以前我在这里介绍了用含..做目录名的隐藏方法,今天在公司发现一同事的电脑上已有一病毒,做的目录文件名为runauo..\,前不久还发现躲在recycled里的毒,都是学的“熊猫杀香”那一招。哎,其实这些技术本来是想教大家收藏自己的东西时用,没想到有人用在坏处了。我希望大家都做些好事,学学真正的黑客精神,不要害人,说不定哪天会害了自己。
我上论坛大多用自己的真名,我叫闵成安。希望认识些朋友。
我上论坛大多用自己的真名,我叫闵成安。希望认识些朋友。
中国DOS联盟
联盟域名:www.cn-dos.net 论坛域名:www.cn-dos.net/forum
DOS,代表着自由开放与发展,我们努力起来,学习FreeDOS和Linux的自由开放与GNU精神,共同创造和发展美好的自由与GNU GPL世界吧!
中国DOS联盟论坛 » 其它操作系统综合讨论区 » [超级技巧]畸形目录[2006-10-19更新]
查看 31,969 回复 54
第 31 楼
已经出现含..目录的病毒了
发表于 2007-05-25 20:20 · 中国 湖北 黄冈 电信
第 32 楼
发表于 2007-06-01 15:01 · 中国 福建 龙岩 电信
保留设备名
建立:md D:\con\ (注意:后面的 \ 号!!不能少!!)
访问:XP下直接访问。但是无法在explorer中直接删除目录。2k中用 运行 D:\con\。9x中未知~~应该无法访问
删除:rd /s D:\con\ (不行就用上面的 rd /s /q \\.\D:\con\)
--------------------------------------------------------------------------------------------------
通过这种方式在windowsxp sp2的FAT32文件系统分区建立的文件夹,无法使用楼主提供的命令行来删除,是否要在纯DOS下进行呢?谢谢:)
建立:md D:\con\ (注意:后面的 \ 号!!不能少!!)
访问:XP下直接访问。但是无法在explorer中直接删除目录。2k中用 运行 D:\con\。9x中未知~~应该无法访问
删除:rd /s D:\con\ (不行就用上面的 rd /s /q \\.\D:\con\)
--------------------------------------------------------------------------------------------------
通过这种方式在windowsxp sp2的FAT32文件系统分区建立的文件夹,无法使用楼主提供的命令行来删除,是否要在纯DOS下进行呢?谢谢:)
淡淡风...
光盘启动交流群:
19658936
光盘启动交流群:
19658936
第 33 楼
发表于 2007-06-01 23:06 · 中国 广东 深圳 联通
hao 好一番折腾,、
建了还能删除么?
建了还能删除么?
第 34 楼
发表于 2007-06-16 15:12 · IANA 局域网IP(Private-Use)
配服,这样都行。。。
第 35 楼
发表于 2007-06-23 21:35 · 中国 湖南 岳阳 电信
学习ing,崇拜ing
第 36 楼
发表于 2007-06-28 12:01 · 中国 北京 海淀区 联通
说是疾病也好 漏洞 缺陷也好
看 怎么利用
比如我常常 在 定位木马后 通过另外系统 或光盘系统 删除 病毒本身外 再建立
与原病毒 exe dll 等 文件相同名称的 文件夹 再在 内层建立 一些“畸形文件夹”
能有效的 抵抗 木马 等的 复活 手段
很多时候 入侵者 改造木马 或联合使用多个木马
杀软 查出 一部分后清除成功 再次启动 后 木马又恢复
这时
畸形目录 就是 抵抗 木马复活的 有效工具
[ Last edited by hamapanama on 2007-6-28 at 01:08 PM ]
看 怎么利用
比如我常常 在 定位木马后 通过另外系统 或光盘系统 删除 病毒本身外 再建立
与原病毒 exe dll 等 文件相同名称的 文件夹 再在 内层建立 一些“畸形文件夹”
能有效的 抵抗 木马 等的 复活 手段
很多时候 入侵者 改造木马 或联合使用多个木马
杀软 查出 一部分后清除成功 再次启动 后 木马又恢复
这时
畸形目录 就是 抵抗 木马复活的 有效工具
[ Last edited by hamapanama on 2007-6-28 at 01:08 PM ]
第 37 楼
发表于 2007-07-10 23:19 · 中国 山东 聊城 电信
第 38 楼
发表于 2007-07-13 00:11 · 中国 广东 广州 电信
呵呵 厉害
第 39 楼
发表于 2007-07-26 09:01 · 中国 山西 大同 移动
真增长知识,学习了!!
第 40 楼
发表于 2007-11-14 15:20 · 中国 广东 广州 电信
第 41 楼
何曾不想
发表于 2008-02-03 22:29 · 中国 广东 电信
试过了哦,
md autorun.inf
cd autoru~1
md a..\ &……
结果cd..再来个rd autorun.inf /s /q 就删除了
后来因为我的是ntfs格式硬盘,用访问权限命令cacls autorun.inf /p everyone:n
然后打开avkiller 还是被avkiller得逞了。原来的autorun.inf文件夹被改成了别的名字:(
md autorun.inf
cd autoru~1
md a..\ &……
结果cd..再来个rd autorun.inf /s /q 就删除了
后来因为我的是ntfs格式硬盘,用访问权限命令cacls autorun.inf /p everyone:n
然后打开avkiller 还是被avkiller得逞了。原来的autorun.inf文件夹被改成了别的名字:(
第 42 楼
可以了,经过一折腾,俺做了一个小PP
发表于 2008-02-04 16:06 · 中国 广东 广州 电信
::应该。。。。。不会造成不良结果。适于ntfs格式的磁盘
@echo off
for %%a in (a b c d e f g h i j k l m n o p q r s t u v w x y z) do (
if exist %%a: (
%%a: &cd\
for /f "tokens=*" %%b in ('dir /a-d /b autorun.inf') do (del /a /f /q %%b)
::如果这时候还存在autorun.inf 那应该就是删不掉的文件夹了
if exist autorun.inf goto :fail
md autorun.inf &cd autorun.inf
md a..\ &md con\ &md nul\ &md aux\ &md com1\
cd..
attrib autorun.inf +a +s +h +r
echo y|cacls autorun.inf /p everyone:n
))
:2
cls
echo 是否取消?
set /p in=(y/n)
if /i %in%==y goto delete
if /i %in%==n (exit) else (goto 2)
:delete
for %%c in (a b c d e f g h i j k l m n o p q r s t u v w x y z) do (
if exist %%c:\autorun.inf (
%%c: &cd\
echo y|cacls autorun.inf /p everyone:f
cd autorun.inf
rd a..\ &rd con\ &rd nul\ &rd aux\ &rd com1\
cd..
rd autorun.inf /s /q
))
exit
:fail
echo 可能已经建立了,或者遇见其他问题,按任意键到删除项。
pause>nul
goto :2
[ Last edited by 523066680 on 2009-10-14 at 19:50 ]
@echo off
for %%a in (a b c d e f g h i j k l m n o p q r s t u v w x y z) do (
if exist %%a: (
%%a: &cd\
for /f "tokens=*" %%b in ('dir /a-d /b autorun.inf') do (del /a /f /q %%b)
::如果这时候还存在autorun.inf 那应该就是删不掉的文件夹了
if exist autorun.inf goto :fail
md autorun.inf &cd autorun.inf
md a..\ &md con\ &md nul\ &md aux\ &md com1\
cd..
attrib autorun.inf +a +s +h +r
echo y|cacls autorun.inf /p everyone:n
))
:2
cls
echo 是否取消?
set /p in=(y/n)
if /i %in%==y goto delete
if /i %in%==n (exit) else (goto 2)
:delete
for %%c in (a b c d e f g h i j k l m n o p q r s t u v w x y z) do (
if exist %%c:\autorun.inf (
%%c: &cd\
echo y|cacls autorun.inf /p everyone:f
cd autorun.inf
rd a..\ &rd con\ &rd nul\ &rd aux\ &rd com1\
cd..
rd autorun.inf /s /q
))
exit
:fail
echo 可能已经建立了,或者遇见其他问题,按任意键到删除项。
pause>nul
goto :2
[ Last edited by 523066680 on 2009-10-14 at 19:50 ]
第 43 楼
发表于 2008-03-17 13:21 · 中国 湖南 益阳 电信
收藏了。。
跟36楼有同感。
跟36楼有同感。
第 44 楼
发表于 2008-03-17 14:53 · 中国 广东 肇庆 电信
第 45 楼
又有个新发现拉!!!
发表于 2008-03-22 10:23 · 中国 广东 揭阳 电信
差点重新发大帖,干脆在这里发好了
前面说到 设备名为文件夹名的文件夹,
我去尝试 以盘符为名的文件夹 md "c: \"
结果…… 建立了一个没有名的文件夹……然后直接用鼠标删除的时候
说---无法读取原磁盘或文件
经plp626解释发现……大惊小怪……原来和
c: &md " \" 的效果一样
[ Last edited by 523066680 on 2008-3-23 at 09:50 AM ]
前面说到 设备名为文件夹名的文件夹,
我去尝试 以盘符为名的文件夹 md "c: \"
结果…… 建立了一个没有名的文件夹……然后直接用鼠标删除的时候
说---无法读取原磁盘或文件
经plp626解释发现……大惊小怪……原来和
c: &md " \" 的效果一样
[ Last edited by 523066680 on 2008-3-23 at 09:50 AM ]
论坛跳转: