2025年2月24日 星期一 甲辰(龙)年 腊月廿四 设为首页 加入收藏
rss
您当前的位置:首页 > 计算机 > 系统应用 > Windows

文件隐藏技巧在Windows权限维持中的应用

时间:03-31来源:作者:点击数:23

利用ATTRIB修改文件属性隐藏

使⽤attrib +S +A +H +R命令就是把原本的⽂件夹增加了系统⽂件属性、存档⽂件属性、只读⽂件属性和隐藏⽂件属,这样外部是无法看到文件的, 除非在使用命令行的方式进行查看

  • # 为文件添加属性
  • attrib +S +A +H +R test.txt
  • # 为文件清除属性
  • attrib -S -A -H -R test.txt

ATTRIB的详细命令如下

  • ATTRIB [+R | -R] [+A | -A] [+S | -S] [+H | -H] [+O | -O] [+I | -I] [+X | -X] [+P | -P] [+U | -U]
  • [drive:][path][filename] [/S [/D]] [/L]
  • + 设置属性。
  • - 清除属性。
  • R 只读文件属性。
  • A 存档文件属性。
  • S 系统文件属性。
  • H 隐藏文件属性。
  • O 脱机属性。
  • I 无内容索引文件属性。
  • X 无清理文件属性。
  • V 完整性属性。
  • P 固定属性。
  • U 非固定属性。
  • [drive:][path][filename]
  • 指定属性要处理的文件。
  • /S 处理当前文件夹及其所有子文件夹中
  • 的匹配文件。
  • /D 也处理文件夹。
  • /L 处理符号链接和
  • 符号链接目标的属性

使用CLSID伪装文件夹

CLSID是Windows的文件标识符,也称类标识符,位于注册[HKEY_LOCAL_MACHINE\Software\Classes\CLSID]下,通常由32个十六进制数构成,其一般格式是“{八位数-四位数-四位数-四位数-十二位数}”。我们操作电脑时,会对系统程序名称发出指令,Windows则通过对该程序的文件标识符识别而做出响应。因此,我们可以伪造文件标识符让操作系统做出错误响应。

5

1、将要伪装的文件夹重命名为

  • 我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}

2、此时文件夹会变为“我的电脑”图标,且点击后可以打开我的电脑

在这里插入图片描述

3、如果想打开这个⽂件夹:我们先⽤WinRAR找到这个⽂件夹,然后重命名⽂件夹把后缀的“.{20D04FE0-3AEA-1069- A2D8-08002B30309D}”删除

常用的文件标识符如下;

  • 我的电脑.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
  • 回收站.{645ff040-5081-101b-9f08-00aa002f954e}
  • 拔号网络.{992CFFA0-F557-101A-88EC-00DD010CCC48}
  • 打印机.{2227a280-3aea-1069-a2de-08002b30309d}
  • 控制面板.{21ec2020-3aea-1069-a2dd-08002b30309d}
  • 网上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}

畸形目录

利用Windows的Gui无法打开带有特殊字符的文件,我们可以使用命令行的方式创建带有特殊字符的文件,增加文件被清除难度

1、在命令行创建文件夹,鼠标双击无法正常打开文件夹

  • md 伪装者...\
在这里插入图片描述

2、将我们要保护的文件存储到伪装者中

  • cp payload.c 伪装者...\payload.c

3、储存在畸形文件夹中的文件无法直接查看,一般需要配合web服务器触发(如放到Tomcat下用url访问),或使用加载器加载,以下为使用go程序进行加载。

  • func main() {
  • file := "C:\\Users\\Administrator\\Desktop\\test\\伪装者...\\payload.c"
  • s,err := ioutil.ReadFile(file)
  • if err!=nil{
  • fmt.Println("文件打开失败")
  • }
  • fmt.Println(s)
  • }

4、删除伪装内容

  • # /s 删除指定目录和所有子目录及其包含的所有文件
  • # /q 安静模式。删除目录时,不会提示确认信息
  • rd /s /q 伪装者...\

利用系统保留文件名创建无法删除文件

利用系统的保留的文件名可以创建无法从图形界面删除文件,只能通过命令行进行删除,以下问系统保留文件名

  • 1、CON
  • 2、COM{0-9}
  • 3、PRN
  • 4、AUX
  • 5、NUL
  • 6、LPT{0-9}

1、使用md或copy命令生成带有保留文件名的文件如:

  • cp payload.c aux.c

利用Easy File Locker完成驱动机隐藏

在这里插入图片描述

删除方法

1、查询服务状态: sc qc xlkfs

2、停⽌服务: net stop xlkfs //以管理员身份运行

3、删除服务: sc delete xlkfs //以管理员身份运行

为了您和您家人的幸福,请不要利用文中技术在用户未授权情况下开展渗透测试!!!

《中华人民共和国刑法》

第二百八十五条

违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

第二百八十六条

违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。

故意制作、传播计算机病毒等破坏程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚

方便获取更多学习、工作、生活信息请关注本站微信公众号城东书院 微信服务号城东书院 微信订阅号
推荐内容
相关内容
栏目更新
栏目热门