一个清理隐藏、创建、删除畸形目录、特殊文件名的方法

最新推荐文章于 2022-12-06 11:39:13 发布
最新推荐文章于 2022-12-06 11:39:13 发布
阅读量2.4k 收藏
点赞数
分类专栏: windows2003服务器系统 木马病毒 系统 文章标签: 木马 病毒 隐藏文件 服务器
驱动隐藏,当你网站打开一些非法链接,但是根据链接路径无法查到文件时,大部分可能就是中了webshell隐藏畸形目录的病毒或木马,最典型的现象就是系统盘及系统目录中存在以下文件:
 
c:\Program Files\Easy File Locker
c:\Program Files\Easy File Locker\FileLocker.exe
c:\Program Files\Easy File Locker\uninst.exe
c:\Documents and Settings\Administrator\桌面\Easy File Locker.lnk
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker\Easy File Locker.lnk
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker\Uninstall.lnk
 
↑ 以上文件十有八九已被攻击者删除(管理员想破脑袋,都不知道怎嘛回事),但以下文件是绝对存在的! ↓
 
c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys
该软件名字叫:Easy File Locker,一般用Easy File Locker 1.3,或着是其它版本,网上一堆……
 
功能很简单,简单的驱动隐藏文件(简单的C、C++ 就可以实现,网上大量源码),支持单个文件或者整个目录。
 
支持设置访问权限,属性为:可读/可访问(Accessible)、可写(Writable)、可删除(Deletable)、可见(Visible)
 
一般做黑链的小朋友都会这样设置:只勾选可读,其他的一律拒绝……
 
那么,会有这样的效果,该文件不会显示,不能通过列目录列出来,也不能删除,除非你知道完整路径,你才可以读取文件内容。
 
这也是为什么各位管理员头疼的地方了,愣是找不到文件,但是直接访问网站却是可以执行的……
 
╮(╯_╰)╭
 
并且该软件还可以设置密码,启动、修改设置、卸载及重复安装的时候都需要密码,更蛋疼的是,主界面、卸载程序等都可以删除,只留下核心的驱动文件就行了……
 
可以做到无进程、无启动项,无任何异常,因为只加载了一个驱动……
 
这也是很多管理员想破头都不知道怎吗回事的原因……
 
说完他的原理、特性,我们再讲讲清除它的方法(不管有没有密码):
 
首先设置系统“显示隐藏文件”,步骤如下:
 
1、随意打开一个文件夹、磁盘
 
2、在文件浏览窗口,依次点击:工具(顶部菜单)--> 文件夹选项--> 查看(顶部选项卡)
 
3、依次勾选或点选,设置:隐藏受保护的 操作系统文件(不勾选)、显示所有文件和文件夹(选中)、隐藏已知文件类型的扩展名(不勾选),然后点击确定按钮。
 
提示,如果无法正常选中,例如复选框为灰色、不可操作、勾选无效等现象,说明对应的注册表项已被破坏,可以使用以下注册表代码进行修复:
 
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] www.2cto.com
 
"CheckedValue"=dword:00000001
将以上代码保存为:Fix_Hide_File.Reg(修复隐藏文件),然后双击导入注册表即可。
 
然后以文本方式可以打开:C:\WINDOWS\xlkfs.ini,这是“Easy File Locker”的配置文件,不出所料的话,你可以看到它的配置信息……
 
(呵呵,也许会有朋友会问,如果他们连这个文件都隐藏了的话怎么办?很遗憾,该软件不支持隐藏自身的配置文件……)
 
内容例如:
 
[Common]
Count=4
[0]
Path=C:\a.txt
Type=0
Access=14
[1]
Path=C:\b.txt
Type=0
Access=14
[2]
Path=C:\c.txt
Type=0
Access=14
[3]
Path=C:\d.txt
Type=0
Access=14
文件、文件夹的路径、设置的权限等一览无余……
 
注意!!这里记得要把这个文件复制一份单独留着,等会儿清理被隐藏文件的时候要用到!!切记!!!!
 
然后删除上边所列的所有文件,尤其是系统目录中的那四个文件,如果无法删除可以考虑使用第三方工具强删,然后重启系统。
 
系统启动后会提示:至少有一个服务或驱动程序无法加载或错误。
 
这是由于我们删除了那个驱动文件,但是驱动加载项还在,所以会提示加载错误,不理即可。
 
进入系统后,你会发现隐藏的文件全都回来了,那么,就简单多了,对照你先前备份的那个配置文件,挨个清理即可……

邮件安全农民工
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
各种隐藏 WebShell、创建删除畸形目录特殊文件名、黑帽SEO作弊
03-25
7. 创建删除畸形目录特殊文件名方法畸形目录可以通过将一个点换成两个点来创建,例如:md c:\a..\,实际显示为:c:\a.\,普通方法无法访问。删除方法也一样:rd /s /q c:\a..\。特殊文件名可以通过使用 \\...
两个畸形目录创建管理工具
11-27
畸形目录创建工具,如压缩包内的"畸形目录创建工具.exe"和"畸形目录工具.EXE",是专门设计用来创建和管理这类特殊文件夹的软件。它们可以帮助用户创建、查看和删除硬链接和符号链接,以便于进行特定的操作,例如节省...
批处理实现畸形文件文件创建、访问、重命名、删除
xcntime的专栏
05-31 1543
批处理实现畸形文件文件创建、访问、重命名、删除    2014-12-05 20:48:15|  分类: AHK|举报|字号 订阅        下载LOFTER我的照片书  | 【方案一】以点结尾的文件夹 01.rem 创建以点结尾的文件夹 02.md
小白白红队初成长(5)win权限维持
划水的小白白
02-05 3172
1、前言 1.0、闲谈 1.1、攻击思路 1.2、得分情况 1.3、在哪里做权限维持 2、windows权限维持 2.0、`以下姿势不仅asp可以使用,php与jsp也可以使用。` 2.1、“真正”隐藏文件 2.2、系统文件夹图标 2.3、畸形目录 2.4、系统保留文件名 2.5、组合使用 2.6、驱动级文件隐藏 3、关闭杀软 4、组策略 5、注册表(重要)(注意面纱) 6、计划任务 7、内存马
【Windows畸形目录畸形目录总结
南京信息工程大学数字取证中心的博客
12-06 2649
【Windows畸形目录畸形目录总结
墨者学院-远程电子数据取证-木马分析(第3题)
qq_37850901的博客
09-26 454
墨者学院-远程电子数据取证-木马分析(第3题) 先补充上畸形目录的相关知识,很简单,用带/x参数的dir命令即可。 假定在f盘的abc文件夹下有个畸形目录g…(显示为g.文件夹),那么,在win7下打开命令行窗口,运行dir /x f:abc命令 找到有g.的行,可以看到畸形文件夹的真实dos名称是GE2761,然后打开“运行”窗口,输入f:abcge2761并回车,即可打开这个畸形目录 首先远程...
文件夹的隐藏(六)
weixin_34389926的博客
09-15 103
文件夹的隐藏(六) 方法六:畸形文件夹名隐藏文件夹(莫名其妙型) 畸形文件名和上面一招是同工异曲。不借助加密软件就轻松建立一个一般人既无法打开也无法删除(即使拥有Administrator权限)“铜墙铁壁”式的文件夹。 操作 1、 单击“开始→运行”,输入CMD后确定,进入命令提示符窗口 2、 在命令提示符窗口,输入以下命令:MD D:\my..\(D:为盘...
畸形目录修改
12-29
`畸形目录修改.exe` 可能是一个用于修复畸形目录问题的程序,但需谨慎处理,因为它可能是个潜在的恶意文件。`比克尔.url` 是一个快捷方式文件,通常指向一个网页,这可能是有关如何解决畸形目录问题的指南或者资源...
网站特殊字符文件清理 智创网站特殊字符带点目录文件清理助手 v1.00
11-10
智创网站特殊字符带点目录文件清理助手可快速搜索和清理网站目录里的 aux / lpt1 / com8 / prn... 等特殊字符和带点的畸形目录文件服务器网站被上传 asp / php / aspx ...网页木马后,可能被
ASP FSO显示特殊文件夹的实现代码(畸形目录名、UNC路径)
10-28
FSO是ASP中的一个核心组件,全称为“文件系统对象”,它提供了一套方法和属性,允许开发者在服务器上进行文件文件夹的操作,如创建、读取、写入、删除文件以及列出目录等。在VBScript中,我们可以通过`...
windows畸形文件删除工具(ghost..)绿色免费版
08-07
一些基于GHOST的备份还原系统为了保护备份文件往往会建立ghost..这样的畸形文件夹,在windows系统中通过传统的方法是无法访问和删除的。 如果要删除类似于ghost..这样的畸形文件夹可以利用这个小工具
强大的畸形目录处理工具
02-06
占地极小,支持正常目录畸形目录的转换,可以保护您的重要文件不被他人或病毒删除及修改,无毒,非常有用的工具
windows文件夹修复工具
09-07
windows文件夹修复工具,可轻松修复文件夹错误,office无法御载的问题。
隐藏定义的名称
02-19
这是用天EXCEL电了表格定义名称后,然后隐藏定义的名称的代码。
畸形目录处理工具(新建、删除或复制)
02-17
畸形目录处理工具(新建、删除或复制) 畸形目录处理工具
Windows畸形文件
HAPPY
08-20 8488
0x00. 什么是windows畸形文件畸形文件夹是window系统中通过非正常途径建立的文件夹,具有难以查看,删除等特点。 0x01. 畸形文件夹建立,删除,打开 畸形文件夹的建立,删除,打开要借助cmd 建立 MD C:\文件夹名..\ MKDIR C:\文件夹名..\ 建立时必须加上盘符和路径,个人感觉写法应该是模拟路径的形式,让系统以为这段指令合法,从而建立非法的...
Python安全运维实战:针对几种特定隐藏方式的Webshell查杀
weixin_33908217的博客
08-01 201
Webshell一直都是网站管理员痛恨看到的东西,一旦在网站目录里看到了陌生的webshell基本说明网站已经被攻击者拿下了。站在攻击者的角度,要想渗透一台网站服务器,第一个目标也是想方设法的寻找漏洞上传webshell。 对于webshell的防护通常基于两点:一是在攻击者上传和访问时通过特征匹配进行检测拦截或限制文件类型阻止上传;二就是日常基于web...
linux特殊文件名删除不了怎么办
境界の彼方
04-27 4431
1. 文件名含有特殊字符,直接使用 rm 可能删除不了,可以使用如下方法: 1) 使用 ls -i 查处该文件的 inode 号,假设为654321 2) 使用find命令删除 find ./ -inum 654321 -exec rm ‘{}’ \; 2. 如果文件名是以 - 连字符开头的,可以使用如下方法删除,如删除 “-filename” 文件: rm – -filename r
给我一个AI识别颌面畸形的matlab代码
最新发布
02-07
在 Matlab 中进行人脸识别颅面畸形,您需要先进行图像预处理,然后使用 Matlab 的深度学习工具箱对颅面进行识别。 首先,您需要获取颅面图像数据集,并将其进行预处理。接下来,您可以使用 Matlab 的深度学习工具箱...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值