连载｜浅谈红队中的权限维持（五）-Windows 文件隐藏

本文来源无问社区，更多实战内容，渗透思路可前往查看http://wwlib.cn/index.php/artread/artid/10324.html

0x01Windows 文件隐藏

1、文件属性

直接右击选择隐藏即可

如果想显示文件，就在文件夹选择中选择「显示隐藏的文件、文件夹和驱动器」就行了。

也可以使用 attrib +s +a +h +r 命令

不过将下图中的两个选择设置成如图中的样子也就可以看到隐藏的文件了。

2、ADS

ADS 是 NTFS 磁盘格式的一个特性，在 NTFS 文件系统下，每个文件都可以存在多个数据流，创建一个数据交换流文件的方法很简单，命令为” 宿主文件: 准备与宿主文件关联的数据流文件”。

echo teamssix > CreateHiddenAccount_v0.2.exe:test.txt

使用 dir 是看不到的，使用 dir /r 才可以

如果想编辑该文件，可以使用 notepad 进行编辑

如果想执行 exe 文件，可以先创建一个快捷方式，再执行。

type evil.exe > CreateHiddenAccount_v0.2.exe:evil.exe

mklink "C:UserstestDesktopevillink.exe" "C:UserstestDesktopCreateHiddenAccount_v0.2.exe:evil.exe"

start evil.exe

另外如果想删除这个隐藏文件，需要删除宿主文件才行。

3、系统文件夹伪装

例如这里有一个 test 文件夹，将 test 命名为 我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}，这时文件夹的图标就会变为「我的电脑」图标。

使用 dir 可以看到里面的文件，但如果点击这个文件夹，就会真的进入到「我的电脑」界面里。

下面是一些其他的常用标识符。

上帝模式.{ED7BA470-8E54-465E-825C-99712043E01C}

CLSIDexcel.{00020810-0000-0000-C000-000000000046}

word.{00020900-0000-0000-C000-000000000046}

media.{00022603-0000-0000-C000-000000000046}

CAB.{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}

计划任务.{148BD520-A2AB-11CE-B11F-00AA00530503}

搜索 - 计算机 {1f4de370-d627-11d1-ba4f-00a0c91eedba}

网上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}

我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}

控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D}

打印机.{2227A280-3AEA-1069-A2DE-08002B30309D}

html.{25336920-03f9-11cf-8fd0-00aa00686f13}

mht.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

mshta.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}

我的文档.{450D8FBA-AD25-11D0-98A8-0800361B1103}

XML.{48123bc4-99d9-11d1-a6b3-00c04fd91555}

回收站 (满).{5ef4af3a-f726-11d0-b8a2-00c04fc309a4}

回收站.{645FF040-5081-101B-9F08-00AA002F954E}

ftp_folder.{63da6ec0-2e98-11cf-8d82-444553540000}

网络和拨号连接.{7007ACC7-3202-11D1-AAD2-00805FC1270E}

写字板文档.{73FDDC80-AEA9-101A-98A7-00AA00374959}

Temporary Offline Files Cleaner.{750fdf0f-2a26-11d1-a3ea-080036587f03}

用户和密码.{7A9D77BD-5403-11d2-8785-2E0420524153}

Internet 临时文件.{7BD29E00-76C1-11CF-9DD0-00A0C9034933}

已下载的程序文件的清除程序.{8369AB20-56C9-11D0-94E8-00AA0059CE02}

公文包.{85BBD920-42A0-1069-A2E4-08002B30309D}

ActiveX 高速缓存文件夹.{88C6C381-2E85-11D0-94DE-444553540000}

mail.{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}

历史记录.{FF393560-C2A7-11CF-BFF4-444553540000}

目录.{fe1290f0-cfbd-11cf-a330-00aa00c16e65}

Internet Explorer.{FBF23B42-E3F0-101B-8488-00AA003E56F8}

Snapshot File.{FACB5ED2-7F99-11D0-ADE2-00A0C90DC8D9}

预订文件夹.{F5175861-2688-11d0-9C5E-00AA00A45957}

MyDocs Drop Target.{ECF03A32-103D-11d2-854D-006008059367}

Policy Package.{ecabaebd-7f19-11d2-978E-0000f8757e2a}

搜索结果.{e17d4fc0-5564-11d1-83f2-00a0c90dc849}

添加网上邻居.{D4480A50-BA28-11d1-8E75-00C04FA31A86}

Paint.{D3E34B21-9D75-101A-8C3D-00AA001A1652}

管理工具.{D20EA4E1-3957-11d2-A40B-0C5020524153}

字体.{D20EA4E1-3957-11d2-A40B-0C5020524152}

Web Folders.{BDEADF00-C265-11d0-BCED-00A0C90AB50F}

DocFind Command.{B005E690-678D-11d1-B758-00A0C90564FE}

脱机文件夹.{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}

打印机.{2227A280-3AEA-1069-A2DE-08002B30309D}

其他还有畸形文件夹、保留文件名无法删除和利用 Easy File Locker 实现驱动级文件隐藏等等，或者直接起一个看起来名称很像的文件，比如 Index.php 和 lndex.php，这里其中一个是大写的 i，一个是小写的 L。