Windows 隐藏木马后门文件
0x01 通过设置隐藏属性进行隐藏
先开启查看隐藏文件的选项。
在桌面分别创建一个 test
文件夹和一个 txt 文本
右键将文件添加隐藏属性,但是在显示隐藏文件下还是能看到。
执行 attrib.exe +s +a +h +r test
在已开启显示隐藏文件选项下是无效的。
这个命令就是把原本的文件夹增加了(s)系统文件属性、(a)存档文件属性、(r)只读文件属性和(h)隐藏文件属性。
经过 attrib.exe 的强行设置之后,没法直接通过点击去取消隐藏。
可以使用** **
attrib.exe +s +a -h +r pppp
对文件夹进行恢复显示
如果是在不显示隐藏文件夹的情况下去执行是可以做到隐藏的。
这个时候我们再去打开显示隐藏文件的选项,也看不到隐藏的文件。
做到了相对 “真正”的隐藏文件。在隐藏文件后,我们可以通过 cd
命令进入文件夹。
在 2016 standard 系统中,即使是在查看隐藏项目的情况下,使用该命令是可以直接隐藏的。因为 2008r2 使用的比较多,我们在实施操作时需要注意一下即可。
想要查看这样执行后隐藏的文件
需要关闭隐藏受保护的操作系统文件。
0x02 新建系统图标文件夹
该操作 2008r2 和 2016 standard 上都是可行的。
- 建一个文件夹,假设叫“我的电脑”
- 然后把要存放的文件放在里面
- 给文件夹重新命名为“我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”
- 通过
cd
命令可以进入该文件夹
需要将文件写入这个文件夹,copy
move
等命令没法执行
但是可以进入该目录使用 echo
写入
如果 cmd 进入了目录或者打开了里面的内容就没法删除改文件夹了。
其他系统图片命名
我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D} |
0x03 畸形目录
只需要在目录名后面加两个点或者多个点。用户图形界面无法访问。
创建目录:md test...\ |
//在目录中显示为test…,也有可能会显示为test..,随系统版本而定。
在win11中,该目录点击后没有反应
在 cmd 中,也不能使用cd命令进入
那么我们该怎么访问里面的文件呢,答案是通过浏览器来访问。在本地开一个http服务,然后通过浏览 器,可以直接访问到里面的文件。
这种操作适应性不高,在 2008r2 上新建是 test...
双击还是能点开的。但命令和图形界面都无法删除该文件夹
命令执行成功,但是文件夹还在。
无法复制文件进去,只能通过图形界面进行添加文件。
比如说拖拽添加文件,也是可以的。
将文件拖进来后,dir
里没法显示但是文件是真实存在的。刷新后,文件消失不见,无法通过命令行打开。
再次拖进来后发现文件还是存在的。但是无法执行文件
建议是在实战中新建后将木马文件上传到这里双击后进行刷新目录即可。
0x04 驱动级文件隐藏
驱动隐藏我们可以用过一些软件来实现,软件名字叫:Easy File Locker
下载链接: http://www.xoslab.com/efl.html
如果你在网站目录未查找到相关文件,且系统目录存在存在以下文件:
c:\WINDOWS\xlkfs.dat |
那么你,应该是遭遇了驱动级文件隐藏。
如何清除?
1、查询服务状态: sc qc xlkfs |
隐藏文件的方式还有很多,比如伪装成一个系统文件夹图标,利用畸形文件名、保留文件名无法删除,甚至取一个与系统文件很像的文件名并放在正常目录里面,很难辨别出来。
这些隐藏文件的方式早已不再是秘密,而更多的恶意程序开始实现“无文件”攻击,这种方式极难被发现。
Windows 隐藏木马后门文件