這次主要講解的是一些由windows系統漏洞造成的無法刪除情況。一些惡意軟體往往利用系統漏洞建立一些畸形的非法檔案,最常見的就是後邊帶…的資料夾。據我所知一共有五中方法建立乙個非法檔案,列舉如下(以下是cmd命令,在cmd中執行,md是指建立資料夾):
1、md c:\…\ 這種方法建立的資料夾是隱藏的、不可開啟、無法刪除的,當然隱藏不是指普通的隱藏,這種隱藏在windows自帶的資源管理器中無論如何也看不到。
2、md 「c:\test / 「 注意加空格和引號。這種方法建立的資料夾可見,可開啟,可在該資料夾下建立、拷貝、刪除檔案,但不可刪除。典型特徵是資料夾末尾有空格。
3、md c:\test…\ 這是最常見的。這種方法建立的資料夾可見,不可開啟,不可刪除,典型特徵是資料夾尾部有「.」。
4、md
\\.\c:\con\
這種方法是強行建立乙個與裝置名相同的檔案,造成無法刪除,根據系統實際情況,也可能根本無法訪問。因為資料夾名必須與裝置名相同,所以這種方法典型的特徵是資料夾名是固定的以下之一:con、aux、com1、com2、prn、nul。
5、超長檔名。一些檔名過長的資料夾進行巢狀,導致內層資料夾因路徑名過程無法訪問。比如c:\111…1\111…11\111….1\2\ 這時候最裡邊的2資料夾就沒辦法訪問了
接下來就講解如何操作這些資料夾。
對於第一種,這種方法基本已經失效,因為它只在win98上有效,估計現在沒有用win98了,所以跳過。
對於第二種和第三種,這兩種方法可以用乙個殺手鐗必殺。就是利用別名,我們不用考慮這個資料夾到底是怎麼個結構,也不用考慮到底是怎麼建成的,只要看一下它的別名就可以自由操作了。看別名的方法是用dir命令+/x引數。比如 dir c:\ /x 這個命令就是檢視c盤下的所有檔案,並顯示別名。如圖:
我們利用別名就可以隨意操作這個檔案了,比如:進入cd c:\ab259~1\ 刪除rd c:\ab259~1\。
對於第四種,這種方法建立的非法檔案比較特殊,能不能用windows自帶管理器訪問要看系統具體情況,而且沒有別名,那怎麼辦呢?我們來回憶一下它的原理:利用網路位置建立乙個與裝置名相同的非法檔案。這句話說明之所以自帶管理器無法操作是因為它在網路位置,那麼我們在訪問的時候加上網路位置就可以了!網路位置即在路徑前加
\\.\。比如:進入
cd\\.\c:\con
\ 刪除 rd
\\.\c:\con\
。 這種資料夾一共就那麼幾種,應該很好識別!
對於第五種,這種方法很好破解,不就是因為路徑長而無法訪問嗎?那我們就從最外層入手,先把最外層的資料夾名字改成短的,逐層深入,慢慢這個體系就瓦解了。為什麼不從裡邊入手,因為裡邊路徑太長,windows系統不允許訪問,更不允許重新命名。如果這些超長資料夾被做了手腳(與上邊的漏洞融合),導致無法重新命名,那麼。。。就要請出我們的cmd殺手鐗了:別名!這些超長資料夾絕對是有別名的!從另乙個角度看,訪問這些超長資料夾也可以用8.3命名法,也就是用短檔名訪問。所謂8.3命名法就是檔名不超過8個,副檔名不超過3個,比如123456789.txt寫成123456~1.txt。
歡迎指正、交流、補充!
Windows畸形資料夾
0x00.什麼是windows畸形資料夾 畸形資料夾是window系統中通過非正常途徑建立的資料夾,具有難以檢視,刪除等特點。0x01.畸形資料夾建立,刪除,開啟 畸形資料夾的建立,刪除,開啟要借助cmd 建立 md c 資料夾名.mkdir c 資料夾名.建立時必須加上碟符和路徑,個人感覺寫法應該...
windows檔案操作
目錄常用命令 1.建立資料夾 d mkdir test shandiao 2.建立檔案 d test shandiao type nul test.go 3.寫入內容 d test shandiao echo hello world test.go假設刪除d盤下的123資料夾 del s q d 1...
檔案操作總結
檔案操作 開啟 fopen 檔案指標名 fopen 檔名,使用檔案方式 file fp fp file a r 意義 在當前目錄下開啟檔案file a進行 讀 操作,並使fp指向該檔案。file fp fp c test rb 意義 開啟c盤的根目錄下的檔案test,這是乙個二進位制檔案,只允許按二...