疱丁解马-木马查杀深度剖析之文件篇(二)

於陵闲云

本文转自狙剑安全论坛 作者MuseHero


A、利用系统本身的规则隐藏文件

    接下来我们要讲的文件隐藏方法跟上一种类似，同样为无技术含量的障眼法，但这种方法当前却被大量的文件夹加密、隐藏类的软件利用，更有很多商业软件都在用这种方法，而且据说卖的还不错。唉，看来技术跟市场的确是不能划等号的。
    我们先看下图，下图是某一文件夹隐藏软件隐藏一个文件夹后的结果03-40：





    文件夹是被隐藏了，可根目录下多出了一个类似回收站的东西（有的干脆就用了系统的回收站，这个是自己新建了一个回收站）。
    回收站可以创建吗？呵，其实回收站就是一个特殊的文件夹而已，关键是后面的扩展类名。看上图中文件名字后面的那个“.{645FF040-5081-101B-9F08-00AA002F954E}”。我们自己随便新建一个文件夹，然后重命名，在原名字后面加上.{645FF040-5081-101B-9F08-00AA002F954E}，我们建的这个文件夹也就成回收站了。改回去也很简单，将后面那一堆去了，就OK了。
    这里附上一堆这个东西，大家闲着无聊的可以改着玩一玩：
.{21EC2020-3AEA-1069-A2DD-08002B30309D}
控制面板
.{2227A280-3AEA-1069-A2DE-08002B30309D}
打印机
.{D6277990-4C6A-11CF-8D87-00AA0060F5BF}
任务计划
.{645FF040-5081-101B-9F08-00AA002F954E}
回收站
.{7BD29E00-76C1-11CF-9DD0-00A0C9034933}
历史文件夹
.{871C5380-42A0-1069-A2EA-08002B30309D} IE
.{208D2C60-3AEA-1069-A2D7-08002B30309D}
网上邻居
.{992CFFA0-F557-101A-88EC-00DD010CCC48}
拨号网络
    当然了，仅仅改成个回收站显然是不够的，我们看看它在里面还玩儿了什么花样，将回收站后面的扩展名去掉，然后打开文件夹，就会看到里面还有两层文件夹，如下图03-41所示：





    首先，里面是一个名字为“nul”的文件夹（这个名字也是有学问的，现在我们不管它，后面会提到），再打开nul文件夹，里面是一个名字为“user files.” 的文件夹，再打这个文件夹时，完了，打不开了，会弹出一个如上图所示的对话框。偿试删除之，也是失败！
       嘿，我们去控制台看看，是否可以进去逛逛呢？
    进入控制台，输入“dir”列出D：下的文件与文件夹，嗯？居然没有那个文件夹？看下图03-42：







    隐藏了么？按我们上面说过的方法，看一看，在文件夹上按右键，选属性，果然是隐藏的，不过……是灰色的，不能改回去，如下图03-43：





    当然，虽然我的水平不高，这一点还是难不倒我的，不是已经进入控制台了么？改个属性很容易吧？我来改改看，看下图03-44：





    输入“attrib DirRecycler –s –h ”，回车，再看文件夹中的文件，上图红框圈起来的地方，文件夹是不是已经鲜亮起来？不再是隐藏后的灰色？呵，再确认一下后，确定，隐藏属性已经被去掉了，再输入“dir”，OK，它出现了。那我们输入的那一行是做什么用的呢？“attrib”是一个DOS命令，是更改文件及文件夹属性的，紧跟在后面的“DirRecycler”就是我们要更改属性的文件或文件夹，再后面的“-s”是告诉系统，我们要去掉DirRecycler的系统属性，为什么要去掉“系统属性”呢？因为系统属性才使得我们无法在Windows的文件属性里更改其属性（使更改隐藏属性的选项变成了灰的）；再后面的“-h”是告诉系统，我们同时还要去掉它的隐藏属性。如果把 –s –h 换成 +s +h 就是添加系统与隐藏属性了。
    好了，即然已经看到了，我们就进去看看吧。CD DirRecycler是进入DirRecycler文件夹，同样的CD nul就是进入nul文件夹了，看下图03-45：



    进入DirRecycler，没问题，进去了。再进入nul，不让进了，参数不正确，为什么不正确呢？嘿，因为nul是系统的设备名字，进入设备，当然会被拒绝了，这回知道他为什么要将文件夹取名为“nul”了吧？
      人家就防着我们在控制台进入呢。
    嘿，恼了，删除它。Rd是删除文件夹的命令，失败，呵，删除设备？开玩笑呢吧？move是移动文件夹（间接有重命名的意思），我们给它改个名字成不成呢？仍然失败，给设备改名字，有没有搞错？汗，看来系统还挺死心眼的。
换个方法，看上图：在路径前加上了个“\\.\”，
       哈，成功了！文件夹nul成功的被移出了DirRecycler，并改名为“abc”，进入abc看一看，果然没问题，里面就是那个user file.文件夹。
    “\\.\”是什么东西呢？这是UNC（通用命名约定）路径的标志，是一种网络路径，
       我们在这里用这种路径其实就是告诉系统这个死心眼的家伙，这不是什么设备只是个文件夹而已。
      OK了，终于将nul给搞定了，其实系统中并不仅仅nul是设备名，AUX、COM1、CON、PRN……等等还有很多，当发现类似情况时都可以用这种方法处理。
    我们接着进入“user file.”，晕，还是进不去。恼了，这次是真的恼了。（呵，其实我在没移动nul文件夹前就已经恼的不行了，动手将整个文件夹给删了。）看下图03-46：





    这是我更改完文件属必后，直接就用rd + UNC路径的方式，将整个文件夹全删除了，删除时里面的文件夹并没有移出来，/S的意思上图中显示的已经很清楚了是删除全部子目录，所有的DOS命令都可以用：命令 + /? 的形式显示帮助信息的。
    也就是说，我们根本无须关心文件夹里面是什么，就可以直接删除这个文件夹，上面唠叨了一堆，其实只是为了给大家讲一讲怎么对付用设备名字当文件夹名的，并熟悉一下常用的而又比较有用的几个DOS命令而已。
    现实中，删除这个是很容易的，但是如果文件夹里面的东西很重要，我们还要取出来怎么办呢？也很简单，看下图03-47：



     在运行里面输入完整的路径，如上图所示，点确定，就可以轻易的打开被重重保护的文件夹，任意操作里面的文件！
     是不是简单的可怕？商业软件采用这种方式来隐藏文件夹会不会让你有种发狂的感觉？
        User file. 这个目录比较特殊在隐藏中也起到了关键的作用，他其实是上面路径中的“user file..\”，想不想自己也创建一个这样的文件夹呢？看下图03-48：





     在控制台输入 “md D:\abc..\”，就在D：根目录，创建了一个“abc.”的特殊文件夹，试试效果，双击打开那个abc.文件夹，系统就傻乎乎的弹出了一个框框。
    删除这个文件夹，只需要输入“rd D:\abc..\”就OK了。
    想在里面进行操作，就在运行里输入“D:\abc..\”来打开。
    还有一些类似的障眼法，这里就不一一讲解了，下一节里我们要讲一讲采用技术手段进行的文件隐藏。


疱丁解马-木马查杀深度剖析之文件篇(三)
http://bbs.kafan.cn/viewthread.php?tid=173369&page=1&extra=page%3D1#pid2305602



[ 本帖最后由 於陵闲云 于 2007-12-19 11:29 编辑 ]

aiping

学习中。。。。。。
我就会这个：
“......在控制台输入 “md D:\abc..\”，就在D：根目录，创建了一个“abc.”的特殊文件夹，试试效果，双击打开那个abc.文件夹，系统就傻乎乎的弹出了一个框框。
    删除这个文件夹，只需要输入“rd D:\abc..\”就OK了。
    想在里面进行操作，就在运行里输入“D:\abc..\”来打开。.......”
还是刚学会的^_^ 别的不会了