>
<REC>TSP</REC>
<REC>TTF</REC>
<REC>TTS</REC>
<REC>TUB</REC>
<REC>TUM</REC>
<REC>TUW</REC>
<REC>TV</REC>
<REC>TVC</REC>
<REC>TWD</REC>
<REC>TXR</REC>
<REC>TYM</REC>
<REC>TZD</REC>
<REC>UBM</REC>
<REC>UCM</REC>
<REC>UCP</REC>
<REC>UCT</REC>
<REC>UDC</REC>
<REC>UDI</REC>
<REC>UDL</REC>
<REC>UDT</REC>
<REC>UID</REC>
<REC>UIL</REC>
<REC>UK</REC>
<REC>ULG</REC>
<REC>ULK</REC>
<REC>UNT</REC>
<REC>US</REC>
<REC>USA</REC>
<REC>USERPROFILE</REC>
<REC>USP</REC>
<REC>USR</REC>
<REC>UTX</REC>
<REC>V10</REC>
<REC>VBS</REC>
<REC>VBX</REC>
<REC>VBZ</REC>
<REC>VCPREF</REC>
<REC>VDB</REC>
<REC>VER</REC>
<REC>VFM</REC>
<REC>VFX</REC>
<REC>VIL</REC>
<REC>VLX</REC>
<REC>VM</REC>
<REC>VOF</REC>
<REC>VPH</REC>
<REC>VPX</REC>
<REC>VQA</REC>
<REC>VQM</REC>
<REC>VSC</REC>
<REC>VSH</REC>
<REC>VWP</REC>
<REC>VXD</REC>
<REC>W32</REC>
<REC>W98</REC>
<REC>WA_</REC>
<REC>WBD</REC>
<REC>WBM</REC>
<REC>WCD</REC>
<REC>WDL</REC>
<REC>WDS</REC>
<REC>WINSYS</REC>
<REC>WIPEINFO</REC>
<REC>WIPESLACK</REC>
<REC>WMZ</REC>
<REC>WPC</REC>
<REC>WPX</REC>
<REC>WRF</REC>
<REC>WSL</REC>
<REC>WTB</REC>
<REC>WTR</REC>
<REC>XLL</REC>
<REC>XMX</REC>
<REC>XRS</REC>
<REC>XTU</REC>
<REC>ZFSENDTOTARGET</REC>
<REC>ZH</REC>
<REC>ZH_TW</REC>
<REC>ZRW</REC>
</Include>
</EXTENSIONS>
</PCHealthProtect>
<PCHealthProtect>
<VERSION>1.0</VERSION>
<DEFTYPE>E</DEFTYPE>
<FILES>
<Exclude>
<REC>%windir%\system.ini</REC>
<REC>%windir%\tasks\desktop.ini</REC>
<REC>%windir%\win.ini</REC>
<REC>*:\AUTOEXEC.BAT</REC>
<REC>*:\CONFIG.MSI</REC>
<REC>*:\CONFIG.SYS</REC>
<REC>*:\DUMPFILE.SYS</REC>
</Exclude>
<Include>
<REC>c:\placeholder\ph.dll</REC>
</Include>
</FILES>
</Exclude>
</DIRECTORIES>
</PCHealthProtect>
Advertisements