可以执行回收站中的应用程序吗？

取决于方法。单击否，某些 Winapi 调用是。

但是……这没关系。不是 PE 可执行文件并不能保证它不是恶意的。诸如（恶意）音频文件、VBA 宏、浏览器中的 JS 等想法依赖于读取它们的程序中的错误（如某些特定的媒体播放器或 MS Word）和/或沙盒不足。

很有可能存在恶意软件利用 Windows 回收站的特殊存储系统中的错误。

众所周知，所有 AV 程序都不会绕过回收站。

如果在 Linux samba 共享文件夹回收站中发现恶意文件，则表示某些 Windows 系统连接到该共享文件夹已被感染。

如果在 Linux 回收站中发现它没有任何文件共享，那么您必须假设您的系统已被感染。

因为在内存中运行的恶意软件可以将有效负载的副本隐藏在回收站中。

既然您提到了外部驱动器，它实际上是非常安全的，只要您的 Windows 系统没有潜伏任何恶意软件。但作为预防措施，您应该在使用 Linux 扫描回收站时删除回收站中的所有恶意文件。

可以执行回收站中的应用程序吗？或者是否有某种机制可以防止运行已删除的 dll 和可执行文件？

是的，可以执行回收站中的可执行文件。它$RECYCLE.BIN在 Windows 资源管理器中具有特殊用途，因此无法与其中的项目进行交互。这不会阻止可执行文件被列为服务、启动条目或从命令行使用。

大约在 2007 年，我发现了一个隐藏在$RECYCLE.BIN客户中的蠕虫。当您插入 USB 驱动器时，蠕虫会AUTORUN.INF使用类似于“打开文件夹以查看文件”的条目覆盖文件。当您将 USB 驱动器插入新计算机并单击错误的“打开文件夹以查看文件”条目时，它会将恶意软件放入您的计算机$RECYCLE.BIN并在注册表中创建一个启动条目。

手动清理特别困难，因为$RECYCLE.BIN很难从 Windows 访问。从命令行，我必须运行dir /ah并dir /as导航到它并查看恶意软件。

最后，$RECYCLE.BIN每个用户的回收站都有 SID“文件夹”。这意味着您可以放置​​一个不存在的 SID，并且没有人会正常看到这些文件。临时文件清理工具可能会尝试删除它，但我看到的恶意软件权限被破坏，因此并不总是有效。幸运的是，如今，防病毒软件（根据我的经验）会检查 $RECYCLE.BIN。