简介

收集到以下一些在Windows系统下的一些将文件隐藏的方法和让文件无法被删除的方法,渗透中可以隐藏一些木马文件。

attrib隐藏文件

新建一个文件

命令行中执行

attrib +a +s +h 文件名

在文件目录下刷新一下可以看到创建的1.txt已经隐藏了,命令行中知道文件名可以进行查看。

attrib 指令用于修改文件的属性,常见属性有:只读、存档、隐藏、系统。

+r  设置只读属性

-r   取消只读属性

+a 设置存档属性

-a  取消存档属性

+s 设置系统属性

-s  取消系统属性

+h 设置隐藏属性

-h  取消隐藏属性

/s  显示目录下所有文件的属性

创建隐藏文件夹隐藏文件

attrib同样适用于文件夹,新建一个文件夹1,文件夹中新建一个2.txt文件进行测试

attrib +r +s +h 1

可以看到将文件夹隐藏了自然文件夹里的文件也看不到了。

但是windows中是可以设置开启显示隐藏文件或文件夹的( 默认不开启 )。

系统代号隐藏文件夹

windows中有一些特殊文件名,代号如下:

我的电脑 .{20D04FE0-3AEA-1069-A2D8-08002B30309D}
回收站     .{645ff040-5081-101b-9f08-00aa002f954e}
拔号网络 .{992CFFA0-F557-101A-88EC-00DD010CCC48}
打印机     .{2227a280-3aea-1069-a2de-08002b30309d}
控制面板 .{21ec2020-3aea-1069-a2dd-08002b30309d}
网上邻居 .{208D2C60-3AEA-1069-A2D7-08002B30309D}

将文件夹名字改为系统文件名的代号,例如:

要改成的文件夹名.{20D04FE0-3AEA-1069-A2D8-08002B30309D}

test.{20D04FE0-3AEA-1069-A2D8-08002B30309D}

此时会文件夹变成了我的电脑的图标,双击进入的也是正常的我的电脑的页面。

创建畸形目录隐藏文件

需要在命令行中创建

mkdir a...\

然后在命令行中将文件移动或者复制进去

copy 1.txt a...\1.txt

这时候双击文件夹是打不开的,也不能将文件夹进行删除。

但是在命令行中可以查看文件,可以用来隐藏一些webshell。

需要删除文件夹的话也在命令行中进行

rd /s /q a...\

利用系统保留名创建不死文件

在Windows操作系统中,不能创建系统保留名的文件,比如aux,com1,com2,prn,con,nul等。

但是可以通过命令行copy语句创建,并且创建后的文件无法在图形化界面被删除,只能在命令行中被删除。

重命名一个文件改成系统保留名。

使用copy命令在命令行中操作

copy 1.txt \\.\E:\test\aux.txt

并且该文件不能在图形化下被查看和删除。

可以再命令行中进行查看和删除。

结语

已无暇顾及过去,要向前走。