Windows应急响应-文件隐藏

最新推荐文章于 2024-08-03 17:09:38 发布
最新推荐文章于 2024-08-03 17:09:38 发布
阅读量1.5k 收藏 7
点赞数 10
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41274349/article/details/126665234
版权

公众号原文连接:

Windows应急响应-文件隐藏

在黑帽SEO中,通常会遇到利用easy file locker来实现驱动隐蔽的方式。

1.

下载easy file locker

https://download.cnet.com/Easy-File-Locker-64-bit/3000-2144_4-75712422.html

下载得到

 

 

安装完成

 

添加想要隐藏的文件

 

"Visible"不要打钩,然后ok

 

这个时候,电脑管家突然弹出"xlkfs.sys"这个文件。。。 看来是这个软件生成的,我们暂时选择允许这个文件。

 

设置ok,如下图所示

 

可以看到,目录下的1.txt文件不存在了

 

勾选显示隐藏文件也无法发现文件

 

dir命令也无法查看到文件

 

三、dir命令详细参数介绍:
1./A: 显示具有指定属性的文件(a-attribute)。。
其具体属性有:
(1)D 目录(d-directory)。命令为dir/ad。
例如: 显示C盘windows文件夹下的目录文件:dir c:\windows/ad。
(2)R 只读文件(r-read)。命令为dir/ar。
例如:显示C盘windows文件夹下的只读文件:dir c:\windows/ar。
(3)H 隐藏文件(h-hide)。命令为dir/ah。
例如:显示C盘windows文件夹下的隐藏文件:dir c:\windows/ah。
 

 

这个软件隐藏文件是会启动一个名为xlkfs的服务【就是刚刚电脑管家弹出来的】,使用常规方式查不出来

wmic service where name='xlkfs' list

任务管理器-->进程也查看不出来

 

任务管理器-->服务也查看不出来

 

可以使用sc进行查询

SC命令,是用来与服务控制管理器和服务进行通信的命令行程序。

sc query xlkfs //query-----------查询服务的状态

 

sc qc xlkfs //qc--------------查询服务的配置信息

 

在注册表中也能看到下可以看到xlkfs文件

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\

 

stop------------向服务发送 STOP 请求

 

然后,可以看到1.txt被恢复

 

查看系统中的xlkfs文件

 

注意:工具对webshell无效

配置一句话木马文件

 

工具隐藏这个文件

 

显示文件没找到

 

可以隐藏.html文件

 

查看源代码

 

3.临时的不成熟的想法

谷歌浏览器的存放路径

 

bat脚本

 

隐藏整个chrome安装目录【隐藏文件夹,而不仅仅是可执行文件】

 

双击bat脚本,可正常打开chrome浏览器。

 

隐藏LOL.exe,妈妈再也不用担心我的学习!!!!

提示:我这边在windows7虚拟机测试,不知道为啥有一次把windows7整蓝屏了。。。。

小狐濡尾j
关注
应急响应Windows应急响应手册(准备阶段、挖矿病毒)
做自己喜欢的事,并将其发挥到极致!
07-16 886
本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段,以多方面、多维度进行展开,对于常见的应急事件所采取的应对措施进行阐述,希望对从事网安工作的小伙伴们有所帮助!
《网络安全自学教程》- Windows应急响应排查思路
热门推荐
wangyuxiang946的博客
04-17 1万+
结合实战案例逐步讲解Windows应急响应排查思路及具体操作步骤
应急响应流程、建设、处置以及恢复文档(全)
03-27
应急响应流程、建设、处置以及系统恢复
【优选】电脑加密软件有哪些?10款真实有效软件推荐(2024用心整理)
最新发布
2401_85865355的博客
08-03 652
保护企业数据安全尤为重要。作为数据安全的第一道防线,能够有效防止数据泄露和未经授权的访问。今天,小编为大家精心整理了10款真实有效的电脑加密软件,帮助你在2024年更好地保护你的数据。
Windows系统下隐藏文件
qq_32515081的博客
05-11 1768
Windows隐藏文件有哪些? 怎样在没有准备专用软件的情况下,更快、更有效地保护自己的私人资料,而不让他人发现呢?今天,笔者结合自己的经验和他人的使用情况,谈谈如何在Windows下,“赤手空拳”(不借助专用软件)对自己的隐私、重要文件进行保护。这几招是一招更比一招高,看招! 第一招 此地无银安全等级:★ 隐藏:在Windows默认的情况下,隐藏文件和某些系统文件是不显示的。如果不是,你就自己把它进行设置,设置的步骤是按顺序打开“我的电脑→查看→文件夹选项→查看→文件文件夹”各选...
应急响应-文件痕迹排查
懂进攻知防守
11-21 1148
应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。时间点查找应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前后的文件变动情况,从而缩小排查的范围。通过列出攻击日期内变动的文件,可以发现相关的恶意软件。系统中的恶意文件存在特定的设置、和关键字信息等。
win7系统sys文件夹被隐藏,其路径可访问,路径下所有子文件夹与文件皆不可见。
songsong1128的博客
05-16 1650
数日前,win7系统中毒了,sys文件夹被隐藏(无论已有路径,还是新建),其路径可访问,路径下所有子文件夹与文件皆不可见。百度好久也找不到解决方法,包括文件夹选项,360杀毒,360木马查杀等操作皆无用。因为已有项目需要这个路径,又不想重装系统,又是一通查找后想到试试用360系统急救箱。全盘查杀后重启,反复两次后,看到了久违的sys路径。可能大家更的解决办法,总之,这是一个方法,记录一下。...
应急响应-取证,通过给出的config文件,查找用户名及密码
05-31
因此,应急响应团队在处理这类情况时,首先要确定config文件的位置,然后对其进行安全地复制,避免破坏原始证据链。 查找用户名和密码的方法通常包括: 1. **文本搜索**:使用文本编辑器或命令行工具(如Windows的...
应急响应 - Windows用户分析,Windows隐藏账号分析,Windows克隆账号分析_怎么发现windows账户被克隆
2401_83944560的博客
04-20 502
可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~【控制面板】-【用户账户】-【用户账户】-【管理用户账户】中,可以看到系统中有哪些用户。攻击者通常会在服务器中创建用户进行维权,查看是否有新增的可疑账号,核实后禁用或删除。net user administrator,可以查看用户的信息,比如上次登录时间。,打开本地用户和组,可以看到系统中的所有用户,包括隐藏用户。
43-1 应急响应 - Windows入侵排查实验
weixin_43263566的博客
05-27 395
1)我这里使用CS随便生成一个木马,然后复制到windows虚拟机中运行2)然后在windows靶机中给这个木马文件设置计划任务,设置教程随便百度都能找到,这里就不说了。
Easy File Locker 文件隐藏 保护
07-27
你是不是电脑里面有些东西不想给别人看到(文件夹或者文档),这个不需要高大上的软件,这个小软件就够了,实践出真知,你自己用就知道了。不知道的可以去百度使用方法。 我举起我的爪子,对天发誓,超级好用的傻瓜式文件保护软件,可以一个按键隐藏,也可以恢复查看的宝贝软件。 下面是文件介绍: Easy File Locker 是一款小巧的文件保护工具,可以为文件提供保护,受保护的文件将不能被访问,不可写入,不可删除,隐藏。当然,您可以根据需要自己设置保护特性,自由度较高。在关闭了程序后,保护依然有效。首次使用时可以设置密码,以后就可以通过密码访问。 Easy File Locker界面简洁,速度快。是一款清爽的好软件。提示:重要文件需要妥善保存!任何文件保护软件都有风险 安装汉化方法: 请针对自己的系统安装Easy File Locker主程序,然后用目录下的汉化程序替换FileLocker主程序即可为简体中文界面。 另外告知个清除密码的方法:系统windows目录搜索xlkfs.dll删除,重新安装程序,密码即可清除。 只有少数的选择与合作 不会有太多的选择来处理,当涉及到文件的安全性。进口商品有对应的可访问性,写作,知名度和他们是否可以删除一些复选框。一旦设置,选择可以完全关闭应用程序,您的文件保留在配置状态。
驱动级隐藏进程和文件
09-21
强大的驱动级进程隐藏技术,有应用层的相关调用以及GUI,是学习驱动程序的好资料
Easy File Locker
10-05
Easy File Locker 文件 文件夹 加密 隐藏 非常方便的
Easy File Locker文件夹加密软件
01-13
windows下很好用的文件夹加密软件,可以加密指定的文件或者文件夹,不需要改变硬盘,直接加密
Python安全运维实战:针对几种特定隐藏方式的Webshell查杀
weixin_33908217的博客
08-01 213
Webshell一直都是网站管理员痛恨看到的东西,一旦在网站目录里看到了陌生的webshell基本说明网站已经被攻击者拿下了。站在攻击者的角度,要想渗透一台网站服务器,第一个目标也是想方设法的寻找漏洞上传webshell。 对于webshell的防护通常基于两点:一是在攻击者上传和访问时通过特征匹配进行检测拦截或限制文件类型阻止上传;二就是日常基于web...
Windows常见权限维持操作
yyyyyybw的博客
09-19 156
在下面添加一项,这里的命名与后续要触发的可执行文件程序文件名一致,这里我新建coleak.exe为后门文件,然后在coleak.exe的右侧新建一个Debugger,在输入值的栏目中填入你的后门绝对路径径,修改一个文件文件名为coleak.exe 双击 即可触发。在C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup上传s.exe(或者直接选择c盘中的s.exe), 启动时选择该文件即可。将1F4下F项的值复制到3ea下F项里面,替换原有数据。
应急响应实战笔记03权限维持篇(1)
qq_59468567的博客
02-20 937
攻击者在获取服务器权限后,通常会用一些后门来维持权限,如果你想让你的后门保持的更久些,那么请隐藏好它,使之不易被管理员发现。
我会肾透——利用驱动隐藏后门
m0_60767986的博客
05-30 211
驱动隐藏我们可以用过一些软件来实现,软件名字叫:Easy File Locker 下载链接: http://www.xoslab.com/efl.html一般做黑链的小朋友都会这样设置:只勾选可读,其他的一律拒绝……那么,会有这样的效果,该文件不会显示,不能通过列目录列出来,也不能删除,除非你知道完整路径,你才可以读取文件内容。并且该软件还可以设置密码,启动、修改设置、卸载及重复安装的时候都需要密码,更蛋疼的是,主界面、卸载程序等都可以删除,只留下核心的驱动文件就行了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值