使⽤attrib +S +A +H +R命令就是把原本的⽂件夹增加了系统⽂件属性、存档⽂件属性、只读⽂件属性和隐藏⽂件属,这样外部是无法看到文件的, 除非在使用命令行的方式进行查看
- # 为文件添加属性
- attrib +S +A +H +R test.txt
- # 为文件清除属性
- attrib -S -A -H -R test.txt
-
ATTRIB的详细命令如下
- ATTRIB [+R | -R] [+A | -A] [+S | -S] [+H | -H] [+O | -O] [+I | -I] [+X | -X] [+P | -P] [+U | -U]
- [drive:][path][filename] [/S [/D]] [/L]
-
- + 设置属性。
- - 清除属性。
- R 只读文件属性。
- A 存档文件属性。
- S 系统文件属性。
- H 隐藏文件属性。
- O 脱机属性。
- I 无内容索引文件属性。
- X 无清理文件属性。
- V 完整性属性。
- P 固定属性。
- U 非固定属性。
-
- [drive:][path][filename]
- 指定属性要处理的文件。
- /S 处理当前文件夹及其所有子文件夹中
- 的匹配文件。
- /D 也处理文件夹。
- /L 处理符号链接和
- 符号链接目标的属性
-
-
CLSID是Windows的文件标识符,也称类标识符,位于注册[HKEY_LOCAL_MACHINE\Software\Classes\CLSID]下,通常由32个十六进制数构成,其一般格式是“{八位数-四位数-四位数-四位数-十二位数}”。我们操作电脑时,会对系统程序名称发出指令,Windows则通过对该程序的文件标识符识别而做出响应。因此,我们可以伪造文件标识符让操作系统做出错误响应。
1、将要伪装的文件夹重命名为
- 我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
-
2、此时文件夹会变为“我的电脑”图标,且点击后可以打开我的电脑
3、如果想打开这个⽂件夹:我们先⽤WinRAR找到这个⽂件夹,然后重命名⽂件夹把后缀的“.{20D04FE0-3AEA-1069- A2D8-08002B30309D}”删除
常用的文件标识符如下;
- 我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
- 回收站.{645ff040-5081-101b-9f08-00aa002f954e}
- 拔号网络.{992CFFA0-F557-101A-88EC-00DD010CCC48}
- 打印机.{2227a280-3aea-1069-a2de-08002b30309d}
- 控制面板.{21ec2020-3aea-1069-a2dd-08002b30309d}
- 网上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}
-
利用Windows的Gui无法打开带有特殊字符的文件,我们可以使用命令行的方式创建带有特殊字符的文件,增加文件被清除难度
1、在命令行创建文件夹,鼠标双击无法正常打开文件夹
- md 伪装者...\
-
2、将我们要保护的文件存储到伪装者中
- cp payload.c 伪装者...\payload.c
-
3、储存在畸形文件夹中的文件无法直接查看,一般需要配合web服务器触发(如放到Tomcat下用url访问),或使用加载器加载,以下为使用go程序进行加载。
- func main() {
- file := "C:\\Users\\Administrator\\Desktop\\test\\伪装者...\\payload.c"
- s,err := ioutil.ReadFile(file)
- if err!=nil{
- fmt.Println("文件打开失败")
- }
- fmt.Println(s)
- }
-
4、删除伪装内容
- # /s 删除指定目录和所有子目录及其包含的所有文件
- # /q 安静模式。删除目录时,不会提示确认信息
- rd /s /q 伪装者...\
-
利用系统的保留的文件名可以创建无法从图形界面删除文件,只能通过命令行进行删除,以下问系统保留文件名
- 1、CON
- 2、COM{0-9}
- 3、PRN
- 4、AUX
- 5、NUL
- 6、LPT{0-9}
-
1、使用md或copy命令生成带有保留文件名的文件如:
- cp payload.c aux.c
-
删除方法
1、查询服务状态: sc qc xlkfs
2、停⽌服务: net stop xlkfs //以管理员身份运行
3、删除服务: sc delete xlkfs //以管理员身份运行
为了您和您家人的幸福,请不要利用文中技术在用户未授权情况下开展渗透测试!!!
《中华人民共和国刑法》
第二百八十五条
违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六条
违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚