一个清理隐藏、创建、删除畸形目录、特殊文件名的方法
2017-07-10 16:05
676 查看
驱动隐藏,当你网站打开一些非法链接,但是根据链接路径无法查到文件时,大部分可能就是中了webshell隐藏畸形目录的病毒或木马,最典型的现象就是系统盘及系统目录中存在以下文件:
c:\Program Files\Easy File Locker
c:\Program Files\Easy File Locker\FileLocker.exe
c:\Program Files\Easy File Locker\uninst.exe
c:\Documents and Settings\Administrator\桌面\Easy File Locker.lnk
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker\Easy File Locker.lnk
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker\Uninstall.lnk
↑ 以上文件十有八九已被攻击者删除(管理员想破脑袋,都不知道怎嘛回事),但以下文件是绝对存在的! ↓
c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys
该软件名字叫:Easy File Locker,一般用Easy File Locker 1.3,或着是其它版本,网上一堆……
功能很简单,简单的驱动隐藏文件(简单的C、C++ 就可以实现,网上大量源码),支持单个文件或者整个目录。
支持设置访问权限,属性为:可读/可访问(Accessible)、可写(Writable)、可删除(Deletable)、可见(Visible)
一般做黑链的小朋友都会这样设置:只勾选可读,其他的一律拒绝……
那么,会有这样的效果,该文件不会显示,不能通过列目录列出来,也不能删除,除非你知道完整路径,你才可以读取文件内容。
这也是为什么各位管理员头疼的地方了,愣是找不到文件,但是直接访问网站却是可以执行的……
╮(╯_╰)╭
并且该软件还可以设置密码,启动、修改设置、卸载及重复安装的时候都需要密码,更蛋疼的是,主界面、卸载程序等都可以删除,只留下核心的驱动文件就行了……
可以做到无进程、无启动项,无任何异常,因为只加载了一个驱动……
这也是很多管理员想破头都不知道怎吗回事的原因……
说完他的原理、特性,我们再讲讲清除它的方法(不管有没有密码):
首先设置系统“显示隐藏文件”,步骤如下:
1、随意打开一个文件夹、磁盘
2、在文件浏览窗口,依次点击:工具(顶部菜单)--> 文件夹选项--> 查看(顶部选项卡)
3、依次勾选或点选,设置:隐藏受保护的操作系统文件(不勾选)、显示所有文件和文件夹(选中)、隐藏已知文件类型的扩展名(不勾选),然后点击确定按钮。
提示,如果无法正常选中,例如复选框为灰色、不可操作、勾选无效等现象,说明对应的注册表项已被破坏,可以使用以下注册表代码进行修复:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] www.2cto.com
"CheckedValue"=dword:00000001
将以上代码保存为:Fix_Hide_File.Reg(修复隐藏文件),然后双击导入注册表即可。
然后以文本方式可以打开:C:\WINDOWS\xlkfs.ini,这是“Easy File Locker”的配置文件,不出所料的话,你可以看到它的配置信息……
(呵呵,也许会有朋友会问,如果他们连这个文件都隐藏了的话怎么办?很遗憾,该软件不支持隐藏自身的配置文件……)
内容例如:
[Common]
Count=4
[0]
Path=C:\a.txt
Type=0
Access=14
[1]
Path=C:\b.txt
Type=0
Access=14
[2]
Path=C:\c.txt
Type=0
Access=14
[3]
Path=C:\d.txt
Type=0
Access=14
文件、文件夹的路径、设置的权限等一览无余……
注意!!这里记得要把这个文件复制一份单独留着,等会儿清理被隐藏文件的时候要用到!!切记!!!!
然后删除上边所列的所有文件,尤其是系统目录中的那四个文件,如果无法删除可以考虑使用第三方工具强删,然后重启系统。
系统启动后会提示:至少有一个服务或驱动程序无法加载或错误。
这是由于我们删除了那个驱动文件,但是驱动加载项还在,所以会提示加载错误,不理即可。
进入系统后,你会发现隐藏的文件全都回来了,那么,就简单多了,对照你先前备份的那个配置文件,挨个清理即可……
c:\Program Files\Easy File Locker
c:\Program Files\Easy File Locker\FileLocker.exe
c:\Program Files\Easy File Locker\uninst.exe
c:\Documents and Settings\Administrator\桌面\Easy File Locker.lnk
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker\Easy File Locker.lnk
c:\Documents and Settings\Administrator\「开始」菜单\程序\Easy File Locker\Uninstall.lnk
↑ 以上文件十有八九已被攻击者删除(管理员想破脑袋,都不知道怎嘛回事),但以下文件是绝对存在的! ↓
c:\WINDOWS\xlkfs.dat
c:\WINDOWS\xlkfs.dll
c:\WINDOWS\xlkfs.ini
c:\WINDOWS\system32\drivers\xlkfs.sys
该软件名字叫:Easy File Locker,一般用Easy File Locker 1.3,或着是其它版本,网上一堆……
功能很简单,简单的驱动隐藏文件(简单的C、C++ 就可以实现,网上大量源码),支持单个文件或者整个目录。
支持设置访问权限,属性为:可读/可访问(Accessible)、可写(Writable)、可删除(Deletable)、可见(Visible)
一般做黑链的小朋友都会这样设置:只勾选可读,其他的一律拒绝……
那么,会有这样的效果,该文件不会显示,不能通过列目录列出来,也不能删除,除非你知道完整路径,你才可以读取文件内容。
这也是为什么各位管理员头疼的地方了,愣是找不到文件,但是直接访问网站却是可以执行的……
╮(╯_╰)╭
并且该软件还可以设置密码,启动、修改设置、卸载及重复安装的时候都需要密码,更蛋疼的是,主界面、卸载程序等都可以删除,只留下核心的驱动文件就行了……
可以做到无进程、无启动项,无任何异常,因为只加载了一个驱动……
这也是很多管理员想破头都不知道怎吗回事的原因……
说完他的原理、特性,我们再讲讲清除它的方法(不管有没有密码):
首先设置系统“显示隐藏文件”,步骤如下:
1、随意打开一个文件夹、磁盘
2、在文件浏览窗口,依次点击:工具(顶部菜单)--> 文件夹选项--> 查看(顶部选项卡)
3、依次勾选或点选,设置:隐藏受保护的操作系统文件(不勾选)、显示所有文件和文件夹(选中)、隐藏已知文件类型的扩展名(不勾选),然后点击确定按钮。
提示,如果无法正常选中,例如复选框为灰色、不可操作、勾选无效等现象,说明对应的注册表项已被破坏,可以使用以下注册表代码进行修复:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] www.2cto.com
"CheckedValue"=dword:00000001
将以上代码保存为:Fix_Hide_File.Reg(修复隐藏文件),然后双击导入注册表即可。
然后以文本方式可以打开:C:\WINDOWS\xlkfs.ini,这是“Easy File Locker”的配置文件,不出所料的话,你可以看到它的配置信息……
(呵呵,也许会有朋友会问,如果他们连这个文件都隐藏了的话怎么办?很遗憾,该软件不支持隐藏自身的配置文件……)
内容例如:
[Common]
Count=4
[0]
Path=C:\a.txt
Type=0
Access=14
[1]
Path=C:\b.txt
Type=0
Access=14
[2]
Path=C:\c.txt
Type=0
Access=14
[3]
Path=C:\d.txt
Type=0
Access=14
文件、文件夹的路径、设置的权限等一览无余……
注意!!这里记得要把这个文件复制一份单独留着,等会儿清理被隐藏文件的时候要用到!!切记!!!!
然后删除上边所列的所有文件,尤其是系统目录中的那四个文件,如果无法删除可以考虑使用第三方工具强删,然后重启系统。
系统启动后会提示:至少有一个服务或驱动程序无法加载或错误。
这是由于我们删除了那个驱动文件,但是驱动加载项还在,所以会提示加载错误,不理即可。
进入系统后,你会发现隐藏的文件全都回来了,那么,就简单多了,对照你先前备份的那个配置文件,挨个清理即可……
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 各种隐藏WebShell、创建、删除畸形目录、特殊文件名的方法
- 各种隐藏 WebShell、创建、删除畸形目录、特殊文件名、黑帽SEO作弊
- WinXP下如何删除非空目录(一个可行的特殊方法)
- VS 2008 创建、删除多级目录的方法 以及给文件夹增加隐藏属性
- 删除所有svn文件(一个目录和其各级子目录下的) 两种方法
- 在Windows7中如何创建删除特殊目录?
- AIX link ln 将一个目录链接到另外一个文件系统的目录 -- ln link 创建与删除
- C# 文件操作(全部) 追加、拷贝、删除、移动文件、创建目录 修改文件名、文件夹名
- Linux创建文件命令的方法与特殊目录简介
- windows下删除一个非空目录的两种方法
- 这是一个关于XML文档的操作管理器XMLHelper类,类中包括XML文档的创建,文档节点和属性的读取,添加,修改,删除的方法功能的实现
- 写一个bat文件,删除文件名符合特定规则,且更改日期在某个日期之前的所有目录
- C# 文件操作(全部) 追加、拷贝、删除、移动文件、创建目录 修改文件名、文件夹名
- 删除一个非空目录方法
- 采用DOM模型时创建一个Select节点后,要删除option项的解决方法
- linux shell判断一个文件名判断它是目录还是文件以及在windows下出现"syntax error near unexpected token"的解决方法
- 删除一个目录下的重复文件(与文件名无关)
- linux下特殊文件名的文件删除方法
- python创建和删除目录的方法
- 怎样创建一个独一无二的包名及及查找有可能隐藏于目录结构中类