实现原理
攻击者通常利用畸形目录(也称为特殊文件夹)来隐藏文件的原理主要涉及到Windows操作系统的文件路径解析和名称约定。畸形目录是指文件夹的名称中包含特殊字符、空格或点等,这些特殊字符在文件系统路径解析时可能会导致不寻常的行为,使文件夹和其中的文件不易被普通用户和文件浏览器所发现。以下是攻击者可能利用的一些畸形目录隐藏文件的原理:
- 使用尾部空格:攻击者可以在文件夹名称的末尾添加一个或多个空格,这会使操作系统将文件夹名称视为不同于未添加空格的文件夹名称,从而隐藏文件。
- 使用点或多个点:在文件夹名称中使用点或多个点(例如"..")可能导致操作系统混淆,因为点通常用于表示文件夹层次结构,但在文件夹名称中的点可能导致错误的路径解析。
- 使用特殊字符:攻击者可以在文件夹名称中使用特殊字符,如制表符、回车符、非打印字符等,这些字符可能导致操作系统在处理文件夹名称时出现问题。
- 使用不可见字符:攻击者可以在文件夹名称中添加不可见字符,使文件夹名称在文件浏览器中不可见,但可以在命令行或其他方式下访问。
- 文件夹重定向:攻击者可能会利用Windows的文件夹重定向功能,将文件夹路径指向隐藏的目录,以便在外观上显示一个文件夹,但实际上它指向了不同的位置。
攻击者可能会使用这些技巧来隐藏恶意文件、病毒、后门或其他恶意软件,以逃避检测和分析。因此,维护良好的安全实践、使用最新的操作系统和安全工具以及审查不寻常的文件和文件夹都是保护系统免受这种类型的攻击的重要方法。
操作步骤
1、使用命令创建畸形目录(文件夹)
MD C:文件夹名..
MKDIR C:文件夹名..
MD C:文件夹名...
MKDIR C:文件夹名...【注意】
- 需要是绝对路径
- 需要文件夹名字后面加上.
创建后,我们是无法直接打开的。
2、复制文件到畸形目录,访问成功
3、删除畸形目录
正常情况下是无法删除的,我们需要使用cmd 命令进行删除
删除⽬录:rd /s /q a...
RD C:文件夹名.. /s
RMDIR C:文件夹名.. /s
注意:iis中间件的情况下,可以尝试隐藏webshell。该方法比较适合隐藏exe、dll等其他文件。
如何排查
- 使用文件浏览器:打开文件资源管理器,浏览计算机上的目录结构。注意查看文件和文件夹名称是否看起来不寻常,包括可能的畸形字符、额外的空格、多个点等。这些都可能是隐藏文件的迹象。
- 查看文件属性:右键单击文件夹,选择“属性”或“属性”,查看文件夹的属性。检查“安全”选项卡以确保文件夹的权限设置是合适的,并且没有不寻常的访问权限。
- 使用命令行工具:您可以使用命令行工具,如 dir 和 attrib,来列出文件和文件夹的属性以及目录内容。特别是,使用 dir /A 命令可以列出所有文件和文件夹,包括隐藏的和系统文件。
- 查找隐藏文件:使用 dir /AH 命令可以列出隐藏文件,而 dir /AS 命令可以列出系统文件。这有助于查找潜在的隐藏文件或目录。
- 检查文件夹的大小:查看文件夹的大小是否与其中包含的文件数量和类型相一致。异常大的文件夹可能包含隐藏的数据。
- 使用专用工具:有一些专门用于检测和清理恶意或异常文件的工具,如 Malwarebytes、Windows Defender、Sysinternals Suite 等。这些工具可以帮助您查找和清除可能的恶意文件或目录。
- 审查日志文件:如果您怀疑系统可能已受到攻击或存在异常文件夹,审查操作系统、安全和防病毒软件的日志文件,以查看是否有异常活动或警告。
- 进行安全扫描:使用安全扫描工具来检查系统中的恶意活动。这些工具可以扫描系统文件和目录以查找异常。
原文始发于微信公众号(贝雷帽SEC):【Tips+1】Windows持久化之隐藏技巧(Hidden directory)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论