Windows 下不能夠以下面這些字樣來命名文件/文件夾,包括:“aux”“com1”“com2”“prn”“con”和“nul”等�����,因?yàn)檫@些名字都屬于設(shè)
備名稱����,等價(jià)于一個(gè) DOS 設(shè)備�����,如果我們把文件命名為這些名字��,Windows 就會(huì)誤以為發(fā)生重名�,所以會(huì)提示“不能創(chuàng)建同名的文件”等等�����。
當(dāng)然���,有一些特殊的方法可以偷機(jī)取巧�����,建立以這些設(shè)備名為名的文件夾�����,比如我們在命令提示符下執(zhí)行“md C:\aux\\”�,就在 C 盤建了一
個(gè)名叫 aux 的文件夾�����。此文件夾雖然可以訪問,也可以建立子文件夾����,但卻無法刪除���,因?yàn)?Windows 不允許以這種方式刪除設(shè)備����。在系統(tǒng)看
來��,這個(gè) aux 文件夾就是設(shè)備�����。
那么����,如何刪除這樣的文件/文件夾呢?我們只要按照完整的 UNC 路徑格式����,就是網(wǎng)上鄰居的路徑格式,正確輸入文件路徑及文件名即可�。比
如要?jiǎng)h除 C 盤下的 aux 文件夾����,可在命令提示符下執(zhí)行:rd /s \\.\C:\aux�����,rd 是命令提示符刪除文件夾的命令���,/s 參數(shù)表示從所有子目
錄刪除指定文件��。再比如要?jiǎng)h除 C 盤 temp 文件夾下的 nul.exe 文件�,在命令提示符下執(zhí)行:del \\.\C:\temp\nul.exe 即可��。
在Windows下無法以設(shè)備名來命名文件或文件夾�,這些設(shè)備名主要有aux、com1�����、com2�����、prn、con��、nul等���,但Windows 2000/XP有個(gè)漏洞可以以
設(shè)備名來命名文件或文件夾����,讓木馬可以躲在那里而不被發(fā)現(xiàn)�����。
具體方法是:點(diǎn)擊“開始”菜單的“運(yùn)行”��,
輸入cmd.exe�����,回車進(jìn)入命令提示符窗口�����,然后輸入md c:\con\\命令����,可以建立一個(gè)名為con的目錄。默認(rèn)請況下�,Windows是無法建立這類目
錄的,正是利用了Windows的漏洞我們才可以建立此目錄����。再試試輸入md c:\aux\命令,可以建立aux目錄��,輸入md c:\prn\\可以建立prn目錄
����,輸入md c:\com1\\目錄可以建立Com1目錄,而輸入md c:\nul\\則可以建立一個(gè)名為nul的目錄����。在資源管理器中依次點(diǎn)擊試試,您會(huì)發(fā)現(xiàn)當(dāng)
我們試圖打開以aux或com1命名的文件夾時(shí)�,explorer.exe失去了響應(yīng),許多“牧馬人”就是利用這個(gè)方法將木馬隱藏在這類特殊的文件夾中���,
從而達(dá)到隱藏��、保護(hù)木馬程序的目的����。
現(xiàn)在,我們可以把文件復(fù)制到這個(gè)特殊的目錄下���,當(dāng)然���,不能直接在Windows中復(fù)制,需要采用特殊的方法����,在CMD窗口中輸入copy
muma.exe \\.\c:\aux\命令,就可以把木馬文件muma.exe復(fù)制到C盤下的aux文件夾中����,然后點(diǎn)擊“開始”菜單中的“運(yùn)行”,在“運(yùn)行”中輸
入c:aux muam.exe�,就會(huì)成功啟動(dòng)該木馬���。我們可以通過點(diǎn)擊文件夾名進(jìn)入此類特殊目錄�,不過����,如果您要試圖在資源管理器中刪除它,會(huì)發(fā)
現(xiàn)這根本就是徒勞的�����,Windows會(huì)提示找不到該文件。
由于使用del c:\aux\命令可以刪除其中的muma.exe文件�,所以,為了達(dá)到更好的隱藏和保護(hù)效果��,下木馬者會(huì)把muma.exe文件也改名��,讓
我們很難刪除���。具體方法就是在復(fù)制木馬文件到aux文件夾時(shí)使用命令copy muma.exe \\.\c:\con.exe�,就可以把木馬文件muma.exe復(fù)制到aux
目錄中��,并且改名為con.exe�����,而con.exe文件是無法用普通方法刪除的�����。
可能有的朋友會(huì)想��,這個(gè)con.exe文件在“開始”菜單的“運(yùn)行”中無法運(yùn)行啊����。其實(shí)不然�,只要在命令行方式下輸入cmd /c \\.\c:\con
就可以運(yùn)行這個(gè)程序了�。在運(yùn)行時(shí)會(huì)有一個(gè)cmd窗口一閃而過,下木馬者一般來說會(huì)對其進(jìn)行改進(jìn)����,方法有很多,可以利用開機(jī)腳本�,也可以利
用cmd.exe的autorun:在注冊表HKEY_LOCAL_ MACHINE\Software\Microsoft\Command Processor\下建一個(gè)字串AutoRun,值為要運(yùn)行的.bat文
件或.cmd文件的路徑���,如c:\winnt\system32\auto.cmd�����,如果建立相應(yīng)的文件��,它的內(nèi)容為@\.c:con,就可以達(dá)到隱蔽的效果�。
對于這類特殊的文件夾,發(fā)現(xiàn)后我們可以采用如下方法來刪除它:先用del \\.\c:\con.exe命令刪除con.exe文件(該文件假設(shè)就是其中的
木馬文件名)�,然后再用rd \\.\c:\aux命令刪除aux文件夾即可。
