两种隐藏木马的新方法(可能有些错误,请指正) -转至20CN

原创 2005年05月24日 18:51:00

郁闷 以前看过没注意看 今天翻出来了

作者: 四不象 [tabris17]    论坛用户回复   收藏
win9x下的设备名DOS漏洞是众所周之的,其实win2000下也有类似的漏洞。
我们姑且称着个漏洞为“以设备名命名的文件夹拒绝服务漏洞”,虽然很早以前就有这个漏洞(大概
1年以前就有朋友告诉我这个漏洞的情况了),但我至今还没有从各大漏洞数据库中发现她的踪迹。
根据常识,我们知道:在windows下无法以设备名来命名文件或文件夹,
这些设备名有:aux,com1,com2,prn,con,nul。
但win2000(win xp)有个漏洞,可以让这一不可能成为可能。
我们可以尝试如下实验:
首先,你的操作系统必须是win2000或win xp,
运行cmd.exe,用"md c:/con//"命令可以建立一个和设备名con相同的目录。
你可以试着用资源管理器去打开它,一切正常,但是你要是试图在资源管理器里删除它,会发现这
根本就是徒劳。如用“del c:/aux”会提示“文件名、目录名或卷标语法不正确。”
删不掉了,怎么办?哎呀,只有格式化了,呵呵~~~,骗你的啦。其实是有办法删的,要不然我怎么
敢让你试呢?办法等会儿告诉你。
先一个个试过来"md c:/aux//","md c:/prn//","md c:/com1//","md c:/nul//",然后把这些建立好
的文件夹在资源管理器中一个个双击试试,你会发现,当试图打开以aux或com1命名的文件夹时
explorer.exe失去响应了,这正是我想达到的目的(然而,在我实验的过程中有个意外,在一次次的
explorer.exe失去响应后,竟然可以进入aux目录和com1目录,难道是explorer.exe已经“习惯”了?
但是当我注销后再次尝试就不行了,非常奇怪,而且在我以后的多次试验中就再也没有出现这种情况
了,有谁也发现这种情况告诉我一声)。
要删除它们的话一定要使用UNC路径格式,就是网上邻居的路径格式啦。
命令如下:
"rd //./c:/aux"
现在你可以把文件copy到该目录下,当然不能用普通的方法,命令如下:
"copy test.exe //./c:/aux/"
然后再"开始"-"运行"中运行"c:/aux/test.exe",成功了。虽然在资源管理器里是无法删除该文件了,但
是可以使用del命令删除,"del c:/aux/",提示"c:/aux/*, 是否确认 (Y/N) ? ",用"dir //./c:/aux"
命令后发现test.exe被删除了。
目录删不掉了,但文件还是能删掉,现在要试着让文件也删不掉。
同样的方法"copy text.exe //./c:/con.exe"。现在行了,这个con.exe是无法通过普通方法删掉了,只有
用"del //./c:/con.exe"才行,在命令行方式下运行"//./c:/con",可以运行这个程序了,但在开始菜单的
"运行"中却不行。只有使用命令"cmd /c //./c:/con"才行了。
不过这样会产生一个cmd的窗口,改进的方法有很多,可以利用开机脚本,也可以利用cmd.exe的autorun:
在注册表HKEY_LOCAL_MACHINE/Software/Microsoft/Command Processor/下建一字串值AutoRun,值为要
运行的.bat文件或.cmd文件的路径,如:c:/winnt/system32/auto.cmd,建立相应的文件,它的内容为:
@//./c:/con


还有一种方法,这不是我原创的,就是利用windows目录长度不能超过256字节的特性,可以利用subst命令将
一长度达到256字节的目录映射为虚拟盘:"subst b: testtesttesttesttesttesttes…………………………"。
然后在虚拟出来的b:中建立一个长文件名目录"testtesttesttestte…………",然后将一可执行文件copy到该
路径下,去掉虚拟盘符映射:"subst b: /d",这样用资源管理器是无法进入该目录的,杀毒软件也无法扫描
该路径下的文件,而且在资源管理器中是无法删除该目录的,但可以使用8.3文件格式来运行该可执行文件:
"c:/testte~1/testte~1/test.exe",从而达到隐藏的目的。


WHO GOD LOVES BEST DIES EARLIEST
大风起兮云飞扬,考出英语兮拿文凭,安得枪手兮过四级
                 ——英语枪手招募中……

相关文章推荐

两种隐藏木马的新方法

win9x下的设备名DOS漏洞是众所周之的,其实win2000下也有类似的漏洞。我们姑且称着个漏洞为“以设备名命名的文件夹拒绝服务漏洞”,虽然很早以前就有这个漏洞(大概1年以前就有朋友告诉我这个漏洞的...

阻截木马新方法 IP安全策略出招

无论是普通用户还是专业人士,一听到木马都有害怕的感觉,而且木马字真的是无孔不入的,我们应该加大对他的防范力度,以避免从端口来,除了防病毒软件之外,IP安全策略也可以派上用场。   无论在2000...

实验设备管理系统-可能有错误

  • 2011年07月06日 16:48
  • 29KB
  • 下载

android studio gradle 两种更新方法更新

第一种.Android studio更新 第一步:在你所在项目文件夹下:你项目根目录gradlewrappergradle-wrapper.properties 修改gradle-wrapper....

android studio gradle 两种更新方法更新

android studio gradle 两种更新方法更新 第一种.Android studio更新 第一步:在你所在项目文件夹下:你项目根目录gradlewrappergradle-w...

View的两种更新方法-从源码角度分析invalidate()和postInvalidate()的区别

介绍最近在看各种Android多线程开发的各种知识,网上看到有关线程和View的东西,其中View的两种更新方法invalidate()和postInvalidate()。记得当时在深圳去面试其中有个...

微软防盗版新方法-将在软件中加水印技术

来源:中国软件资讯网   据悉,Microsoft 近日申请了一项专利,描述了一种可用于下载版软件中的水印技术,以此来防止盗版。提交到美国专利和商标局的这份专利为一种将数字水印嵌入到通过因特网下载的软...
  • fsqcy
  • fsqcy
  • 2011年05月31日 23:06
  • 1077

修复错误的word文档的新方法

背景:之前看论文然后写了很多的总结在一个word文档里面,是在ubuntu系统下写的。后来要用Endnote只好进入Windows下操作了,在Windows下访问Ubuntu的分区可以使用Ext2Fs...
  • wisnton
  • wisnton
  • 2016年11月08日 10:41
  • 218

jidnserror.wo.com.cn:8080错误解决方法

jidnserror.wo.com.cn:8080错误解决方法

黑马程序员-整理了Ado.net学习笔记 错误 不足之处还请大家指正 补充

---------------------- Windows Phone 7手机开发、.Net培训、期待与您交流! ----------------------   神奇的代码 string...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:两种隐藏木马的新方法(可能有些错误,请指正) -转至20CN
举报原因:
原因补充:

(最多只允许输入30个字)